Для настройки VPN-сервера в Mikrotik достаточно открыть доступ по порту для прохождения пакетов на роутер, включить галочку в сервере VPN, завести аккаунты выбрав и настроив нужный профиль.
После этого будут создавать динамические интерфейсы при подключении клиента впн.
Но, для того, что-бы оперировать с этими интерфейсами нужно создать Server Binding интерфейс. Это статический интерфейс для определенного имени пользователя VPN-подключения. С помощью его можно создавать правила в firewall (например правило маскарадинга), указывать маршруты и т.д. В отличие от динамического интерфейса он не создается каждый раз заново при подключении, а это значит что маршруты и правила в фаерволе, которые с ним оперируют, при подключенном VPN клиента обязательно сработают. Если вы сделаете правило или маршрут на динамический интерфейс (который создается автоматически при подключении, если не указывать Server Binding), то при разрыве и новом подключении ваш интерфейс в правиле будет неактивен.
Значит для нашего клиента добавляем Server Binding
Теперь с интерфейсом "pptp-23q" можно оперировать свободно.
Единственное что-бы я хотел подчеркнуть, что при быстром переподключении клиента VPN (например роутер клиента VPN перегрузился), не всегда быстро разрывается VPN соединение на нашем сервере Mikrotik, и при повторном подключении наш Binding получается уже подключен, и создается новый динамический интерфейс.
При этом правила и маршруты становятся неактивные
Но этот "баг" можно исправить, изменив время Keepalive Timeout в настройках PPTP-сервер, с 30 сек на 5 сек.
Теперь, даже если разрыв VPN происходит совсем на небольшое время - интерфейс строится красиво, и маршрут активен.
Ради правды стоит сказать, что даже если останется большее время таймаута - по его истечению "неправильный" динамический интерфейс пропадет и заработает интерфейс Server Binding, но так все-же будет более правильно.
|
Подписаться на новые статьи. |
|
Да уж... статейка далеко не для чайников. Описаны только какие-то отдельные тонкости настройки.
ОтветитьУдалитьза keepalive отдельное спасибо! ))
ОтветитьУдалитьСпасибо тебе дорогой человек. Твоя статья мне очень помогла. Спасибо
ОтветитьУдалитьСпасибо за keepalive
ОтветитьУдалитьПри большом keepalive динамические соединения все равно остаются висеть неопределенное время, за статью спасибо!
ОтветитьУдалитьза keepalive спасибо! ))
ОтветитьУдалитьИскал именно по проблеме динамического соединения при созданном статическом. Спасибо за keepalive!!!
ОтветитьУдалитьСпасибо за keepalive!!! Когда прочитал, аж смешно стало, что сам до этого не допёр, это же вполне логично!
ОтветитьУдалитьСпасибо, пригодилось!
ОтветитьУдалитьВ своё время задавал вопрос в техподдержку Микротик. Вот их ответ, копипащу как есть.
ОтветитьУдалитьHello,
You have to use "only-one" option under PPP profile if you are using static server bindings. This will prevent simultaneous connections to be created resulting in dynamic bindings. When using "only-one" option, it is suggested to use a small keepalive timeout for the VPN which will reduce the downtime between tunnel re-establishments.
Best regards,
Emils Z.
Дякую
ОтветитьУдалитьthanx a lot for valued advice to decrease keepalive parameter
ОтветитьУдалить