Выбор mikrotik для сети 300 компьютеров и впн
Обновлено: 30.06.2024
Как правило, те кто уже знает, зачем ему нужны такие железки, давно их использует.
Но я хочу рассказать зачем это может понадобиться дома, на даче и в путешествиях! Все исключительно на своем опыте, с моими иллюстрациями и фотографиями.
Статья будет дополняться, на вопросы буду по-возможности отвечать.
И так, для тех, кто совсем не слышал про этого производителя, коротенько опишу кто они такие.
Микротик производит сетевое оборудование — коммутаторы, маршрутизаторы, Wi-Fi точки доступа, Wi-Fi и LTE антенны с мощными усилителями и прочее сопутствующее оборудование.
Оборудование разных классов, от простых домашних до серьезных, для больших офисов и провайдеров.
При этом по функционалу например маршрутизатор для дома за 50$ почти не отличается от маршрутизатора для провайдеров за 3000$.
Сильно отличается производительность, различаются лицензии на установленную ОС, так что в домашнем роутере не будет нескольких специфических фич, которые дома абсолютно никогда не будут нужны, но по остальным функциям они будут практически одинаковы. И функций этих настолько много, что средний домашний пользователь не будет их использовать и на 10%. А сильно продвинутый будет в лучшем случае на 50%
- 1) Цена. Микротик не раскручивает свой бренд так, как это делают другие производители домашнего оборудования, например Asus, TP-Link, Zyxel и тд. И тут нет ореола элитарности, т.е. например условный роутер Asus «для геймеров» за 250-300$ (например ASUS RT-AC88U или ASUS ROG Rapture GT-AC5300) сильно уступает по функционалу и производительности роутеру от Mikrotik за 100-150$ (напримиер Mikrotik hAP ac или MikroTik RouterBoard RB2011UiAS-2HnD-IN).
- 2) Возможности . Хотя, как я уже говорил, обычному пользователю дома не нужно и 10% всех фич, предоставляемых самими простыми устройствами от Микротик, все-таки в современном мире отечественного интернета, некоторые функции будут актуальны
Например, можно купить домашний роутер с LTE модемом и поставить симку с тарифом для смартфона. Жадные сотовые операторы обычно сильно разделяют стоимость тарифов для модемов и смартфонов, но ОС от Микротик легко позволяет такие проверки обходить и экономить, используя Тетеринг на дешевых тарифах. Особенно актуально для дачи или в путешествиях по Европе, где ценник на мобильный интернет сильно выше, а за раздачу приходится некисло доплатить.
Или более близкий всем нам случай: доступ к этому форуму на территории России закрыт, приходится пользоваться впн сервисами, расширениями для браузеров и тд, что не всегда удобно, особенно для мобильных устройств. Но это очень гибко и удобно можно настроить на домашнем роутере, который будет направлять через впн только трафик на запрещенные ресурсы, а все остальное будет работать через обычный интернет, что куда быстрее. Все это я подробно рассмотрю в этой теме. - 3) Качество . Современные роутеры делают какими угодно — модными, стильными, красивыми, с блестяшками и свистульками, только не эффективными. А ведь там стоит процессор, при чем он должен быть весьма мощным. А значит выделяет тепло и греется. Маркетологи известных брендов редко задумываются о таких вещах, поэтому многие знакомы с ситуациями, когда роутер просто виснет и его надо перезагружать.
Роутеры и свичи от Микротика — простые кирпичики, часто с металлическим корпусом и адекватным радиатором, все во главу эффективности.
Даже в жару проблем с перегревом нет, ведь компания изначально рассчитывает на бизнес-рынок, где не важно как выглядит, главное что-бы работало!.
Интернет на даче с микротика
Пока еще лето, да еще и с карантином непонятно, один вроде только закончился, а уже впереди маячит второй. Кто-то коротает на даче выходные, кто-то вообще на удаленке и на даче живет все лето. Но есть одна проблема — интернет на даче обычно весьма хреновый. Чем дальше от города, тем хреновее. Бывает даже так, что не ловит совсем, даже телефон. Сам попал в такую ситуацию, когда вроде и хочется пожить на природе, но даже на выходных оставаться без связи не комфортно, а чтобы позвонить, надо топать на ближайшую возвышенность.
К счастью, в большинстве случаев (на самом деле в любых, вопрос только в деньгах) ситуацию можно решить малыми затратами. В общем случае нам нужна антенна с усилением. На телефонах и простеньких сотовых модемах антенны всегда со слабым коэффициентом усиления. Соответственно, устройства с бОльшим коэффициентом как минимум требуют более серьезного питания и бОльшего размера антенну. Но есть нюанс — светить сигналом во все стороны просто увеличивая мощность — нельзя. Для клиентских устройств без регистрации есть ограничения. Ну и еще это может быть небезопасно для находящихся рядом людей В таких случаях применяют направленные антенны, которые сигнал принимают и отправляют в конкретном направлении, обычно это сектора 60 или 30 градусов. Чем более узкий сектор, тем более высокий коэффициент усиления.
Как определять направление? По компасу! Заходим на сайт оператора, открываем карту покрытия сети, обычно видно куда светят вышки оператора, смотрим азимут, направляем антенну! Если по карте оператора непонятно, ставим на телефон приложение Network Cell Info Lite, это для андроида, про устройства эпл не скажу. Там можно точно увидеть где вышки стоят, какие у них сектора и тд.
Какой микротик купить на дачу — выбираем модель
Если интернет ловит и так , просто не устраивает скорость, то можно сильно не заморачиваться и взять модем без внешней направленной антенны. У Микротика только два таких девайса:
1) MikroTik LtAP mini LTE kit, он всепогодный, защищенный от дождя и имеет встроенный Wi-Fi модуль. LTE модем там в виде mini pci-e карточки, можно купить версию без модема, если есть свой, будет чуть дешевле. 2 слота под симки. Более серьезное устройство с COM портом.
2) MikroTik wAP LTE kit — чуть более дешевый вариант, у него только один слот под симку, в плане мощностей то же самое.
Сразу закину ссылки на плеер.ру, что-бы можно было прикинуть стоимость. У них самые адекватные цены среди наших ретейлеров вроде как. Кто-то жалуется на их гарантийный отдел, но я за 10 лет ниразу не сталкивался.
Если интернет не ловит вообще , потребуется более серьезная артиллерия
Там выбор устройств поболее, но все они отличаются только количеством поддерживаемых LTE диапазонов и как правило устройств с LTE6 на даче не нужно.
Берем самый простой девайс с 60-градусным сектором и коэффициентом усиления до 8.5дБ. Напомню, что усиление антенн величина логарифмическая, а не линейная, а усиление различается для разных частот, но для стандартных 3G/LTE частот оно плюс-минус одинаковое и находится в диапазоне 7.5-8.5дБ.
Самый народный девайс это SXT LTE kit, у которого есть модификация с поддержкой LTE6, но напоминаю, мы сэкономим. Я себе взял именно такую штуку. Защита от дождя, пыли, протестирован в работе при температурах от -40 до +60, 2 слота под симки, но одновременно можно работать только с одной симкой, т.к. модем установлен только один. Почему удобнее две симки — смотрим далее про мачту. Перетыкать симки, когда антенна закреплена в 10м над землей — так себе, занятие.
Далее отключаем DHCP сервер на точке доступа, что-бы не было конфликта, опять же.
В том же разделе IP выбираем пункт DHCP Server и жмем на значок D, который и отключит нужную нам опцию.
Теперь можно подключить точку доступа через порт poe-out (правый) и антенну через порт poe-in (левый) длинным патч-кордом и на этом настройка закончена.
Подбор оборудования MikroTik для новичка может оказаться довольно сложной задачей. В многообразии моделей потеряется каждый второй с вопросом «как выбрать оборудование для дома/офиса или загородного дома?». Если вам необходимо подобрать оборудование Mikrotik под ваши задачи или вы хотите получить профессиональную консультацию и помощь в выборе оборудования, заполните и отправьте форму ниже.
Дилерские и проектные цены и скидки
Доставка по России и ЕАЭС 1-7 дней
Расширенная гарантия 1-5 лет
Подбор и монтаж с гарантией результата
Бестселлер от MikroTik cAP XL ac вернулся с расширенным функционалом
Бестселлер сAP вернулся — с расширенным функционалом и более высокой надёжностью, чем раньше. Новая в разы улучшенная потолочная Wi-Fi точка доступа cAP XL ac. Красивая точка доступа, которая не будет мешать вам. Возможно, вы управляете сетью в людном месте и не хотите, чтобы у всех б..
Новинка от MikroTik - CCR2004-16G-2S+
MikroTik GESP и GESP+POE-IN - выдержат штормы
Вы не можете купить безопасность, но вы можете купить устройства MikroTik для обеспечения безопасности ваших решений. Взгляните на линейку продуктов GESP. Она состоит из новой модернизации классического MikroTik GESP защиты от перенапряжения и совершенно нового устройства – GESP+POE-IN, пассив..
MikroTik информирует о новых возможностях RouterOS
Представленная в версии 7.1beta6, группа агрегации каналов с несколькими шасси или MLAG позволяет формировать каналы LACP на нескольких физических коммутаторах. По сути, он обеспечивает многопутевое резервирование 2-го уровня и балансировку нагрузки. Как пишет сертифицированный инструктор MikroTik К..
Обновления функций MikroTik CWDM
MikroTik сообщает об обновлении устройств CWDM-MUX8A. Основываясь на отзывах пользователей, компания решила заменить редко используемый порт MON чрезвычайно полезным портом расширения EXP/1310. Благодаря этому дополнению теперь вы можете использовать обычные оптические модули наряду с другими мод..
MikroTik Chateau 5G - сверхбыстрый!
MikroTik информирует о выпуске SwOS Lite версии 2.13
SwOS Lite - это операционная система, разработанная специально для управления коммутаторами серии MikroTik CSS610. SwOS Lite можно настроить из вашего веб-браузера. Он предоставляет вам все основные функции управляемого коммутатора, а также многое другое: позволяет управлять переадресацией от порта ..
Новинка MikroTik - KNOT
Новинка дополняющая семейство устройств MikroTik IoT — KNOT — это по-настоящему многофункциональный продукт с уникальными возможностями подключения и поддержкой протокола интернета вещей. Используется узкополосная технология и технология CAT-M. Новейшее многофункциональное устройство для..
MikroTik представляет обновлённую версию RouterOS 6.48.1
RouterOS – данный цифровой продукт представляет собой полноценную сетевую операционную систему, которая была разработана MikroTik еще в далеком 1995 году, в качестве домашней сети. Утилита модернизировалась долгими годами, специалисты добавляли новые технологии, что позволило софту стать сегод..
MikroTik презентует новейший комплект - LHGG LTE6
Вам нужен высокоскоростной интернет в глуши? Тогда вам подойдет новейший комплект от MikroTik — LHGG LTE6! Это устройство для доступа в интернет в очень отдаленных местах. Установите его на открытом воздухе, на столбе, мачте или любой высокой конструкции, и подключайте даже там, где молчат сот..
VPN-туннели - распространенный вид связи типа "точка-точка" на основе стандартного интернет-соединения через роутеры MikroTik. Они представляют собой, по сути "канал внутри канала" - выделенную линию внутри основной.
Необходимость настройки туннельного VPN-соединения на MikroTik возникает в случаях, когда:
- Требуется предоставить доступ к корпоративной сетисотрудникам предприятия, которые работают из дома, или находясь в командировке, в том числе с мобильных устройств.
- Требуется предоставить доступ в интернет абонентам провайдера (в последнее время такая реализация доступа клиентов становится все более популярной).
- Необходимо соединить два удаленных подразделения предприятия защищенным каналом связи с минимальными затратами.
В отличие от обычной сети, где данные передаются открыто и в незашифрованном виде, VPN является защищенным каналом связи. Уровень защиты зависит от типа туннельного протокола, выбранного для соединения. Так, наименее защищенным считается протокол PPtP, даже его "верхний" алгоритм аутентификации mschap2 имеет ряд проблем безопасности и легко взламывается. Наиболее безопасным считается набор протоколов IPsec.
Несмотря на укоряющую картинку, иногда смысл в отключении шифрования и аутентификации все же есть. Многие модели MikroTik не поддерживают аппаратное шифрование, и обработка всех процессов, связанных с защитой соединения происходит на уровне CPU. Если безопасность соединения не является для вас критичным моментом, а производительность используемого роутера оставляет желать лучшего, то отключение шифрования можно использовать для разгрузки процессора.
Выбор протокола для VPN на MikroTik
Для настройки соединения по VPN через MikroTik чаще всего используются следующие протоколы:
В сегодняшней статье мы рассмотрим настройку подключения VPN с помощью двух из них, как наиболее часто встречающихся в работе провайдера и системного администратора: PPtP и PPPoE. О настройке VPN на MikroTik с помощью OpenVPN у нас есть отдельная статья.
VPN через PPtP на MikroTik
PPtP - самый распространенный протокол VPN. Представляет собой связку протокола TCP, который используется для передачи данных, и GRE - для инкапсуляции пакетов. Чаще всего применяется для удаленного доступа пользователей к корпоративной сети. В принципе, может использоваться для многих задач VPN, однако следует учитывать его изъяны в безопасности.
Прост в настройке. Для организации туннеля требуется:
создать на роутере MikroTik, через который пользователи будут подключаться к корпоративной сети, PPtP-сервер,
создать профили пользователей с логинами/паролями для идентификации на стороне сервера,
создать правила-исключения Firewall маршрутизатора, для того, чтобы подключения беспрепятственно проходили через брандмауер.
Включаем PPtP сервер.
Для этого идем в раздел меню PPP, заходим на вкладку Interface, вверху в перечне вкладок находим PPTP сервер и ставим галочку в пункте Enabled.
Снимаем галочки с наименее безопасных алгоритмов идентификации - pap и chap.
Создаем пользователей.
В разделе PPP переходим в меню Secrets и с помощью кнопки " + " добавляем нового пользователя.
В полях Name и Password прописываем, соответственно логин и пароль, который будет использовать пользователь для подключения к туннелю.
В поле Service выбираем тип нашего протокола - pptp, в поле Local Address пишем IP-адрес роутера MikroTik, который будет выступать в роли VPN-сервера, а в поле Remote Address - IP-адрес пользователя
Прописываем правила для Firewall.
Нам нужно открыть 1723 порт для трафика по TCP-протоколу для работы VPN-туннеля MikroTik, а также разрешить протокол GRE. Для этого идем в раздел IP, потом - в Firewall, потом на вкладку Filter Rules, где с помощью кнопки "+" добавляем новое правило. В поле Chain указываем входящий трафик - input, в поле Protocol выбираем протокол tcp, а в поле Dst. Port - указываем порт для VPN туннеля 1723.
Переходим здесь же на вкладку Action и выбираем accept - разрешать (трафик).
Точно также добавляем правило для GRE. На вкладке General аналогично предыдущему прописываем input, а в поле Protocol выбираем gre.
На вкладке Action как и в предыдущем правиле выбираем accept.
Не забываем поднять эти правила в общем списке наверх, поставив ПЕРЕД запрещающими правилами, иначе они не будут работать. В RouterOS Mikrotik это можно сделать перетаскиванием правил в окне FireWall.
Все, PPtP сервер для VPN на MikroTik поднят.
Небольшое уточнение.
В некоторых случаях, когда при подключении необходимо видеть локальную сеть за маршрутизатором, нужно включить proxy-arp в настройках локальной сети. Для этого идем в раздел интерфейсов (Interface), находим интерфейс, соответствующий локальной сети и на вкладке General в поле ARP выбираем proxy-arp.
Если вы подняли VPN между двумя роутерами MikroTik и вам необходимо разрешить передачу broadcast, можно попробовать добавить существующий профиль подключения (PPP - Profiles) удаленного роутера в бридж главного:
UPD из комментария: Если вам дополнительно нужно получить доступ к расшаренным папкам на компьютерах локальной сети, понадобится также открыть порт 445 для проходящего трафика SMB-протокола, который отвечает за Windows Shared. (Правило forward в брандмауере).
Настройка клиента .
На стороне VPN-клиента настройки состоят только в том, чтобы создать подключение по VPN, указать IP-адрес VPN (PPtP) сервера, логин и пароль пользователя.
VPN через PPPoE на MikroTik
Своей распространенностью в последнее время VPN по протоколу PPPOE обязан провайдерам, предоставляющим широкополосный, в т. ч. беспроводной доступ в интернет. Протокол предполагает возможность сжатия данных, шифрования, а также характеризуется:
Доступностью и простотой настройки.
Поддержкой большинством маршрутизаторов MikroTik.
Устойчивостью зашифрованного трафика к ARP-спуфингу (сетевой атаке, использующей уязвимости протокола ARP).
Меньшей ресурсоемкостью и нагрузкой на сервер, чем PPtP.
Также его преимуществом является возможность использования динамических IP-адресов: не нужно назначать определенный IP конечным узлам VPN-туннеля. Подключение со стороны клиента осуществляется без сложных настроек, только по логину и паролю.
Настройка VPN-сервера PPPoE MikroTik
Настраиваем профили сервера.
Несколько профилей PPPoE-сервера могут понадобиться, если вы провайдер и раздаете интернет по нескольким тарифным пакетам. Соответственно, в каждом профиле можно настроить разные ограничения по скорости.
Идем в раздел PPP , открываем пункт Profiles и с помощью кнопки " + " создаем новый профиль. Даем ему понятное нам название, прописываем локальный адрес сервера (роутера), отмечаем опцию Change TCP MSS (корректировку MSS), для того, чтобы все сайты нормально открывались.
Кстати, в некоторых случаях, когда возникают проблемы с открытием некоторых сайтов, при том, что пинги на них проходят, можно сделать по-другому. Корректировку MSS отключаем, а через терминал прописываем на роутере следующее правило:
"ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no". В большинстве случаев это решает проблему.
Далее на вкладке Protocols все отключаем, для улучшения производительности. Если защищенность соединения для вас важна и производительность маршрутизатора позволяет, то опцию Use Encryption (использовать шифрование) не отключайте.
На вкладке Limits устанавливаем ограничения по скорости, если нужно. Первая цифра в ограничении скорости - входящий трафик на сервер (исходящий от абонента), вторая - наш исходящий трафик (входящий у абонента).
Ставим Yes в пункте Only One , это значит, что два и более абонентов с одним и тем же набором логин/пароль не смогут подключиться к PPPoE-серверу, только один.
Теперь, если необходимо, создаем остальные профили простым копированием (кнопка Copy на предыдущем скриншоте) и меняем имя и ограничение по скорости.
Создаем учетные записи пользователей .
В том же разделе PPP находим пункт меню Secrets . В нем с помощью кнопки "+" создаем нового пользователя, который будет подключаться к нам по VPN-туннелю.
Заполняем поля Name и Password (логин и пароль, который будет вводить пользователь со своей стороны, чтобы подключиться).
В поле Service выбираем pppoe , в Profile - соответствующий профиль, в данном случае - тарифный пакет, которым пользуется абонент. Присваиваем пользователю IP-адрес, который при подключении сервер раздаст абоненту.
Если подключаем несколько пользователей, создаем для каждого из них отдельную учетную запись, меняя имя/пароль и IP-адрес.
Привязываем PPPoE сервер к определенному интерфейсу MikroTik.
Теперь нам необходимо сообщить маршрутизатору, на каком интерфейсе он должен "слушать" входящие подключения от VPN PPPoE клиентов. Для этого в разделе PPP мы выбираем пункт PPPoE Servers. Здесь мы меняем:
Поле Interface - выбираем тот интерфейс, к которому будут подключаться клиенты,
- Keepalive Timeout - 30 секунд (время ожидания ответа от клиента до разрыва соединения)
- Default Profile - профиль, который будет присваиваться подключаемым абонентам по умолчанию,
- Ставим галку в One Session Per Host, тем самым разрешая подключение только одного туннеля с маршрутизатора клиента или компьютера.
- Галочки в разделе аутентификации оставляем/снимаем по усмотрению.
Настраиваем NAT для доступа клиентов в интернет.
Мы подняли PPPoE сервер и теперь к нему могут подключаться авторизованные пользователи. Если нам нужно, чтобы подсоединившиеся по VPN туннелю пользователи имели доступ в интернет, нужно настроить NAT (маскарадинг), или преобразование локальных сетевых адресов.
В разделе IP выбираем пункт Firewall и с помощью кнопки "+" добавляем новое правило.
В поле Chain должно стоять srcnat, что означает, что маршрутизатор будет применять это правило к трафику, направленному "изнутри наружу".
В поле Src. Address (исходный адрес) прописываем диапазон адресов 10.1.0.0/16. Это означает, что все клиенты с адресами 10.1. (0.0-255.255) будут выходить в сеть через NAT, т. е. мы перечисляем здесь всех возможных абонентов.
В поле Dst. Address (адрес назначения) указываем !10.0.0.0/8 - диапазон адресов, означающий собственное адресное пространство для частных сетей, с восклицательным знаком впереди. Это указывает роутеру на исключение - если кто-то из локальной сети обращается на адрес в нашей же сети, то NAT не применяется, соединение происходит напрямую.
А на вкладке Action прописываем, собственно, действие маскарадинга - подмены локального адреса устройства на внешний адрес роутера.
Настройка VPN-клиента PPPoE
Если на той стороне VPN туннеля подключение будет происходить с компьютера или ноутбука, то просто нужно будет создать высокоскоростное подключение через PPPoE в Центре управления сетями и общим доступом (для Win 7, Win 8). Если на второй стороне - тоже роутер Mikrotik, то подключаем следующим образом.
Добавляем PPPoE интерфейс.
На вкладке Interface выбираем PPPoE Client и с помощью кнопки "+" добавляем новый интерфейс.
Здесь в поле Interface мы выбираем тот интерфейс роутера Mikrotik, на котором мы организуем VPN-туннель.
Прописываем настройки подключения.
Далее переходим на вкладку Dial Out и вписываем логин и пароль для подключения к VPN туннелю PPPoE.
Ставим галочку в поле Use Peer DNS - для того, чтобы адрес DNS сервера мы получали с сервера VPN (от провайдера), а не прописывали вручную.
Настройки аутентификации (галочки в pap, chap, mschap1, mschap2) должны быть согласованы с сервером.
Настройка VPN в MikroTik (PPTP, L2TP, OpenVPN)
Русскоязычный онлайн-курс по MikroTik от нашего коллеги Дмитрия Скромнова. Здесь можно изучить MikroTik и RouterOS самостоятельно по курсу «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA, но содержит больше информации. Это 162 видеоурока и большая практическая задача, разбитая на 45 лабораторных работ. Время на изучение неограниченно – все материалы передаются бессрочно и их можно пересматривать сколько нужно. Первые 25 уроков можно посмотреть бесплатно, оставив заявку на странице курса.
Настройка профиля
Настройка PPP профиля в MikroTik
Теперь сохраняем профиль и переходим к настройке сервера. Естественно, подразумевается что сервером VPN выступает один MikroTik, а клиентом другой.
Важно. Для OpenVPN, в профиле, поле Local Address не должно быть пустым! Здесь необходимо указать IP из той же сети что и указанный пул, но при этом этот адрес не должен входить в указанный пул. Проще говоря, если мы используем сеть 10.0.3.0/24, из которой используется пул 10.0.3.10-10.0.3.100, то локальный адрес должен быть в промежутке между 10.0.3.1-10.0.3.9 или 10.0.3.101-10.0.3.254.
Настройка сервера
Сложность Настройки VPN сервера в MikroTik напрямую зависит от выбранного протокола. Рассмотрим каждый, в порядке возрастания сложности, предварительно создав пользователя(ей) для аутентификации на нашем сервере. Данная конфигурация идентична для всех типов VPN.
Настройка PPP пользователя в MikroTik
В дальнейшем именно эти данные будут использованны для аутентификации на нашем VPN сервере. Помимо логина и пароля, здесь для каждого пользователя можно указать к какому сервису данный пользователь будет иметь доступ (Service), указать локальный и клиентский IP адрес (Local/Remote address), добавить маршрут (Routes) и установить ограничения (Limit *).
Настройка PPTP сервера в MikroTik
Настройка L2TP сервера в MikroTik
Создание SSL сертификата в MikroTik Создание CA SSL сертификата в MikroTik
Рекомендуется указывать 127.0.0.1 для корневого сертификата, однако любой действующий IP адрес на данном MikroTik’е тоже подойдёт. По завершению процесса в поле Progress появится надпись done . После её появления, закрываем все окошки. Вообще, стоит заполнять все реквизиты SSL сертификата, но мы здесь чуток поленимся 😉 .
Теперь переходим к созданию сертификата OpenVPN сервера и клиента. Процесс аналогичен предыдущему, за исключением пары пунктов. Здесь мы указываем не IP хоста, а корневой сертификат УЦ (CA) и естественно другое (уникальное) имя создаваемого сертификата.
Создание OVPN SSL сертификата в MikroTik Создание клиентского OVPN SSL сертификата в MikroTik
После того как все сертификаты созданы, нужно экспортировать корневой сертификат и сертификат+ключ всех клиентов. Важно! Корневой сертификат в отличие от клиентских экспортируется без закрытого ключа, поэтому поле Export Passphrase оставляем пустым. В то же время, все пароли у ключей клиентских сертификатов должны быть разными (уникальными) и не совпадать с паролями этих клиентов. Эти пароли необходимо запомнить/записать. Экспортированные сертификаты можно найти в файлах на локальном диске.
Экспорт CA SSL сертификата в MikroTik Экспорт SSL сертификата в MikroTik Экспортированные SSL сертификаты в MikroTik
Справившись с сертификатами, переходим к настройке OpenVPN сервера. Здесь выбираем сертификат OpenVPN сервера, указываем на необходимость клиентского сертификата и выбираем способы шифрования.
Настройка OVPN сервера в MikroTik
Так выглядит конфигурация VPN сервера в MikroTik для наиболее популярных протоколов. Естественно, чтобы не углубляться в подробности, здесь опущено много параметров, поэтому если возникают вопросы по какому-то из них, не стесняемся, оставляем комментарии, задаём вопросы.
Настройка клиента
Теперь рассмотрим настройки клиентов применительно к каждому протоколу. Аналогично серверу, начнём по мере возрастания сложности. Напомню, что на клиенте так же как и на сервере необходимо создать профиль VPN, в котором в отличие от сервера поля Local Address и Remote Address не заполняются, а пул не создаётся.
Настройка PPTP клиента в MikroTik
Настройка L2TP клиента в MikroTik
Импорт SSL сертификатов в MikroTik
Теперь загруженные сертификаты необходимо импортировать в систему. Для закрытого ключа используем ранее введённый на сервере пароль.
Импорт корневого SSL сертификата в MikroTik Импорт клиентского SSL сертификата в MikroTik Импорт закрытого ключа сертификата в MikroTik
Выполнив эти нехитрые действия, можем переходить к настройке OpenVPN клиента. Аналогично предыдущим, за исключением поля выбора сертификата и типа аутентификации. Если вдруг не получилось с первого раза, напомню про поле Local Address в профиле на сервере.
Настройка OpenVPN клиента в MikroTik
Друзья, для тех, кто хочет стать настоящим профи, я рекомендую пройти Онлайн-курс по MikroTik на русском от нашего коллеги Дмитрия Скромнова. Здесь можно изучить MikroTik и RouterOS самостоятельно по курсу «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA, но содержит больше информации. Это 162 видеоурока и большая практическая задача, разбитая на 45 лабораторных работ. Время на изучение неограниченно – все материалы передаются бессрочно и их можно пересматривать сколько нужно. Первые 25 уроков можно посмотреть бесплатно, оставив заявку на странице курса.
Ещё не так давно я был сторонником роутеров прибалтийской компании MikroTik. Но время не стоит на месте, чего нельзя сказать о новых "микротиках", которые остановились в своём развитии около пяти лет назад.
Единственным заметным нововведением можно считать только смену дизайна для роутеров линейки hAP ac. По всей видимости у компании стали заканчиваться белые мыльницы, которые они использовали в качестве корпусов для своих устройств. Ну а если серьёзно, что может предложить MikroTik обычному пользователю в 2021 году, чего нет у конкурентов?
Зачем брать домой MikroTik, если есть KEENETIC?
Я не спорю, что "микроты" позволяют делать очень тонкие и специфические настройки для корпоративного сегмента, но насколько это нужно дома? Изменилось ли что-то в лучшую сторону в плане дружественности интерфейса RouterOS за последние 5-7 лет? Ответ — ничего, от слова совсем.
Мне могут возразить, что есть же режим настройки «Quick Set». Но что он умеет, кроме простейших настроек DHCP сервера, подключения к единственному провайдеру и поднятия сети Wi-Fi? Дальше этого функционала обычного пользователя ждут многочасовые ковыряния в безумно устаревшем интерфейсе RouterOS и изучение бесконечных статей от красноглазых "экспертов", как настроить ту или иную функцию.
Почему я пишу "экспертов" в кавычках? Просто большинство мануалов в сети, посвящённых настройке MikroTik, является копипастом одних и тех же статей многолетней давности, которые не только содержат ошибки, но зачастую и противоречат друг другу. А всё потому, что латвийские разработчики до сих пор не удосужились создать мало-мальски удобоваримую документацию к своему детищу.
Оно и понятно, надо же зарабатывать на курсах по настройке этого чудо-оборудования и втюхивать никому не нужные сертификаты о их прохождении.
Тут я несколько покривил душой и на самом деле, курсы довольно грамотные (сам прошёл два из них) и готовят неплохих сетевых инженеров. Но объясните мне, зачем в это всё нужно вникать обычному пользователю? А ведь начальные модели роутеров MikroTik предполагают именно домашнее применение, так как для корпоративной среды их производительности явно не хватит.
Для вас важна простота настройки? Тогда проходите мимо MikroTik
Любой современный KEENETIC по своим возможностям ничуть не уступает "микротам", а кое в чём даже даст фору. Но главное преимущество — это простота настройки. Попробуйте, например, создать бесшовную wi-fi сеть или настроить подключение к двум разным провайдерам на "микротиках" и проделайте то же самое с "кинетиками". ну и кто тут теперь папа, только честно?
RouterOS, на которой работают абсолютно все MikroTik, как губка впитала в себя худшие качества мира Linux периода взросления. Стоит заметить , что современные дистрибутивы линукс кардинально отличаются от того, что было 10 лет назад — они более дружелюбны к пользователям, даже по сравнению с "виндой", чего точно нельзя сказать о RouterOS. Она как будто застряла в том времени.
Почему в оборудовании MikroTik нет русского интерфейса?
Можете считать что я сейчас придираюсь, но видимо из-за особой любви к нам прибалтов, они не добавили русский язык даже в ту скудную бумажку, которую принято считать руководством пользователя, прилагаемого к роутерам.
Собственно, с русским языком у "микротов" всегда была беда, вернее его тут никогда не было. Сетевым инженерам русский язык в настройках не нужен в принципе (скорее даже вредит), однако новички всякий раз упорно пытаются отыскать его в интерфейсе RouterOS. Это ещё раз доказывает, что нечего слушать всевозможных советчиков и "экспертов" в комментариях на форумах, которые фанатично продолжают советовать микротики для домашнего использования. Не нужно тащить корпоративные решения домой.
Скажу больше, даже при построении корпоративной сети, я теперь склоняюсь к роутерам KEENETIC. Почему? Да просто они делают устройства для людей и уже давно обыграли "микроты" на их же поле. Я имею в виду священную корову всех красноглазых свидетелей MikroTik — работу с VPN каналами.
MikroTik сильно гордится работой VPN на своих устройствах, но всё ли так хорошо, как пытаются представить?
RouterOS до сих пор не поддерживает Ethernet Bridging (TAP интерфейс) при создании OpenVPN туннелей, а разработчики который год обещают появление данного функционала лишь в 7-ой версии RouterOS, которая никак не выйдет из бета-тестирования.
В кинетиках почему-то это давно реализовано и прекрасно работает, как и отправка маршрута клиенту L2TP/IPsec сервера, о чём я уже рассказывал ранее. Самое удивительное, что техподдержка "микротов" не считает это проблемой. Ну да, если что-то не работает, то это вовсе не баг, а фича такая. Так получается?
Стабильности работы. Почему высокий аптайм роутеров MikroTik это палка о двух концах?
Служители культа MikroTik готовы бесконечно меряться высоким аптаймом своих устройств. Для тех кто не в курсе, "аптайм" (uptime) — это время непрерывной работы без выключений или перезагрузок, по нему можно судить о стабильности работы устройства.
На форумах пишут цифры аптайма в год-два, а то больше (ну это как у рыбаков). С одной стороны это действительно выглядит круто, но возникает один вопрос. а принадлежит ли до сих пор вам этот роутер или он давно стал частью бот-сети?
Уязвимости в операционных системах находят постоянно (RouterOS не исключение) и производители регулярно выпускают обновления прошивок. В погоне за высоким аптаймом, велик шанс пропустить важное обновление безопасности. И тут уж решайте сами, что для вас важнее — красивые циферки или безопасность, так как установка системных обновлений всегда сопровождается перезагрузкой устройства.
Вместо заключения.
Наверное стоит заранее озвучить наиболее популярные комментарии, которые точно будут у данного поста:
– автор эникейщик и ничего не понимает в сетях и настройках микротиков – тупая реклама KEENETIC – сколько тебе заплатили? – иди учи матчасть прежде чем писать – ты просто не умеешь их настраивать – лучше MikroTik может быть только MikroTik! Можете дополнить этот список в комментариях :)
Яндекс.Дзен и узнавайте первыми о новых материалах, опубликованных на сайте.Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.
Читайте также: