首先介绍一下PPTP,字面意思理解就是一种点对点隧道协议,Point to Point Tunneling Protocol,用于在IP网络上建立PPP会话隧道。通常用在不在公司的人员在外想使用公司内部资源,可以通过拔入公司的PPTP SERVER,会话建立后,计算机就会多出一个××× IP,可以正常使用公司内部测试资源或是正常访问外网。
下面就开始简单介绍如何在RouterOS建立公司的PPTP配置
一般使用winbox客户端登录管理界面操作:
首先建立IP地址池,选择IP-》Pool点击+号新建pool,然后输入池名称pool_pptp,地址输入192.168.5.1-192.168.5.200,新的池输入none(默认),最后点击“OK”。
配置PPTP Server
点击PPP-》Interfac-》PPTP Server,勾取上enable,Max MTU和Max MRU都改成1460,其余设置参考下图,完成后点击“OK”。
简单科普下pap、chap、mschap1、mschap2的意思:
(PAP:Password Authentication Protocol)
密码认证协议(PAP),是 PPP 协议集中的一种链路控制协议,主要是通过使用 2 次握手提供一种对等结点的建立认证的简单方法,这是建立在初始链路确定的基础上的。
完成链路建立阶段之后,对等结点持续重复发送 ID/ 密码给验证者,直至认证得到响应或连接终止。
PAP 并不是一种强有效的认证方法,其密码以文本格式在电路上进行发送,对于窃听、重放或重复尝试和错误攻击没有任何保护。对等结点控制尝试的时间和频度。所以即使是更高效的认证方法(如 CHAP),其实现都必须在 PAP 之前提供有效的协商机制。
该认证方法适用于可以使用明文密码模仿登录远程主机的环境。在这种情况下,该方法提供了与常规用户登录远程主机相似的安全性。
可参考http://baike.baidu.com/view/262971.htm
CHAP全称是PPP(点对点协议)询问握手认证协议 (Challenge Handshake Authentication Protocol)。该协议可通过三次握手周期性的校验对端的身份,可在初始链路建立时完成时,在链路建立之后重复进行。通过递增改变的标识符和可变的询问值,可防止来自端点的重放攻击,限制暴露于单个攻击的时间。
可参考http://baike.baidu.com/view/64309.htm
MS-CHAP v1
Microsoft 质询握手身份验证协议 (MS-CHAP),也称为 MS-CHAP 版本 1,是不可逆的加密密码身份验证协议。质询握手过程如下所示:
身份验证器 — — 网络访问服务器 (NAS) 或运行网络策略服务器 (NPS) 的服务器 — 会话标识符和任意质询字符串组成对访问客户端发送挑战。
访问客户端发送响应,其中包含用户名和不可逆加密的质询字符串、 会话标识符和密码。
身份验证器检查该响应,而且,如果有效,用户凭据进行身份验证。
可参考http://technet.microsoft.com/zh-cn/library/dd197537(v=ws.10).aspx
MS-CHAP v2
icrosoft 质询握手身份验证协议 (MS-CHAP v2) 版本 2 提供了更强的网络访问连接比其父辈处理器,MS-CHAP) 的安全性。 MS-CHAP v2 解决某些问题。
可参考http://technet.microsoft.com/zh-cn/library/dd197526(v=ws.10).aspx
再选择此窗口的“+”按扭,并选择“PPTP Server”,名称随意,User也不填,直接点击“OK”,如下图。
貌似版本有BUG,如果启用了L2TP服务后,这里服务不可见了,但是可以正常使用PPTP和L2TP,有点怪异。在终端可以看见原先建立的PPTP信息,个人感觉这个只是建立一个授权作业,可以是系统也可以是单独某个用户来启动。有精力再深入研究下,目前可以正常使用就先PASS。
配置Profile即PPTP配置文件
配置完刚才的Interfaces窗口后,点击窗口的Profiles选项栏,再点击“+”,Name设置为pptp-profiles,Local Address设置随意都可(和pfsense不太一样了),Remote Address设置设置为刚才新建的地址池pptp_pool,其他设置参考如下图,设置完后点击“OK”。
想要限速就在这里限制:
配置Secrets,建立PPTP登录用户名密码。
选择Secrets选项栏后,点击“+”按扭,name输入test1,密码输入123456,Service选择pptp,Profile选择上一步建立的pptp_profile1,可以指定这个用户固定IP.点击“OK”,如下图。
至此配置完成,可以用客户机拨入试试了。
如果你以为如此大功告成了,兴致勃勃拨上会发现根本ping不同办公内网环境,因为没有路由,所以需要NAT转换下。选择IP-》firewall-》nat添加新策略
在新NAT Rule中选择Chain为srcnat,配置源地址和目的地址后,Action选择masquerade自动翻转。
命令行配置:
/ip pool
add name=pool_pptp ranges=192.168.5.1-192.168.5.200
/interface pptp-server server
set authentication=chap,mschap1,mschap2 default-profile=default-encryption
enabled=yes keepalive-timeout=30 max-mru=1460 max-mtu=1460 mrru=disabled
/interface pptp-server
add comment="B2E2CAD4×××" disabled=no name=pptp-mis user=""
/ppp profile
add change-tcp-mss=default comment="" dns-server=8.8.8.8 local-address=
192.168.5.254 name=pptp_profile1 only-one=yes rate-limit=1M/1M
remote-address=pool_pptp use-compression=default use-encryption=yes
use-vj-compression=default
/ppp secret
add caller-id="" comment="" disabled=no limit-bytes-in=0 limit-bytes-out=0
name=test1 password=123456 profile=pptp_profile1 remote-address=
192.168.5.16 routes="" service=pptp
/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no dst-address=
192.168.1.0/24 src-address=192.168.5.0/24