Configuration VPN PPTP sur Mikrotik

jeudi 10 janvier 2013, 14:01:00

Catégorie WIB : Trucs et astuces

Réseaux privés virtuels (VPN)

Le VPN est un réseau informatique où la connexion entre les appareils
(nœuds) utilise un réseau public de sorte que tout ce qui est nécessaire est
une connexion Internet sur chaque site.
Lors de la mise en œuvre d'un VPN, l'interconnexion entre les nœuds aura un
chemin virtuel spécial sur le réseau public qui est indépendant. Cette méthode
est généralement utilisée pour créer des communications sécurisées, comme
un système de billetterie en ligne avec un serveur de base de données
centralisé.
Protocole de tunnel point à point (PPTP)
L'un des services couramment utilisés pour construire un réseau VPN est le
protocole PPTP (Point to Point Tunnel Protocol). Une connexion PPTP se
compose d'un serveur et d'un client.
Mikrotik RouterOS peut fonctionner à la fois en tant que serveur et client ou
même activé les deux ensemble sur la même machine. Cette fonctionnalité est
incluse dans le package PPP , vous devez donc vérifier dans le menu du
package système si le package est déjà sur le routeur ou non. La fonction
client PPTP est également disponible sur presque tous les systèmes
d'exploitation, nous pouvons donc utiliser un ordinateur portable/PC comme
client PPTP.
Habituellement, PPTP est utilisé pour les réseaux qui sont passés par un
routeur multisaut (réseau routé). Si vous souhaitez utiliser PPTP, assurez-
vous qu'aucune règle ne bloque les protocoles TCP 1723 et IP Protocol
47/GRE sur votre routeur car le service PPTP utilise ces protocoles.
Topologie
Dans cet article, nous donnerons un exemple si nous allons connecter le
réseau en implémentant un VPN avec PPTP. La topologie peut être vue dans
l'image ci-dessous.
Le routeur Office A et le routeur Office B sont connectés à Internet via Ether 1
et les PC de chaque réseau local sont connectés à Ether 2. Le client distant
est également connecté à Internet.
Nous allons le configurer de manière à ce que le routeur A et le réseau LAN A
soient accessibles à partir du routeur B et du réseau LAN B et du client
distant. Les étapes pour paramétrer PPTP avec Winbox sont les suivantes :
Configuration du serveur PPTP
Sur la base de la topologie ci-dessus, le bureau du routeur A est le centre de
la liaison PPTP (concentrateur), nous devons donc configurer le serveur PPTP
sur ce routeur.
Activer le serveur PPTP
La première étape à suivre consiste à activer le serveur PPTP. Entrez dans le
menu PPP->Interface->Serveur PPTP . Utilisez le profil "Default-encryption"
pour que le chemin VPN soit chiffré.

Secret
À ce stade, nous pouvons déterminer le nom d'utilisateur et le mot de
passe pour le processus d'authentification du client qui se connectera au
serveur PPTP. L'utilisation de lettres majuscules et minuscules aura un effet.

- L'adresse locale est l'adresse IP qui sera installée sur le routeur lui-même

(routeur A / serveur PPTP) après la formation de la liaison PPTP
- L' adresse distante est l'adresse IP qui sera attribuée au client après la
formation de la liaison PPTP.

Exemple de configuration comme suit. Naviguez pour utiliser le profil "Default-

Encryption"

À ce stade, la configuration du routeur A (serveur PPTP) est terminée, nous

allons maintenant le configurer côté client.

Client Router Office B

Les étapes de configuration d'un client PPTP sur un routeur Mikrotik sont les
suivantes :

Ajoutez une nouvelle interface client PPTP, composez le numéro du routeur

public IP A (serveur PPTP) et entrez le nom d'utilisateur et le mot de passe
conformément aux paramètres secrets du serveur PPTP.
  

Note : IP 10.10.10.100 est un exemple d'IP publique du serveur. Pour

l'implémentation réelle, ajustez-la à l'IP publique que vous avez. 

Une fois la connexion PPTP établie, une nouvelle adresse IP apparaîtra sur
les deux routeurs avec le drapeau "D" attaché à l'interface pptp selon les
paramètres Secret sur le serveur PPTP Static Route

.communiquer
. Pour que les réseaux locaux puissent communiquer entre eux, nous devons
ajouter un routage statique avec la configuration

- dst-address : réseau local Opposing router

- gateway : IP PPTP Tunnel sur les deux routeurs.

Ajout d'une route statique sur le routeur A

Ajouter une route statique sur le routeur B

Mobile Client 
Client PPTP n'a pas besoin d'utiliser un routeur. Comme dans la topologie de
réseau ci-dessus, il existe un client distant (ordinateur portable) qui établira
une connexion VPN avec le routeur A.
Nous devons donc créer un nouveau secret sur le serveur PPTP pour
authentifier le client distant.

Nom d'utilisateur secret

= client2 ; mots de passe = 1234 ; Adresse locale = 10.20.20.1 ; Adresse
distante = 10.20.20.7

Ensuite, nous devons configurer le client PPTP sur l'ordinateur portable. Les

étapes seront différentes pour chaque système d'exploitation. Ce qui suit est
un didacticiel de configuration du client PPTP pour le système d'exploitation
Windows 7.

Configuration du client PPTP Windows 7

Assurez-vous que votre ordinateur portable peut accéder à Internet. Accédez
au menu Centre Réseau et partage, puis créez une nouvelle connexion en
sélectionnant Configurer une nouvelle connexion ou un nouveau réseau .
Dans la fenêtre d'affichage suivante, sélectionnez Se connecter à un lieu de
travail , puis cliquez sur Suivant.

Ensuite, sélectionnez Utiliser ma connexion Internet (VPN)

Dans l'étape suivante, on nous demande d'entrer l'adresse IP où nous nous

connecterons. Selon la topologie, nous entrons l'adresse IP publique du
routeur A. Le nom de destination est un paramètre pour donner un nom à
l'interface VPN en cours de création.

Entrez ensuite le nom d'utilisateur et le mot de passe en fonction des

paramètres Secret sur le serveur PPTP. Cliquez ensuite sur Connecter.

Il y aura un processus d'authentification, attendez qu'il se termine.

Une fois terminé, une nouvelle interface apparaîtra sur l'ordinateur portable
avec le nom VPN Office A et une adresse IP attachée qui provient du pool
d'adresses IP de l'adresse distante en fonction du profil et des paramètres
secrets sur le serveur PPTP.

Ici, la connexion VPN de l'ordinateur portable au routeur A a été

établie. L'ordinateur portable peut accéder au routeur A et au réseau LAN A. 

Pour se connecter à distance au routeur A, il suffit de saisir l'adresse IP du

routeur installé après la formation de la liaison VPN, à savoir l'adresse IP
10.20.20.1.

Conseils:

 La ligne VPN sera stable et plus facile à configurer si le côté serveur

dispose d'une ligne Internet dédiée et d'une adresse IP publique
statique.
 Les transferts de fichiers entre les sites suivront la plus petite bande
passante des deux sites, alors assurez-vous que la bande passante de
téléchargement et de téléchargement des deux côtés du site est
suffisante
 Pour les appareils clients utilisant le système d'exploitation Windows 7,
par défaut, ils ne peuvent être connectés que si le cryptage est activé
côté serveur
Par : Adyatma Yoga K (Mikrotik.co.id) 
Contrôleur Zerotier sur MikroTik RouterOS
Lundi 25 avril 2022, 13:13:17
Catégorie WIB : VPN
Partager :

MikroTik continue de développer son logiciel, dans la version 7 d'hier, il y avait

une nouvelle fonctionnalité assez cool appelée zerotier. Nous avons testé la
fonctionnalité et l'avons implémentée. Vous pouvez voir un exemple
d'utilisation de ZeroTier sur MikroTik RouterOS dans l'article suivant
https://citraweb.com/artikel_lihat.php?id=460
 
Malheureusement, cette fonctionnalité de niveau zéro ne peut être appréciée
que par les utilisateurs de produits Mikrotik avec des architectures arm et
arm64 telles que les séries hap ac3, rb5009, ccr 2000 et d'autres routeurs
avec une architecture arm ou arm64.
 
 
Dans cet article, nous allons essayer de discuter de l'ajout de fonctionnalités à
zerotier, qui est le contrôleur zerotier. Il s'agit du centre de configuration des
nœuds de niveau zéro. Le contrôleur Zerotier gère le nœud, l'adresse IP,
l'itinéraire et d'autres options.
 
 
Auparavant, nous utilisions un contrôleur de niveau zéro sur zerotier.com,
mais il existe maintenant un contrôleur de niveau zéro sur Mikrotik afin que
nous puissions utiliser un contrôleur de niveau zéro sur un proxy au lieu
d'utiliser un contrôleur de niveau zéro sur zerotier.com. La raison est assez
simple, à savoir que nous pouvons configurer directement sur le routeur au
lieu de devoir l'ouvrir dans un navigateur Web.
 

Les prérequis

1. Utilisation de MikroTik avec l'architecture arm / arm64

2. Utilisation de RouterOS 7.3beta33 ou version ultérieure
3. Installez le package zerotier.
Configuration
Pour un exemple d'implémentation du ZeroTier Controller, il y aura 3
appareils, à savoir un routeur principal (Controller), un routeur (Node), un
smartphone (Node).  
Plus tard, nous aurons également de nouveaux termes pour cette
configuration, à savoir le niveau VL1 et le niveau VL2. VL1 est un ZeroTier
Planet Server et VL2 est un routeur MikroTik en tant que contrôleur privé
ZeroTier.  

Routeur principal (contrôleur)

La première étape, nous allons d'abord configurer le routeur principal qui se
positionne en tant que contrôleur. La configuration est que nous allons activer
l'instance pour se connecter au niveau VL1.
 

 
Après "Running", nous définirons le contrôleur sur le niveau VL2. Et pour la
configuration actuelle, il n'y a toujours pas d'interface graphique disponible sur
Winbox, nous devons donc la définir via "Nouveau terminal".
 
 
Dans la configuration ci-dessus, assurez-vous de définir l'option "PRIVATE =
yes" pour fournir plus de sécurité sur le réseau ZeroTier.
 
 
Ensuite, nous ajoutons l'interface ZeroTier qui sera utilisée plus tard pour la
communication avec les appareils sur le réseau. [IMPORTANT] Assurez-vous
que le Netork-ID correspond à celui du contrôleur illustré dans l'image ci-
dessus, à savoir 98b034ce4300f51a
 
 
Parce qu'auparavant pour notre accès le paramètre était "PRIVATE=YES"
donc l'interface créée ne s'exécutait pas immédiatement et status =
ACCESS_DENIED
 
 
On peut voir la même chose dans le membre du contrôleur, qui montre que
l'on est enregistré mais pas encore AUTORISÉ
 

 
Pour cela, nous devons faire "AUTORISE" manuellement via le contrôleur. Il
existe des moyens comme celui-ci :
 

 
Vérifiez ensuite à nouveau l'état de l'interface ZeroTier, l'information STATUS
= OK apparaîtra. Et si nous vérifions le menu Adresse IP, il y aura
dynamiquement de nouvelles adresses IP supplémentaires.
 
Routeurs de nœuds
Sur d'autres routeurs, les nœuds doivent être configurés pour se synchroniser
avec le contrôleur. Comme précédemment, nous activons l'instance et
ajoutons une interface avec l'ID réseau qui correspond au contrôleur.
 
Et ici, l'interface ne peut pas directement "RUNNING" et le statut
ACCESS_DENIED. nous devons également effectuer une autorisation
manuelle du côté du routeur principal (contrôleur).
 

 
Vérifiez ensuite à nouveau l'état de l'interface ZeroTier ainsi que l'attribution de
l'adresse IP pour vous assurer que la configuration fonctionne correctement.
 
Nœuds pour téléphones intelligents
En tant que nœud ZeroTier, nous pouvons également utiliser des
smartphones. Et dans cet exemple, nous allons utiliser un Smartphone
Android pour se connecter au réseau ZeroTier.

Pour ce besoin, les étapes à suivre sont les suivantes :

 
 

1. Télécharger via APK ou lien https://www.zerotier.com/download/

2. Ouvrez l'application ZeroTier sur votre smartphone et rejoignez
Network-ID 98b034ce4300f51a
 3. Faites manuellement "AUTORIZED" sur le routeur principal afin que le
smartphone ressemble à la méthode précédente afin que le smartphone
ait accès à la configuration zerotier.

 
 
PPPOE et Hotspot avec PCC Load Balance
vendredi 11 février 2022, 09:49:41
Catégorie WIB : Trucs & Astuces
Partager :

L'équilibrage de charge est une fonctionnalité souvent utilisée par les

utilisateurs qui ont plus d'une liaison montante vers Internet. Et le plus
populaire et le plus stable est Per Connection Classifier ou PCC. Bien sûr, la
fonction d'équilibrage de charge PCC peut être combinée avec d'autres
fonctions selon les besoins. Pour ceux qui veulent en savoir plus sur PCC,
consultez l'article suivant Load Balance PCC Simple.
L'équilibrage de charge PCC sera facile à mettre en œuvre s'il n'y a qu'un seul
réseau local. Alors, que se passe-t-il s'il y a 2 réseaux locaux et que les deux
réseaux utilisent des services différents ?
Cette fois, nous discuterons plus en détail de la mise en œuvre de l'équilibrage
de charge PCC s'il existe 2 services différents. Les services que nous allons
utiliser sont Hotspot et PPPOE car ces services sont souvent rencontrés sur le
terrain.
La topologie qui sera utilisée est la suivante :
 

Avec la topologie ci-dessus, le routeur dispose de 2 liens internet sur ether1 et

ether2. Et il sera distribué aux clients utilisant le service hotspot vers wlan et le
service pppoe vers ether3.
La configuration suivante est appliquée :
Adresse IP
 
 

Serveur PPPOE et serveur Hotspot

 
 
Le serveur PPPOE sera installé sur l'interface ether3 tandis que le point
d'accès sera installé sur une interface sans fil avec un réseau différent.
 
 
 
Pour les clients PPPOE, nous pouvons créer des listes d'adresses IP dans le
pool d'adresses IP à utiliser dans les profils PPP. Cela permet aux utilisateurs
et aux clients d'obtenir plus facilement des adresses IP à partir d'une plage
prédéterminée.

Comme les clients connectés à pppoe sont dynamiques, nous pouvons les
regrouper à l'aide de la liste des interfaces. Nous allons d'abord créer une liste
appelée LAN, qui fonctionnera ensuite pour créer une liste contenant les
réseaux de points d'accès et PPPOE en une seule :
Pour diriger le réseau hotspot vers LIST LAN, nous pouvons alors ajouter une
interface qui mène au réseau hotspot, à savoir WLAN1.

Quant au réseau PPPOE, pour le rediriger il faut passer par le profil PPP. A
savoir sur le profil ppp interface-list. Assurez-vous que l'adresse distante utilise
la liste de pool d'adresses IP qui a été créée précédemment.
 
En fait, les configurations de serveur PPPOE et de serveur hotspot qui sont
implémentées sont assez simples et standard. Si les deux services sont
installés, nous pouvons marquer la connexion qui sera utilisée pour
l'équilibrage de charge PCC. En conséquence, chaque fois qu'un client est
connecté via PPPOE, il entrera dans la liste "LAN" qui a été créée.
Firewall Mangle - Policy Routing
Dans firewall mangle, il y a une petite configuration supplémentaire car il
existe des réseaux locaux qui utilisent différents services, à savoir PPPOE et
Hotspot.
Tout d'abord, autorisez local du réseau hotspot et pppoe à pointer vers les 2
FAI utilisés.
 
add action=accept chain=prerouting dst-address=192.168.5.0/24 in-interface-list=LAN
add action=accept chain=prerouting dst-address=172.16.1.0/24 in-interface-list=LAN
Parce qu'il utilise 2 liens Internet, nous devons nous assurer que le trafic de
demande et de réponse passe par le même FAI. A savoir en marquant le trafic
entrant du FAI afin qu'il sorte par le même chemin.
 
add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ether1 new-connectio
add action
=mark-connection chain=prerouting connection-mark=no-mark in-interface=ether2 new -connection-mark=IS
Ensuite, ajoutez une configuration PCC pour partager la connexion qui va à
chaque FAI. A savoir en établissant une connexion marquée depuis le réseau
local vers chaque FAI. A partir de la condition que la bande passante des deux
FAI soit la même, il suffit de faire un pcc en utilisant seulement 2 règles, cela
peut être ajusté en fonction du débit de bande passante des deux liens :
 
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local hotspot=au
new-connection-mark=ISP1_conn passthrough=yes per-connection-classifier=both- adresses : 2/0
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local hotspot=au
list=LAN new-connection-mark=ISP2_conn passthrough=yes per -connection-classifier=deux-adresses :2/1
En fait, il y a 1 configuration supplémentaire qui doit être ajoutée lors de la
mise en œuvre de PCC + Hotspot. C'est le paramètre de point d'accès sur
l'onglet Extra, en particulier sur la règle PCC. Pour que la page de connexion
au point d'accès puisse apparaître sur le client lorsqu'il est connecté au
réseau.

 
Ensuite, créez une marque de routage afin que toutes les connexions qui ont
été marquées puissent être utilisées dans la table de routage.
 
add action=mark-routing chain=prerouting connection-mark=ISP1_conn in-interface-list=LAN new-routing-m
action=
mark-routing chain=prerouting connection-mark=ISP2_conn in-interface-list=LAN new -routing-mark=to_IS
add action=mark-routing chain=sortie connection-mark=ISP1_conn new-routing-mark=to_ISP1
add action=mark-routing chain=sortie connection-mark=ISP2_conn new-routing-mark=to_ISP2
 
Après ce processus, la configuration pcc sur le routeur est terminée. Nous
avons juste besoin de l'ajouter à la table de routage et d'expérimenter.
 

Le résultat final de la configuration du pare-feu est le suivant

En fait, la configuration qui est appliquée est presque la même que la

configuration PCC en général, c'est juste que parce que les services utilisés
sont hotspot et pppoe, nous devons ajouter quelques règles
supplémentaires. Comme Hotspot Auth et la liste d'interface pour le rendre
plus efficace.
Dans cette expérience, nous avons utilisé RouterOS version 6.49 et n'avons
eu aucun problème pour activer l'authentification du point d'accès. Le portail
de connexion apparaîtra automatiquement du côté client lorsque cette
fonctionnalité est utilisée. Bien qu'il existe plusieurs clients qui n'apparaissent
pas car le point d'accès doit utiliser HTTPS pour fonctionner normalement sur
certains systèmes d'exploitation.
Pour ceux qui veulent s'initier facilement à la configuration PCC, vous pouvez
lire l'article suivant PCC Simple
Une explication des hotspots https peut être trouvée dans l'article
suivant HTTPS Mikrotik Hotspot
 
Cet article a été créé le 11 février 2022