建立PPTP服务器
子目录: /interface pptp-server server
描述
PPTP服务器为每个连接的PPTP客户端建立一个动态接口。PPTP连接的数量取决于你拥有的许可等级。Level1允许1个客户端,Level3和Level4达到200客户端,Level5和Level6不限制数量。
建立PPTP用户,你可以参考PPP安全和PPP配置手册。也可以用ROS作为RADIUS客户端记录PPTP用户,具体内容请查阅手册。
属性描述
authentication(多选:pap|chap|mschap1|mschap2;默认:mschap2) - 认证机制
default-profile - 使用默认配置文件
enabled(yes|no ;默认:no) - 是否开启PPTP服务器
keepalive-timeout(时间;默认:30) - 设置路由器发送相邻“保持活动”包的时间片。如果在时间片中没有流量或没有活动响应(如 2*keepalive-timeout),未响应的客户端将被宣告断开
mru (整数;默认:1460) - 最大接受单元。最优值为隧道工作接口的MRU值减去40(所以对于1500-byte的以太连接,设置1460避免分组过小)
MTU(整数;默认:1460) - 最大传输单元。。。。。。。。。。。。。。。。
例子
启用PPTP服务器
[admin@MikroTik]interfece pptp-server server>set enabled=yes
[admin@MikroTik]interface pptp-server server>print
????????????? enabled:yes
????????????????? mtu:1460
????????????????? mru:1460
?????? authentication:mschap2,mschap1
??? keepalive-timeout:30
????? default-profile:default
[admin@MikroTik]interface pptp-server server>
PPTP服务端连接
子目录:/interface pptp-server
描述
在PPTP服务器配置中有两种连接-静态连接和动态连接。当用户数据库或者default-profile正确设置了local-address和remote-address就可以建立动态连接。当添加静态连接后,default-profile应该为缺省值,只有PPP用户(在/ppp secret)能够配置。注意两种情况中PPP用户都必须正确配置。
属性描述
client-address(IP地址) - 显示已连接客户端的IP地址(这里无法设置)
encoding (文本) - 在此连接中使用的加密和编码(用'/'隔开)
mtu(整数) - 客户端的MTU(这里无法设置)
name(名称) - 接口名称
uptime(时间) - 显示连接时间
user(名称) - 静态配置或者动态添加的用户名
例子
为ex1用户添加静态通路:
[admin@MikroTik] interface pptp-server>add user=ex1
[admin@MikroTik] interface pptp-server>print
Flags: X - disabled, D - dynamic, R - running
#?????? NAME???????????? USER?????????? MTU????? CLIENT-ADDRESS????? UPTIME?? ENCODING
0?? DR <pptp-ex>???????? ex??????????? 1460?????? 10.0.0.202???????? 6m32s???? none
1?????? pptp-in1???????? ex1?????????
[admin@MikroTik] interface pptp-server>
在这个例子中ex是已经连接的用户。
PPTP 应用实例
路由-到-路由安全隧道实例
下面是个利用通过Internet的加密PPTP隧道连接2个企业网络的例子。
图1
在这个例子中有两个路由器
[本地Office]
本地企业网地址:10.150.2.254/24
本地接入Internet:192.168.80.1/24
[远程Office]
远程接入Internet: 192.168.81.1/24
远程企业网地址:10.150.1.254/24
路由器接入不同的ISP。其中一个路由器通过Internet可以访问另一个路由器。
在PPTP服务器上为客户端建立用户
[admin@HomeOffice]ppp secret>add name=ex service=pptp password=lkjrht
local-address=10.0.103.1 remote-address=10.0.103.2
[admin@HomeOffice]ppp secret>print detail
Flags: X - disabled
0????? name="ex" service=pptp caller-id="" password="lkjrht" profile=default
?????? local-address=10.0.0103.1 remote-address=10.0.103.2 routes=""
[admin@HomeOffice]ppp secret>
然后将用户添加到PPTP服务列表
?
[admin@HomeOffice] interface pptp-server>add user=ex
[admin@HomeOffice] interface pptp-server>print
Flags: X - disabled, D - dynamic, R - running
#??? NAME?????? USER?????? MTU????? CLIENT-ADDRESS????? UPTIME?? ENCODING
0?? pptp-in1??? ex
[admin@HomeOffice] interface pptp-server>
最后,开启服务。
[admin@HomeOffice] interface pptp-server server>set enabled=yes
[admin@HomeOffice] interface pptp-server server>print
??????????? enabled:yes
??????????????? mtu:1460
??????????????? mru:1460
???? authentication:mschap2
??? default-profile:default
[admin@HomeOffice] interface pptp-server server>
增加PPTP客户端到远程office路由器:
[admin@RemoteOffice] interface pptp-client>add connect-to=192.168.80.1 user=ex \
\... password=lkjrht disabled=no
[admin@RemoteOffice] interface pptp-client>print
Flags: X - disabled, R -runing
? 0? R name="pptp-out1" mtu=1460 mru=1460 connect-to=192.168.80.1 user="ex"
?????? password="lkjrht" profile=default add-default-route=no
[admin@RemoteOffice] interface pptp-client>
这样,一条PPTP隧道就在两个路由器间建立了。这条隧道在在路由器之间象以太网似的点到点连接,路由器的IP分别是10.0.103.1和10.0.103.2。他允许两个路由器通过第三方网络“直接”的连接。
图2
令本地企业网可以在PPTP隧道路由,必须增加这些路由规则:
[admin@HomeOffice] >ip route add dst-address 10.150.1.0/24 gateway 10.0.103.2
[admin@RemoteOffice] > ip route add dst-address 10.150.2.0/24 gateway 10.0.103.1
在PPTP服务端可以使用用户配置的路由参数转换:
[admin@HomeOffice] ppp secret> print detail
Flags: X - disabled
? 0?? name="ex" service=pptp caller-id="" password="lkjrht" profile=default
????? local-address=10.0.103.1 remote-address=10.0.103.2 routes==""
[admin@HomeOffice] ppp secret> set 0 routes="10.150.1.0/24 10.0.103.2 1"
[admin@HomeOffice] ppp secret> print detail
Flags: X - disabled
? 0?? name="ex" service=pptp caller-id="" password="lkjrht" profile=default
????? local-address=10.0.103.1 remote-address=10.0.103.2
????? routes="10.150.1.0/24 10.0.103.2 1"
[admin@HomeOffice] ppp secret>