@Merkiff

Как настроить Mikrotik, VPN?

Здравствуйте дорогие форумчане.
На работе есть роутер MikroTik RB2011UiAS-2HnD-IN.
На eth1 настроен интернет с выделенным ip адресом.
На eth2 подключенные компьютеры - локальная сеть.
На eth3 закрытый документооборот тоже настроен и работает только в локальной сети.
Задача следующая. Необходимо, что бы удаленные работники могли подключиться по l2tp или pptp к нашему документообороту который расположен на eth3.
Почитал интернет, и выяснилось, что надо создать l2tp server с учетками для пользователей.
И проброс портов? что бы запрос из внешней сети роутер перекидывал на 3-й порт?
Поскольку у нас нет человека, который этим занимался бы, вся работа "упала на плечи" простых работников=)
(точнее человек был,и он настраивал таким образом потом взял и исчез)
Если есть люди которые в этом разбираются, просьба объяснить или хотя бы направить в нужное русло)
И что лучше выбрать l2tp или Ovpn?
Спасибо.:)
  • Вопрос задан
  • 1131 просмотр
Пригласить эксперта
Ответы на вопрос 1
Ziptar
@Ziptar
Дилетант широкого профиля
Настраиваете vpn-сервер, назначаете диапазон адресов для vpn-клиентов, далее рулите доступом через фаервол опираясь на этот диапазон и "all ppp" в качестве интерфейса; никакой проброс портов не нужен.
С маршрутизацией роутер сам разрулит, ситуация, судя по всему, простейшая. Единственное что - надо запретить vpn-клиентам ходить в интернет через ваш основной канал; и на клиентах отключить использование vpn-поключение в качестве шлюза, если речь идёт о win-клиентах.

Касательно того, что лучше: pptp небезопасен, равно как и l2tp без ipsec, ipsec сложен для новичков, openvpn в реализации тика неудобен и тоже сложен для новичков; самый простой и надёжный вариант для win-клиентов - sstp. В последнем случае вся "сложность" заключается в генерации самоподписанного сертификата для сервера и добавление его в доверенные на клиентах; ну или если есть свой домен - просто выписать сертификат через let's encrypt.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы