雖然 RouterOS 裡的設定並不像常見的 Router、Access Point、Firewall 設備一樣,介面及步驟被設計的簡單又方便,但是也不是真的那麼難,只是必須習慣 RouterOS 的設定邏輯與分類而已。
Server 端的設定步驟
其實步驟也不過就五個,而且設定完成之後,頂多就是帳號密碼可能需要常維護,其他動作完全不用再做一次。
- 指定專用的網段。
- 建立設定檔。
- 啟動 PPTP Server 服務。
- 新增使用者帳號/密碼。
- 設定防火牆規則。
指定 VPN 專用網段
點選「IP」選單裡的「Pool」。
在「Pools」頁籤裡點選「+」。
這次實作是為了讓對岸的同事翻牆用的,所以設定成與 LAN 不同的網段。若是為了連回辦公室存取資源的話,當然就要設定成與 LAN 相同的網段。
「Name」:自訂名稱,單純辨識用。
「Address」:指定的 IP 範圍,中間用「-」來連接頭尾的兩個 IP,數量取決於 VPN Client 同時上線的總人數。
這邊可以看到 VPN 設定成 10.2.2.0 的網段,與 LAN 的 10.1.1.0 的網段隔開。
建立 PPTP VPN Server 設定檔
點選「PPP」選單。
在「Profiles」頁籤裡點選「+」。
在「General」子頁籤,輸入。
「Name」:PPTP VPN Server 設定檔自訂名稱,單純辨識用。
「Local Address」:自訂 VPN Server 的 IP,必須與上個步驟的 VPN Client 在相同網段。
「Remote Address」:選擇上一個步驟裡,VPN Client 網段的自訂名稱。
「DNS Server」:如果是用來翻牆的話,這邊一定要指定,否則 VPN Client 會因為解析不到 Domain Name 而無法連外。如果只是用來連進辦公室 LAN 裡面的話,就不一定要設定。
在「Porotols」子頁籤,「Use Encryption」一定要改成 required,否則 VPN Client 會無法通過帳號密碼的驗證。
在「Limits」子頁籤,「Rate Limit (rx/tx)」,可以限制 VPN Client 上傳下載的頻寬,「Only One」則是用來限制使用者帳號同時只能用一個設備連入。
確認 PPTP VPN Server 設定完成。
啟動 PPTP Server
同樣在「PPP」選單裡的「Interface」頁籤,點選「PPTP Server」按鈕。
「Enable」:一定要勾選。
「Default Profile」:選擇上個步驟建立的 PPTP VPN Server 設定檔自訂名稱。「Authentication」:全部打勾。
按下「OK」就會自動啟動 PPTP VPN Server,不過它不會顯示訊息提示。
建立使用者帳號
在「PPP」選單的「Secrets」頁籤,點選「+」。
「Name」:自訂的使用者帳號。
「Password」:自訂的使用者密碼
「Service」:選擇 pptp。
「Profile」:選擇先前建立的 PPTP VPN Server 設定檔自訂名稱。
這邊就可以看到新帳號被建立完成了,而且是 PPTP VPN Client 專用。
新增防火牆規則
點選「IP」選單裡的「Firewall」。
這邊要建立兩條規則,在「Filter Rules」頁籤,點選「+」。
在「General」子頁籤,輸入。
「Chain」選擇 input。
「Protocol」選擇 6 (tcp)
「Dst. Port」輸入 1723
「In. Interface」選擇 ether1-gateway,或是對外的介面名稱。
在「Action」子頁籤,「Action」選擇 accept。
將這條新規則的順序改到內建預設規則的最上方。
這個步驟很重要,因為防火牆的規則會依照順序進行過濾,順序安排不當的話,一定會導致 VPN Client 無法通過防火牆;若是已經有其他自訂規則的話,那就請自行依照現行規則的必要順序下去安排。
再建立一條規則,
「Chain」同樣選擇 input。
「Protocol」選擇 gre。
「In. Interface」選擇 ether1-gateway,或是對外的介面名稱。
在「Action」子頁籤,「Action」選擇 accept。
確認這兩條新規則的順序都在最上面,或是適當的順序位置。
Client 端連線實測
從 Mac 連線
這邊用的版本是 OS X 10.10.4 Yosemite,打開「系統偏好設定」,點選「網路」。
點選左下角的「+」。
「介面」選擇 VPN。
「VPN 類型」當然就選擇 PPTP。
「服務名稱」輸入自訂的名稱。
產生一個新的 VPN Client 設定值之後,輸入必要的 Server 端資料。
「伺服器位址」:PPTP VPN Server 的位址,Domain Name 或是 IP 都可以。
「帳號名稱」:剛剛在 RouterOS 裡設定的帳號。
接著點選「認證設定」按鈕。
因為我們用的是帳號加密碼,所以點選「密碼」,在右側的文字框裡,輸入對應的密碼。
伺服器、帳號及密碼全部輸入完成之後,就可以點選「連線」,開始跟 PPTP VPN Server 連線了。
如果輸入設定值之後,沒有先按右下角的「套用」按鈕儲存設定值,會跳出對話框提示我們。
稍等一下子。
連線成功後 ,就會看到被分配到的 IP 位址,的確是在我們指定的網段裡。
回到 RouterOS 裡,在「PPP」選單的「Active Connection」頁籤,就可以看到目前所有連線上來的 VPN Client 端。
從 iPhone 連線
這邊用的版本是 iOS 8.4,打開「設定」,選擇「一般」。
選擇「VPN」。
點選「新增 VPN 設定」。
點選「PPTP」頁籤,輸入必要的資料。
「描述」:自訂的名稱,單純辨識用。
「伺服器」:PPTP VPN Server 的 Domain Name 或 IP。
「帳號」:剛剛在 RouterOS 裡設定的帳號。
「密碼」:該帳號對應的密碼。
完成了 Client 端的設定之後,點選「未連線」右側的切換按鈕。
沒有錯誤的話,就可以連線到 VPN Server 了,而且在最上方會顯示「VPN」的字樣。
若是網路有問題、帳號/密碼等資料輸入錯誤的話,就會跳出這個提示訊息告知。
從 PC 連線
湊個熱鬧,用最新的 Windows 10 來連線看看,打開「設定」選單。
點選「網路和網際網路」。
點選左側的「VPN」,再點選右側的「新增 VPN 連線」。
這邊同樣要輸入 VPN 的相關設定資料。
這邊就會出現一個新的 VPN 連線方式。
打開它再點選「連線」。
設定資料無誤的話,就會成功的連上 VPN Server。
參考資料
圖片來源
- http://ww.daliulian.net/cat44/node389716
更新紀錄
- 2015/08/24 撰文。
0 意見 :
張貼留言