Как открыть на Mikrotik VPN туннель для подключения по RDP?

@vahdat91 · Регистрация: 27.11.2015

Скажите пожалуйста как открыть на Mikrotik VPN туннель для подключение по RDP, наше сервер 1С обслуживаеть от за граница и сейчас они проста по внешные IP address подключаеться к наше сервер (наше данные взломщики уже 2 раза взломали) сейчас они скажут что поднимите VPN туннель для безопасносты данные и безопасное подключение.. Помогите пожалуйста как создать VPN туннель и добавить там только только их IP address чтобы только у них было доступ по RDP..

@insect_87 · 13.06.2017, 08:37

к серверу подключаются конечные пользователи?
если да, то можно например L2TP-сервер поднять

@romsan · 13.06.2017, 10:11

Сообщение от vahdat91

открыть на Mikrotik VPN туннель для подключение по RDP

поднять VPN-сервер на микротике. Должен быть белый ip-адрес. На микротике настроить сервер (в тырнете куча инфы), завести пользователей, прописать правила. С удаленных машин соединяться клиентами к микротику.
Дайте схему обоих концов (где микротик и где клиенты)

@vahdat91 · 14.06.2017, 12:49 **[ТС]**

Сообщение от insect_87

к серверу подключаются конечные пользователи?
если да, то можно например L2TP-сервер поднять

Да, только с 2 компьютера они подключаются к наше сервер, для обслуживании 1С...

Добавлено через 23 часа 3 минуты

Сообщение от romsan

поднять VPN-сервер на микротике. Должен быть белый ip-адрес.

У меня есть белые IP ADDRESS.

Сообщение от romsan

На микротике настроить сервер (в тырнете куча инфы), завести пользователей, прописать правила.

Тот пользователь которые к нам подключается по RDP или все пользователи которые используют интернет внутри наше компании?

Сообщение от romsan

Дайте схему обоих концов (где микротик и где клиенты)

Схема интернет?
У нас так: Media Converter - Cisco Catalist 2960 - потом от этого Cisco идут кабель и на микротик и на сервер и на все остальные клиенты.

Добавлено через 2 минуты

Сообщение от romsan

где микротик и где клиенты

Микротик и сервер в Таджикистан а удалённая сторона Азербайджан.

@romsan · 14.06.2017, 13:43

Сообщение от vahdat91

Media Converter - Cisco Catalist 2960

а разве на Cisco нельзя поднять VPN-сервер? (Не знаком с Cisco)

Сообщение от vahdat91

от этого Cisco идут кабель и на микротик

для чего? и микротик какой?

Сообщение от vahdat91

завести пользователей

пользователей для соединения с VPN-сервером. Имена VPN-клиентов

Сообщение от vahdat91

прописать правила

правила кому куда можно ходить, кому что разрешено и пр.

@insect_87 · 15.06.2017, 07:39

Сообщение от romsan

а разве на Cisco нельзя поднять VPN-сервер? (Не знаком с Cisco)

2960 - свитч второго уровня, нельзя. там просто в отдельной vlan uplink на роутер приходит.
vahdat91, я во втором посте ответил, читай в сторону: как поднять L2TP-сервер (ну или PPTP-cсервер) на микротике.

@romsan · 15.06.2017, 08:48

vahdat91, значит, поднимаем VPN-сервер на микротике (как? гугл в помощь), настраиваем правила и фсё....

@NoNaMe · 16.06.2017, 18:12

У микротика много вариантов GRE, IPsec, L2TP, OVPN, PPTP. Указаны в порядке надёжности и простоте настройки.

@insect_87 · 16.06.2017, 18:55

GRE (так же как и IPIP) - чистая инкапсуляция без шифрования и используется обычно в паре с IPSEC, последний собственно и обеспечивает шифрование.
так же и на втором уровне EoIP

@NoNaMe · 16.06.2017, 23:19

insect_87, Я плохо обьяснил. GRE с заданием пароля использует IPSec. Так-же есть вариант IPIP с заданием пароля IPSec.

@insect_87 · 17.06.2017, 11:28

Сообщение от NoNaMe

GRE с заданием пароля использует IPSec. Так-же есть вариант IPIP с заданием пароля IPSec.

GRE и IPIP - инкапсуляция
IPSEC - шифрование в 2 фазы, можно использовать как ключ, так и центр сертификации

@vahdat91 · 17.06.2017, 15:06 **[ТС]**

Сообщение от insect_87

как поднять L2TP-сервер (ну или PPTP-cсервер) на микротике.

начал создать VPN туннель но несколько вопросов есть..
IP - Pool / Определям диапазон адресов VPN-пользователей
1)Что это означает ведь у меня IP сервер 192.168.1.2 и я только хочу открыть VPN туннель. (Чтобы у них было соединение как у RDP).
2) Версия система MikroTik у меня RouterOS 6.23, это нормально или надо установить последные обновление?

@insect_87 · 17.06.2017, 16:34

Сообщение от vahdat91

IP - Pool / Определям диапазон адресов VPN-пользователей

да , это адреса конечных пользователей/ туннельные.

Сообщение от vahdat91

2) Версия система MikroTik у меня RouterOS 6.23, это нормально или надо установить последные обновление?

лучше все package обнови
1 - не понял

@vahdat91 · 17.06.2017, 17:55 **[ТС]**

Сообщение от insect_87

да , это адреса конечных пользователей/ туннельные.

Их белые IP аддресса надо написать или внутренные?
Я так понимаю если я здесь добавлю IP аддресса тот фирма которые обслуживает наше 1С только у них будет это туннель доспупно? и только у них появляется подключение по RDP к серверу?
А разьве нету такого варианта чтобы после установки VPN например я сам смог от любой компьютер которые имеет интернет подключиться к серверу по таким схемам Настройка нового подключения или сети - Подключение к рабочему месту?

@insect_87 · 20.06.2017, 12:36

Сообщение от vahdat91

Их белые IP аддресса надо написать или внутренные?

серые - адреса vpn-клиентов.

Сообщение от vahdat91

А разьве нету такого варианта чтобы после установки VPN например я сам смог от любой компьютер которые имеет интернет подключиться к серверу по таким схемам Настройка нового подключения или сети - Подключение к рабочему месту?

не понял вопрос

@pbx · 22.06.2017, 10:53

Сообщение от vahdat91

Их белые IP аддресса надо написать или внутренные?

Указывается диапазон адресов, которые будут выданы vpn клиентам.

Сообщение от vahdat91

Я так понимаю если я здесь добавлю IP аддресса тот фирма которые обслуживает наше 1С только у них будет это туннель доспупно? и только у них появляется подключение по RDP к серверу?

нет.

Сообщение от vahdat91

А разьве нету такого варианта чтобы после установки VPN например я сам смог от любой компьютер которые имеет интернет подключиться к серверу по таким схемам Настройка нового подключения или сети - Подключение к рабочему месту?

Если я правильно понял - то да, сможете подключиться с любого компьютера к своему VPN серверу.

Сообщение от vahdat91

Помогите пожалуйста как создать VPN туннель и добавить там только только их IP address чтобы только у них было доступ по RDP..

Добавьте, их "белый" IP в правило фаерволла которое открывает порты 1701, 500, 4500.
Могу ошибаться.

@romsan · 22.06.2017, 11:28

Опишу попонятнее поднятие VPN (PPtP):
1) Открываем Winbox, идем в РРР->Secrets
2) Здесь добавляем пользователей, которые могут подключаться к VPN-серверу
Имя (Petrov)
Passwords
Service - PPtP
Profile - (здесь выбираем тот профиль, который у Вас используется в закладке Profile)
Local address - Локальный адрес туннеля (10.0.100.1)
Remote address - адрес для данного клиента (10.0.100.2) для Petrov
Routes - (здесь прописываем маршрут доступа клиента с адресом 10.0.100.2 до Вашей внутренней сети с сервером) Например, 192.168.1.0/24 10.0.100.2 (т.е. разрешить 10.0.100.2 доступ к всей сети 192.168.1.0/24) Можно прописать 192.168.1.252 10.0.100.2 т.е. разрешить маршрут только до адреса 192.168.1.252 на котором у Вас терминальный сервер)
3) Тоже самое прописываем для другого пользователя (Ivanov)
Имя (Ivanov)
Passwords
Service - PPtP
Profile - (здесь выбираем тот профиль, который у Вас используется в закладке Profile)
Local address - Локальный адрес туннеля (10.0.100.1)
Remote address - адрес для данного клиента (10.0.100.3) для Ivanov
Routes - (сдесь прописываем маршрут доступа клиента с адресом 10.0.100.3 до Вашей внутренней сети с сервером) Например, 192.168.1.0/24 10.0.100.3 (т.е. разрешить 10.0.100.3 доступ к всей сети 192.168.1.0/24)
4) Переходим в закладку Interface, жмем PPTP Server и ставим галочку Enable
5) Теперь прописываем разрешение для нашего туннеля, открываем Filter->Rules и прописываем правило

Visual Basic

chain=input action=accept protocol=tcp in-interface=(Ваше внешнее соединение с интернетом) dst-port=1723 
      log=no log-prefix="" 
 
chain=input action=accept protocol=gre in-interface=(Ваше внешнее соединение с интернетом) log=no 
      log-prefix=""

Этими правилами Вы разрешаете подключаться по порту 1723 на вход и также разрешаете использовать протокол GRE
-------------------------------
Естественно, на стороне VPN-сервера у Вас должен быть статический адрес. Соответственно, на любом ПК из интернета, настраиваете удаленное подключение по VPN, прописываете ip-адрес, авторизацию (Ivanov) и указанный Вами пароль для Ivanov. После чего соединение должно установиться и Ваш ПК получит доступ к сети 192.168.1.0
Вот тут самое интересное, дело в том, что необходимо настроить сети так, чтобы их подсети не были одинаковы. Т.е. если Вы соединяетесь с ПК, который, например, подключен к роутеру имеющему такую же подсеть как и на стороне VPN-сервера - будут проблемы. Необходимо организовать разные подсети. Например, на стороне сервера, настроить сеть в диапазоне 192.168.35.0/24, тогда при подключении Вашего ПК из сети 192.168.1.0/24 не будет проблем.
Если Ваш терминальный сервер имеет адрес 192.168.35.252, то при установке VPN-соединения данный адрес от Вашего ПК должен пинговаться, и Вы бонально запускаете Подключение к удаленному рабочему столу, прописываете в строке сервера его адрес 192.168.35.252 и авторизацию для RDP-сервера

@vahdat91 · 23.06.2017, 15:56 **[ТС]**

Сообщение от pbx

Указывается диапазон адресов, которые будут выданы vpn клиентам.

Здесь могу только одного IP написать? потому что мне только на сервер нужен подключение..

@romsan · 23.06.2017, 17:09

Сообщение от romsan

Local address - Локальный адрес туннеля (10.0.100.1)
Remote address - адрес для данного клиента (10.0.100.2) для Petrov

Вам не понятно это? Для каждого пользователя свой ip-адрес. Один пользователь - один ip-адрес

@delfoeros · 23.06.2017, 21:06

Настройте ovpn, скачайте клиент по Винду.
Пропишите на сервисы с какого ip можно работать
Настройтте firewall+address list

Наслаждайтесь, генерьте и отзывайте сертификаты кому разрешено ходить по ovpn

@vahdat91 7 / 7 / 1 Регистрация: 27.11.2015 Сообщений: 442
		1
	Как открыть на Mikrotik VPN туннель для подключения по RDP? 13.06.2017, 04:55. Просмотров 17041. Ответов 19 Метки нет (Все метки) Скажите пожалуйста как открыть на Mikrotik VPN туннель для подключение по RDP, наше сервер 1С обслуживаеть от за граница и сейчас они проста по внешные IP address подключаеться к наше сервер (наше данные взломщики уже 2 раза взломали) сейчас они скажут что поднимите VPN туннель для безопасносты данные и безопасное подключение.. Помогите пожалуйста как создать VPN туннель и добавить там только только их IP address чтобы только у них было доступ по RDP.. 0

@insect_87 8382 / 5616 / 1392 Регистрация: 25.12.2012 Сообщений: 23,790
	13.06.2017, 08:37	2
	к серверу подключаются конечные пользователи? если да, то можно например L2TP-сервер поднять 0

@romsan 3008 / 1709 / 362 Регистрация: 17.10.2015 Сообщений: 7,386
	13.06.2017, 10:11	3
	Сообщение от vahdat91 открыть на Mikrotik VPN туннель для подключение по RDP поднять VPN-сервер на микротике. Должен быть белый ip-адрес. На микротике настроить сервер (в тырнете куча инфы), завести пользователей, прописать правила. С удаленных машин соединяться клиентами к микротику. Дайте схему обоих концов (где микротик и где клиенты) 0

@vahdat91 7 / 7 / 1 Регистрация: 27.11.2015 Сообщений: 442
	14.06.2017, 12:49 [ТС]	4
	Сообщение от insect_87 к серверу подключаются конечные пользователи? если да, то можно например L2TP-сервер поднять Да, только с 2 компьютера они подключаются к наше сервер, для обслуживании 1С... Добавлено через 23 часа 3 минуты Сообщение от romsan поднять VPN-сервер на микротике. Должен быть белый ip-адрес. У меня есть белые IP ADDRESS. Сообщение от romsan На микротике настроить сервер (в тырнете куча инфы), завести пользователей, прописать правила. Тот пользователь которые к нам подключается по RDP или все пользователи которые используют интернет внутри наше компании? Сообщение от romsan Дайте схему обоих концов (где микротик и где клиенты) Схема интернет? У нас так: Media Converter - Cisco Catalist 2960 - потом от этого Cisco идут кабель и на микротик и на сервер и на все остальные клиенты. Добавлено через 2 минуты Сообщение от romsan где микротик и где клиенты Микротик и сервер в Таджикистан а удалённая сторона Азербайджан. 0

@romsan 3008 / 1709 / 362 Регистрация: 17.10.2015 Сообщений: 7,386
	14.06.2017, 13:43	5
	Сообщение от vahdat91 Media Converter - Cisco Catalist 2960 а разве на Cisco нельзя поднять VPN-сервер? (Не знаком с Cisco) Сообщение от vahdat91 от этого Cisco идут кабель и на микротик для чего? и микротик какой? Сообщение от vahdat91 завести пользователей пользователей для соединения с VPN-сервером. Имена VPN-клиентов Сообщение от vahdat91 прописать правила правила кому куда можно ходить, кому что разрешено и пр. 0

@insect_87 8382 / 5616 / 1392 Регистрация: 25.12.2012 Сообщений: 23,790
	15.06.2017, 07:39	6
	Сообщение от romsan а разве на Cisco нельзя поднять VPN-сервер? (Не знаком с Cisco) 2960 - свитч второго уровня, нельзя. там просто в отдельной vlan uplink на роутер приходит. vahdat91, я во втором посте ответил, читай в сторону: как поднять L2TP-сервер (ну или PPTP-cсервер) на микротике. 0

@romsan 3008 / 1709 / 362 Регистрация: 17.10.2015 Сообщений: 7,386
	15.06.2017, 08:48	7
	vahdat91, значит, поднимаем VPN-сервер на микротике (как? гугл в помощь), настраиваем правила и фсё.... 0

@NoNaMe Модератор 1093 / 495 / 91 Регистрация: 10.06.2009 Сообщений: 2,016
	16.06.2017, 18:12	8
	У микротика много вариантов GRE, IPsec, L2TP, OVPN, PPTP. Указаны в порядке надёжности и простоте настройки. 0

@insect_87 8382 / 5616 / 1392 Регистрация: 25.12.2012 Сообщений: 23,790
	16.06.2017, 18:55	9
	GRE (так же как и IPIP) - чистая инкапсуляция без шифрования и используется обычно в паре с IPSEC, последний собственно и обеспечивает шифрование. так же и на втором уровне EoIP 1

@NoNaMe Модератор 1093 / 495 / 91 Регистрация: 10.06.2009 Сообщений: 2,016
	16.06.2017, 23:19	10
	insect_87, Я плохо обьяснил. GRE с заданием пароля использует IPSec. Так-же есть вариант IPIP с заданием пароля IPSec. 0

Опции темы

@insect_87 8382 / 5616 / 1392 Регистрация: 25.12.2012 Сообщений: 23,790
	17.06.2017, 11:28	11
	Сообщение от NoNaMe GRE с заданием пароля использует IPSec. Так-же есть вариант IPIP с заданием пароля IPSec. GRE и IPIP - инкапсуляция IPSEC - шифрование в 2 фазы, можно использовать как ключ, так и центр сертификации 0

@vahdat91 7 / 7 / 1 Регистрация: 27.11.2015 Сообщений: 442
	17.06.2017, 15:06 [ТС]	12
	Сообщение от insect_87 как поднять L2TP-сервер (ну или PPTP-cсервер) на микротике. начал создать VPN туннель но несколько вопросов есть.. IP - Pool / Определям диапазон адресов VPN-пользователей 1)Что это означает ведь у меня IP сервер 192.168.1.2 и я только хочу открыть VPN туннель. (Чтобы у них было соединение как у RDP). 2) Версия система MikroTik у меня RouterOS 6.23, это нормально или надо установить последные обновление? 0

@insect_87 8382 / 5616 / 1392 Регистрация: 25.12.2012 Сообщений: 23,790
	17.06.2017, 16:34	13
	Сообщение от vahdat91 IP - Pool / Определям диапазон адресов VPN-пользователей да , это адреса конечных пользователей/ туннельные. Сообщение от vahdat91 2) Версия система MikroTik у меня RouterOS 6.23, это нормально или надо установить последные обновление? лучше все package обнови 1 - не понял 0

@vahdat91 7 / 7 / 1 Регистрация: 27.11.2015 Сообщений: 442
	17.06.2017, 17:55 [ТС]	14
	Сообщение от insect_87 да , это адреса конечных пользователей/ туннельные. Их белые IP аддресса надо написать или внутренные? Я так понимаю если я здесь добавлю IP аддресса тот фирма которые обслуживает наше 1С только у них будет это туннель доспупно? и только у них появляется подключение по RDP к серверу? А разьве нету такого варианта чтобы после установки VPN например я сам смог от любой компьютер которые имеет интернет подключиться к серверу по таким схемам Настройка нового подключения или сети - Подключение к рабочему месту? 0

@insect_87 8382 / 5616 / 1392 Регистрация: 25.12.2012 Сообщений: 23,790
	20.06.2017, 12:36	15
	Сообщение от vahdat91 Их белые IP аддресса надо написать или внутренные? серые - адреса vpn-клиентов. Сообщение от vahdat91 А разьве нету такого варианта чтобы после установки VPN например я сам смог от любой компьютер которые имеет интернет подключиться к серверу по таким схемам Настройка нового подключения или сети - Подключение к рабочему месту? не понял вопрос 0

@pbx 0 / 0 / 0 Регистрация: 08.06.2017 Сообщений: 8
	22.06.2017, 10:53	16
	Сообщение от vahdat91 Их белые IP аддресса надо написать или внутренные? Указывается диапазон адресов, которые будут выданы vpn клиентам. Сообщение от vahdat91 Я так понимаю если я здесь добавлю IP аддресса тот фирма которые обслуживает наше 1С только у них будет это туннель доспупно? и только у них появляется подключение по RDP к серверу? нет. Сообщение от vahdat91 А разьве нету такого варианта чтобы после установки VPN например я сам смог от любой компьютер которые имеет интернет подключиться к серверу по таким схемам Настройка нового подключения или сети - Подключение к рабочему месту? Если я правильно понял - то да, сможете подключиться с любого компьютера к своему VPN серверу. Сообщение от vahdat91 Помогите пожалуйста как создать VPN туннель и добавить там только только их IP address чтобы только у них было доступ по RDP.. Добавьте, их "белый" IP в правило фаерволла которое открывает порты 1701, 500, 4500. Могу ошибаться. 0

@vahdat91 7 / 7 / 1 Регистрация: 27.11.2015 Сообщений: 442
	23.06.2017, 15:56 [ТС]	18
	Сообщение от pbx Указывается диапазон адресов, которые будут выданы vpn клиентам. Здесь могу только одного IP написать? потому что мне только на сервер нужен подключение.. 0

@romsan 3008 / 1709 / 362 Регистрация: 17.10.2015 Сообщений: 7,386
	23.06.2017, 17:09	19
	Сообщение от romsan Local address - Локальный адрес туннеля (10.0.100.1) Remote address - адрес для данного клиента (10.0.100.2) для Petrov Вам не понятно это? Для каждого пользователя свой ip-адрес. Один пользователь - один ip-адрес 0

@delfoeros 0 / 0 / 0 Регистрация: 28.02.2017 Сообщений: 50
	23.06.2017, 21:06	20
	Настройте ovpn, скачайте клиент по Винду. Пропишите на сервисы с какого ip можно работать Настройтте firewall+address list Наслаждайтесь, генерьте и отзывайте сертификаты кому разрешено ходить по ovpn 0