Настройка VPN на Mikrotik CHR

• Настройка Mikrotik CHR на виртуальный сервер Sweb
• Установка Cloud Hosted Router
• Настраиваем доступ на Cloud Hosted Router
• Выполняем активацию CHR
• Настройка Firewall
• Настройка NAT
• Настройка VPN сервера PPTP и L2TP
  • Включение PPTP
  • Включение L2TP
• Использование DoH для VPN
• Подключение Android к VPN
• Подключение Windows к VPN
• Проверка DoH
• Настройка и подключение к SSTP

Если вам необходим VPN с постоянным белым IP-адресом определенной страны, а также контролем над ним и полной конфиденциальностью, то создание VPN для личного использования может стать оптимальным решением. В этой статье мы рассмотрим настройку VPN-сервера на базе Cloud Hosted Router. 

Настройка Mikrotik CHR на виртуальный сервер Sweb

1. Зарегистрируйтесь в Sweb.

2. Перейдите на страницу виртуальных серверов.

3. Аренда сервера CLOUD EXTRA будет лучшим вариантом для настройки VPN.  Вы можете выбрать тип операционной системы из предложенного списка, а также предустановить дополнительное ПО. 

В нашем руководстве мы используем сервер Ubuntu 22.04 LTS. 

4. Нажмите Заказать и следуйте дальнейшим указаниям на экране. Вскоре вы получите доступ к серверу. 

Далее выполним настройку личного VPN-сервера на базе CLOUD EXTRA.  Если, помимо сервера, вы бы хотели зарегистрировать домен, то в Spaceweb доступна такая услуга. При регистрации домена у нас вы получите:

Установка Cloud Hosted Router

1. Обновите список пакетов:

2. Установите архиватор:

3. Скачайте CHR:

​

4. Распакуйте загруженный архив:

Вывод: 

​

5. Просмотрите список устройств с помощью утилиты «fdisk»:

Возможный вывод:

​

Найдите диск с именем «/dev/vda». 

6. Запишите образ на диск:

Неправильный выбор устройства может привести к потере данных.

7. Перезапустите машину:

Эти команды активируют SysRq и перезапустят систему. Убедитесь, что у вас есть соответствующие права на выполнение этих команд.

Настраиваем доступ на Cloud Hosted Router

Давайте продолжим с настройкой доступа к Cloud Hosted Router (CHR) после перезапуска через VNC:

1. Запустите VNC-клиент и подключитесь к вашей машине, используя информацию из панели управления, например, IP-адрес и порт VNC.

2. После успешного подключения вы увидите окно авторизации в CHR. Введите следующие учетные данные:

• Логин: admin
• Пароль: (оставьте поле пароля пустым)

3. После входа в систему создайте нового администратора и удалите старого:

4. Назначьте IP-адрес интерфейсу ether1 (предполагается, что интерфейс ether1 используется для подключения к сети):

Где 1.1.1.2 – IP-адрес, который указан в панели VNC. Маска /24 означает маску подсети 255.255.255.0.

5. Добавьте маршрут по умолчанию, указав gateway (шлюз):

Где 1.1.1.1 – IP-адрес GATEWAY, указанный в VNC-панели.

6. Скачайте WinBox с официального сайта MikroTik. 

7. Запустите WinBox и введите IP-адрес CHR, логин (MikroTik) и пароль (1Q2w3e4r), который вы установили на шаге создания пользователя.

8. Щелкните Connect. 

​

Теперь вы можете управлять CHR с помощью WinBox, что делает настройку более удобной. 

Выполняем активацию CHR

1. Зарегистрируйтесь в кабинете MikroTik.

2. После регистрации добавьте DNS-сервера в CHR. Для этого перейдите в меню «WebFig». 

​

3. В левой панели найдите раздел «IP». 

4. В выпадающем списке выберите DNS.

​

5. Добавьте DNS-сервер. Например, пропишите «8.8.8.8» – это Google Public DNS.

​

6. Нажмите ОК. 

7. Теперь перейдем к активации CHR. В WebFig перейдите в раздел «System».

8. Затем выберите «License».

9. Щелкните Renew License.

​​

10. Введите данные, которые вы использовали при регистрации в MikroTik:

• в поле «Account» введите свой логин; 

• в поле «Password» пропишите пароль от вашего аккаунта MikroTik.

11. Нажмите Start, чтобы проверить активацию.

​

12. Если данные верны и активация прошла успешно, вы увидите статус «Done» в нижней части окна. 

Важно! Вы получите 60-дневную лицензию Cloud Hosted Router, которая будет работать всегда, если не обновлять систему.  Однако, если вы обновите систему по истечении 60 дней, лицензия слетит, и скорость ограничится 1Мбит.

Настройка Firewall

1. В левой панели найдите опцию New Terminal и щелкните по ней, чтобы открыть окно терминала.

2. Создайте два интерфейса: WAN и Tunnel.

3. Настройте правила брандмауэра:

4. Настройте службы:

5. Измените имя системы:

6. Теперь удалите DHCP-клиент:

Эти настройки предназначены для обеспечения минимальной безопасности. Перед использованием их в рабочей среде убедитесь, что они соответствуют потребностям вашего проекта и всем требованиям безопасности.

Важно! Доступ к WinBox теперь осуществляется через порт 22122.

Настройка NAT

1. Через левую панель перейдите в «IP».

2. В выпадающем меню выберите Firewall, а затем – NAT. 

3. В разделе «General» обратите внимание на поля:

• «Chain» – из выпадающего списка выберите srcnat.

• «Out, Interface List» – укажите в нем выходящий интерфейс ether1. 

4. В разделе «Action» в одноименном поле выберите masquerade. 

Так вы создадите правило исходящего NAT для интерфейса ether1. В зависимости от вашей сетевой конфигурации, вы можете изменить значение поля «Out, Interface List» на соответствующий интерфейс вашего VPN-сервера.

5. Сохраните изменения, нажав ОК.

Включаем DNS через HTTPS

1. Выберите в левой панели опцию New Terminal, чтобы открыть терминал. 

2. Затем загрузите сертификат «DigiCert Global Root CA», который используется для верификации сертификата сервера DoH:

3. Когда сертификат успешно загрузится, импортируйте его в систему MikroTik:

4. Теперь настройте использование сервера DoH и верификацию сертификата:

Таким образом, вы укажите, что MikroTik должен использовать Cloudflare DNS (1.1.1.1) через DoH. Часть «verify-doh-cert=yes» указывает MikroTik проверять сертификат сервера DoH.

5. Вы также можете очистить список DNS-серверов, чтобы использовать только DoH:

Настройка VPN сервера PPTP и L2TP

1. Для начала создайте пул адресов для VPN. Пропишите в терминале:

2. Создайте пул адресов для личного VPN:

3. Далее вернитесь в основной интерфейс, чтобы создать профиль личного VPN сервера. Для этого в левой панели щелкните по «PPP».

4. Выберите раздел Profiles.

5. Начнем с раздела «General». Укажите пул адресов – «Local Address»  и «Remote Address».

​​

6. Также задайте значение «Tunnel» в поле «Interface List».

7. В подразделе «Change TCP MSS» поставьте флажок рядом с «yes».

8. А в «Use UPnP» чуть ниже укажите «no».

9. Откройте раздел «Protocols», где:

• в «Use MPLS» установите значение «no»;

• в «Use Compression» также задайте «no»;

• в «Use Encryption» отметьте «required». 

10. Перейдите в раздел «Limits». Рядом с опцией «Only one» установите флажок напротив «yes». 

Включение PPTP

1.  Зайдите в раздел PPP.

2.  Найдите кнопку PPTP Server и щелкните по ней.

​

3. В «Authentication» отметьте mschap1. 

4. Включите PPTP-сервер. Для этого отметьте «Enabled» и нажмите ОК, чтобы сохранить внесенные изменения.

​
 

Включение L2TP

1. В разделе «PPP» выберите L2TP Server.

​

2. Вновь отметьте «Enabled». 

3. В поле «Default Profile» укажите «profile_VPN».

4. В «Authentication» задате значение mschap2.

5. Далее в «Use IPsec» задайте required.

6. Также не забудьте указать «IPsec Secret».

Использование DoH для VPN

1. Теперь в настройках PPP-профиля вам необходимо указать в адресе DNS-сервера сам MikroTik. То есть значения полей «Local Address» и «DNS Server» должны повторять друг друга. 

2. Как только выполните предыдущий шаг, вернитесь в настройки DNS и включите Allow Remote Requests. 

Подключение Android к VPN

1. В настройках найдите раздел «VPN». 

2. Нажмите «Добавить сеть VPN» в нижней части экрана.

3. Заполните следующие поля:

• «Тип» – L2TP/IPSec PSK;

• «Сервер» – имя вашего сервера;

• «Общий ключ IPSec».

4. Нажмите Сохранить.

Подключение Windows к VPN

1. Через поиск Проводника найдите панель управления «VPN».

2. Вы сразу увидите опцию «Подключения VPN». Справа от нее выберите Добавить VPN.

​​

3. Заполните следующие поля таким образом:

​​

4. Нажмите Сохранить.

Проверка DoH

Убедитесь, что DNS-запросы действительно отправляются через DoH. 

Важно! Проверка должна производиться на устройстве в вашей локальной сети, которое использует MikroTik CHR в качестве DNS-сервера,

Для этого откройте веб-браузер и посетите сайт для проверки DoH. Например, https://1.1.1.1/help.

​

Настройка и подключение к SSTP

SSTP – это закрытый протокол, разработанный Microsoft. Он поддерживается операционной системой Microsoft Windows, начиная с Vista SP1, и требует установки дополнительного программного обеспечения на других ОС.

1. В терминале выполните следующую команду:

/interface sstp-server server set enabled=yes certificate=server@MikroTik default-profile=vpn-profile

С ее помощью вы запустите сервер SSTP.

2. Скачайте файл  «cert_export_MikroTik.crt».

3. Откройте его двойным кликом.

4. Перед вами появится предупреждение о том, что у компьютера нет доверия к центру сертификации. Именно поэтому вам потребуется сертификат. 

Нажмите Установить сертификат. 

5. В разделе «Расположение хранилища» выберите опцию Локальный компьютер.

6. Нажмите Далее. 

7. Добавьте этот сертификат в «Доверенные корневые центры сертификации».

8. Через поиск Проводника перейдите к параметру «VPN».

9. Щелкните Добавить VPN. 

​

10. Укажите имя или адрес сервера (как в сертификате сервера), а также введите логин и пароль.

​

Теперь у вас настроено и проверено SSTP VPN-подключение к серверу MikroTik с использованием сертификата.

Заключение

Настройка VPN на MikroTik CHR предоставляет эффективный и гибкий способ обеспечения безопасного соединения для вашей сети. С помощью нашей инструкции вы сможете легко создать свой VPN-cервер и настроить его для повышения уровня безопасности сети и контроля над трафиком.