首先介绍一下PPTP,字面意思理解就是一种点对点隧道协议,Point to Point Tunneling Protocol,用于在IP网络上建立PPP会话隧道。通常用在不在公司的人员在外想使用公司内部资源,可以通过拔入公司的PPTP SERVER,会话建立后,计算机就会多出一个××× IP,可以正常使用公司内部测试资源或是正常访问外网。

下面就开始简单介绍如何在RouterOS建立公司的PPTP配置

一般使用winbox客户端登录管理界面操作:

首先建立IP地址池,选择IP-》Pool点击+号新建pool,然后输入池名称pool_pptp,地址输入192.168.5.1-192.168.5.200,新的池输入none(默认),最后点击“OK”。

[转载]ROS下的PPTP配置 _网络

 

配置PPTP Server

点击PPP-》Interfac-》PPTP Server,勾取上enable,Max MTU和Max MRU都改成1460,其余设置参考下图,完成后点击“OK”。

[转载]ROS下的PPTP配置 _网络_02

简单科普下pap、chap、mschap1、mschap2的意思:

(PAP:Password Authentication Protocol)  

密码认证协议(PAP),是 PPP 协议集中的一种链路控制协议,主要是通过使用 2 次握手提供一种对等结点的建立认证的简单方法,这是建立在初始链路确定的基础上的。   

完成链路建立阶段之后,对等结点持续重复发送 ID/ 密码给验证者,直至认证得到响应或连接终止。   

PAP 并不是一种强有效的认证方法,其密码以文本格式在电路上进行发送,对于窃听、重放或重复尝试和错误攻击没有任何保护。对等结点控制尝试的时间和频度。所以即使是更高效的认证方法(如 CHAP),其实现都必须在 PAP 之前提供有效的协商机制。   

该认证方法适用于可以使用明文密码模仿登录远程主机的环境。在这种情况下,该方法提供了与常规用户登录远程主机相似的安全性。

可参考http://baike.baidu.com/view/262971.htm

 

CHAP全称是PPP(点对点协议)询问握手认证协议 (Challenge Handshake Authentication Protocol)。该协议可通过三次握手周期性的校验对端的身份,可在初始链路建立时完成时,在链路建立之后重复进行。通过递增改变的标识符和可变的询问值,可防止来自端点的重放攻击,限制暴露于单个攻击的时间。
可参考http://baike.baidu.com/view/64309.htm

 

MS-CHAP v1

Microsoft 质询握手身份验证协议 (MS-CHAP),也称为 MS-CHAP 版本 1,是不可逆的加密密码身份验证协议。质询握手过程如下所示:
身份验证器 — — 网络访问服务器 (NAS) 或运行网络策略服务器 (NPS) 的服务器 — 会话标识符和任意质询字符串组成对访问客户端发送挑战。
访问客户端发送响应,其中包含用户名和不可逆加密的质询字符串、 会话标识符和密码。
身份验证器检查该响应,而且,如果有效,用户凭据进行身份验证。

可参考http://technet.microsoft.com/zh-cn/library/dd197537(v=ws.10).aspx

 

MS-CHAP v2

icrosoft 质询握手身份验证协议 (MS-CHAP v2) 版本 2 提供了更强的网络访问连接比其父辈处理器,MS-CHAP) 的安全性。 MS-CHAP v2 解决某些问题。

可参考http://technet.microsoft.com/zh-cn/library/dd197526(v=ws.10).aspx

 

 

再选择此窗口的“+”按扭,并选择“PPTP Server”,名称随意,User也不填,直接点击“OK”,如下图。

[转载]ROS下的PPTP配置 _网络_03

貌似版本有BUG,如果启用了L2TP服务后,这里服务不可见了,但是可以正常使用PPTP和L2TP,有点怪异。在终端可以看见原先建立的PPTP信息,个人感觉这个只是建立一个授权作业,可以是系统也可以是单独某个用户来启动。有精力再深入研究下,目前可以正常使用就先PASS。

 

配置Profile即PPTP配置文件

配置完刚才的Interfaces窗口后,点击窗口的Profiles选项栏,再点击“+”,Name设置为pptp-profiles,Local Address设置随意都可(和pfsense不太一样了),Remote Address设置设置为刚才新建的地址池pptp_pool,其他设置参考如下图,设置完后点击“OK”。

[转载]ROS下的PPTP配置 _网络_04

 

想要限速就在这里限制:

[转载]ROS下的PPTP配置 _网络_05

配置Secrets,建立PPTP登录用户名密码。

选择Secrets选项栏后,点击“+”按扭,name输入test1,密码输入123456,Service选择pptp,Profile选择上一步建立的pptp_profile1,可以指定这个用户固定IP.点击“OK”,如下图。

[转载]ROS下的PPTP配置 _网络_06

至此配置完成,可以用客户机拨入试试了。

如果你以为如此大功告成了,兴致勃勃拨上会发现根本ping不同办公内网环境,因为没有路由,所以需要NAT转换下。选择IP-》firewall-》nat添加新策略

在新NAT Rule中选择Chain为srcnat,配置源地址和目的地址后,Action选择masquerade自动翻转。
[转载]ROS下的PPTP配置 _网络_07
[转载]ROS下的PPTP配置 _网络_08



 

命令行配置:

/ip pool
add name=pool_pptp ranges=192.168.5.1-192.168.5.200

 

/interface pptp-server server
set authentication=chap,mschap1,mschap2 default-profile=default-encryption 
    enabled=yes keepalive-timeout=30 max-mru=1460 max-mtu=1460 mrru=disabled


/interface pptp-server
add comment="B2E2CAD4×××" disabled=no name=pptp-mis user=""

/ppp profile
add change-tcp-mss=default comment="" dns-server=8.8.8.8 local-address=
    192.168.5.254 name=pptp_profile1 only-one=yes rate-limit=1M/1M 
    remote-address=pool_pptp use-compression=default use-encryption=yes 
    use-vj-compression=default


/ppp secret
add caller-id="" comment="" disabled=no limit-bytes-in=0 limit-bytes-out=0 
    name=test1 password=123456 profile=pptp_profile1 remote-address=
    192.168.5.16 routes="" service=pptp

/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no dst-address=
    192.168.1.0/24 src-address=192.168.5.0/24