RouterOS 小菜鳥 - 架設 PPTP VPN Server

by 8/24/2015 0 意見

雖然 RouterOS 裡的設定並不像常見的 Router、Access Point、Firewall 設備一樣,介面及步驟被設計的簡單又方便,但是也不是真的那麼難,只是必須習慣 RouterOS 的設定邏輯與分類而已。


Server 端的設定步驟


其實步驟也不過就五個,而且設定完成之後,頂多就是帳號密碼可能需要常維護,其他動作完全不用再做一次。
  1. 指定專用的網段。
  2. 建立設定檔。
  3. 啟動 PPTP Server 服務。
  4. 新增使用者帳號/密碼。
  5. 設定防火牆規則。

指定 VPN 專用網段


點選「IP」選單裡的「Pool」。

在「Pools」頁籤裡點選「+」。

這次實作是為了讓對岸的同事翻牆用的,所以設定成與 LAN 不同的網段。若是為了連回辦公室存取資源的話,當然就要設定成與 LAN 相同的網段。

「Name」:自訂名稱,單純辨識用。
「Address」:指定的 IP 範圍,中間用「-」來連接頭尾的兩個 IP,數量取決於 VPN Client 同時上線的總人數。

這邊可以看到 VPN 設定成 10.2.2.0 的網段,與 LAN 的 10.1.1.0 的網段隔開。


建立 PPTP VPN Server 設定檔


點選「PPP」選單。

在「Profiles」頁籤裡點選「+」。

在「General」子頁籤,輸入。
「Name」:PPTP VPN Server 設定檔自訂名稱,單純辨識用。
「Local Address」:自訂 VPN Server 的 IP,必須與上個步驟的 VPN Client 在相同網段。
「Remote Address」:選擇上一個步驟裡,VPN Client 網段的自訂名稱。
「DNS Server」:如果是用來翻牆的話,這邊一定要指定,否則 VPN Client 會因為解析不到 Domain Name 而無法連外。如果只是用來連進辦公室 LAN 裡面的話,就不一定要設定。

在「Porotols」子頁籤,「Use Encryption」一定要改成 required,否則 VPN Client 會無法通過帳號密碼的驗證。

在「Limits」子頁籤,「Rate Limit (rx/tx)」,可以限制 VPN Client 上傳下載的頻寬,「Only One」則是用來限制使用者帳號同時只能用一個設備連入。

確認 PPTP VPN Server 設定完成。


啟動 PPTP Server


同樣在「PPP」選單裡的「Interface」頁籤,點選「PPTP Server」按鈕。

「Enable」:一定要勾選。
「Default Profile」:選擇上個步驟建立的 PPTP VPN Server 設定檔自訂名稱。「Authentication」:全部打勾。

按下「OK」就會自動啟動 PPTP VPN Server,不過它不會顯示訊息提示。


建立使用者帳號


在「PPP」選單的「Secrets」頁籤,點選「+」。

「Name」:自訂的使用者帳號。
「Password」:自訂的使用者密碼
「Service」:選擇 pptp
「Profile」:選擇先前建立的 PPTP VPN Server 設定檔自訂名稱。

這邊就可以看到新帳號被建立完成了,而且是 PPTP VPN Client 專用。


新增防火牆規則


點選「IP」選單裡的「Firewall」。

這邊要建立兩條規則,在「Filter Rules」頁籤,點選「+」。

在「General」子頁籤,輸入。
「Chain」選擇 input
 「Protocol」選擇 6 (tcp)
「Dst. Port」輸入 1723
「In. Interface」選擇 ether1-gateway,或是對外的介面名稱。

在「Action」子頁籤,「Action」選擇 accept。

將這條新規則的順序改到內建預設規則的最上方。
這個步驟很重要,因為防火牆的規則會依照順序進行過濾,順序安排不當的話,一定會導致 VPN Client 無法通過防火牆;若是已經有其他自訂規則的話,那就請自行依照現行規則的必要順序下去安排。

再建立一條規則,
「Chain」同樣選擇 input
「Protocol」選擇 gre
「In. Interface」選擇  ether1-gateway,或是對外的介面名稱。

在「Action」子頁籤,「Action」選擇 accept

確認這兩條新規則的順序都在最上面,或是適當的順序位置。


Client 端連線實測


從 Mac 連線


這邊用的版本是 OS X 10.10.4 Yosemite,打開「系統偏好設定」,點選「網路」。

點選左下角的「+」。

「介面」選擇 VPN
「VPN 類型」當然就選擇 PPTP
 「服務名稱」輸入自訂的名稱。

產生一個新的 VPN Client 設定值之後,輸入必要的 Server 端資料。
「伺服器位址」:PPTP VPN Server 的位址,Domain Name 或是 IP 都可以。
「帳號名稱」:剛剛在 RouterOS 裡設定的帳號。

接著點選「認證設定」按鈕。

因為我們用的是帳號加密碼,所以點選「密碼」,在右側的文字框裡,輸入對應的密碼。

伺服器、帳號及密碼全部輸入完成之後,就可以點選「連線」,開始跟 PPTP VPN Server 連線了。

如果輸入設定值之後,沒有先按右下角的「套用」按鈕儲存設定值,會跳出對話框提示我們。

稍等一下子。

連線成功後 ,就會看到被分配到的 IP 位址,的確是在我們指定的網段裡。

回到 RouterOS 裡,在「PPP」選單的「Active Connection」頁籤,就可以看到目前所有連線上來的 VPN Client 端。

從 iPhone 連線


這邊用的版本是 iOS 8.4,打開「設定」,選擇「一般」。

選擇「VPN」。

點選「新增 VPN 設定」。

點選「PPTP」頁籤,輸入必要的資料。
「描述」:自訂的名稱,單純辨識用。
「伺服器」:PPTP VPN Server 的 Domain Name 或 IP。
「帳號」:剛剛在 RouterOS 裡設定的帳號。
「密碼」:該帳號對應的密碼。


完成了 Client 端的設定之後,點選「未連線」右側的切換按鈕。

沒有錯誤的話,就可以連線到 VPN Server 了,而且在最上方會顯示「VPN」的字樣。

若是網路有問題、帳號/密碼等資料輸入錯誤的話,就會跳出這個提示訊息告知。

從 PC 連線


湊個熱鬧,用最新的 Windows 10 來連線看看,打開「設定」選單。

點選「網路和網際網路」。

點選左側的「VPN」,再點選右側的「新增 VPN 連線」。

這邊同樣要輸入 VPN 的相關設定資料。

這邊就會出現一個新的 VPN 連線方式。

打開它再點選「連線」。

設定資料無誤的話,就會成功的連上 VPN Server。



參考資料


圖片來源

  • http://ww.daliulian.net/cat44/node389716

更新紀錄

  • 2015/08/24 撰文。

Heracles Jam,江湖人稱「海公公」

IT 技術家 - 創站部落客

一個常用 Windows、慣用 macOS、愛用 Linux 的 3C 阿宅
現職 MIS / 業界講師 / 資訊顧問 / 部落客

0 意見 :

張貼留言