2009-2014

WiFi MAG

г. Сергиев Посад
улица Фабричная, дом 7, стр. 2

sales@wifimag.ru
8 (495) 226-37-87
8 (800) 250-37-87
Опережая скорость, сокращая расстояния         Читайте отзывы покупателей и оценивайте качество магазина на Яндекс.Маркете
Заказать звонок
Время работы:
Пн-Пт 9:00 - 19:00
Сб-Вс 9:00 - 17:30
Самовывоз:
Пн-Вс 7:00 - 21:00
0
Сравнить товары
0
Товары в корзине
0
Сравнить товары
0
Товары в корзине
0
Сравнить товары
0
Товары в корзине
Опережая скорость, сокращая расстояния
8 (495) 226-37-87
 8 (800) 250-37-87
0
Сравнить товары
0
Товары в корзине
WiFiMag
0
Сравнить товары
0
Товары в корзине

Настройка удаленного доступа к рабочему месту средствами маршрутизаторов Mikrotik.

01.04.2020

В условиях действующих карантинных мероприятий и самоизоляции крайне важное значение приобретает возможность удаленной работы. Наиболее часто встречающаяся конфигурация – использование режима удаленного рабочего стола. Самый простой способ доступа – опубликовать сервис RDP на «белом» IP-адресе маршрутизатора организации. Однако, такая публикация небезопасна из-за возможных уязвимостей операционной системы. Гораздо более надежный метод – обеспечить первоначальное подключение клиентов по VPN с дальнейшим использованием сервиса удаленной работы. Основной целью данной статьи будет являться простота настройки, чтобы её мог выполнить рядовой пользователь.


VPN-доступ к удалённому рабочему месту можно организовать несколькими способами, но в данном примере мы рассмотрим простой способ, который сбалансирован по безопасности и сложности настройки. При этом способе можно подключаться к удалённому рабочему компьютеру используя стандартные средства вашей операционной системы, будь то Linux, Windows или MacOS, после чего вы сможете использовать нужные ресурсы своей корпоративной локальной сети.




VPN В данной схеме удалённого подключения, пользователь сначала выполняет VPN-соединение до маршрутизатора компании (в примере рассматривается оборудование компании MikroTik, работающее под управлением операционной системы RouterOS) и затем уже стандартными средствами к необходимому рабочему месту, будь это отдельный компьютер, терминальный сервер или виртуальная машина.


VPN RouterOS (операционная система на устройствах MikroTik) поддерживает разнообразные типы VPN, но в данном примере мы будем настраивать L2TP-сервер на устройстве MikroTik с предварительным ключом шифрования, поскольку такая конфигурация обладает достаточной защищенностью и простотой настройки.


Все настройки в примере будут представлены в виде командной строки, но они полностью идентичны и соответствуют пунктам меню и иерархии визуального представления, при настройке RouterOS с использованием графического интерфейса программы Winbox или вэб-интерфейса.


Все В статье подразумевается, что маршрутизатор MikroTik уже имеет основные настройки и предоставляет доступ в Интернет. Также предполагается, что провайдер предоставляет подключение с «белым статическим адресом» - адресом, который постоянен и доступен напрямую из сети Интернет. Обычно такая услуга платная, но вполне доступна как для организаций, так и частных лиц.



1. В первую очередь мы создадим пользователя, логин и пароль которого будут использоваться для подключения к устройству: /ppp secret add name=User password=User123 local-address=172.16.16.1 remote-address=172.16.16.2 service=l2tp


Имя пользователя в примере (name=) будет User, пароль (password=) User123. Настоятельно рекомендуем вам использовать сложные связки логин/пароль для обеспечения подключения избыточной безопасностью. Для этого можно и нужно использовать в пароле спецсимволы. Пункт (local-address – это адрес роутера в созданном подключении, а (remote-address - адрес компьютера, с которого выполняется VPN-подключение. Пункт service определяет, в каком типе VPN-сервера будет использоваться данный профиль пользователя. В данном случае это L2TP-сервер.




2. Включение L2TP-сервера с заданными параметрами: /interface l2tp-server server set enabled=yes use-ipsec=re quired ipsec-secret=Qwert123 authentication=mschap2


Основным параметром здесь будет параметр authentication= отвечающий за метод аутентификации. Параметр ipsec-secret= отвечает за ключ предварительного шифрования ipsec. Для обеспечения безопасности мы рекомендуем использовать сложный ключ, который отвечает всем требованиям безопасности.




3. Если у вас на устройстве MikroTik настроен firewall, то необходимо открыть порты, используемые для подключения к L2TP-серверу устройства, а так же в работе IP-SEC. Список портов 1701/UDP,500/UDP (для IKE, для управления ключами шифрованияs), 4500/UDP (для IPSEC NAT-Traversal mode), 50/ESP (для IPSEC), 51/AH (для IPSEC): /ip firewall filter add action=accept chain=input comment=l2tp dst-port=500,1701,4500 protocol=udp add action=accept chain=input comment="Allow IPSec-esp" protocol=ipsec-esp add action=accept chain=input comment="Allow IPSec-ah" protocol=ipsec-ah


Необходимо «поднять» данные правила в списке правил firewall выше запрещающих правил, чтобы VPN-подключение не блокировалось.


После данных настроек, необходимо настроить подключение на клиентском компьютере (в данном примере за основу берется ОС Windows 10).


Создадим новое VPN-подключение. В свойствах указывается тип L2TP/IPsec с общим ключом, а также все необходимые параметры аутентификации. После этого клиентский компьютер готов к работе. Для других операционных систем настройка будет полностью аналогична.





После выполнения VPN-подключения, вы можете напрямую подключаться к ресурсам внутренней корпоративной сети, поскольку на устройстве MikroTik будут созданы все связанные маршруты и вы сможете напрямую подключаться к RDP-серверу или, скажем FTP-хранилищу.


Таким образом можно обеспечить своим сотрудникам безопасный доступ к ресурсам корпоративной себе или доступ к домашней сети, чтобы, например, мониторить видео-регистратор или использовать media-центр или домашнее хранилище.


ZTE

602286971

683142990

616989378

652376266

686878103

facebook vkontakte twitter instagram