Mikrotik SIP VPN

Как и обещал в "Aster+mikrotik и дофига офисов" публикую описание того, как сделать VPN на Микротиках между офисами, чтобы еще и телефония работала.

Дано:

Сеть центрального офиса 192.168.0.0/24

Сети удаленных офисов 192.168.2.0/24, 192.168.3.0/24, 192.168.4.0/24

Несколько бухов на аутсорсе которым надо по RDP работать с 1С

1. Для своего личного удобства я установил дополнительную сетевую карточку в сервер с Астериском и назначил ей адрес 192.168.0.40

2. Заходим в Winbox'е в раздел "PPP" и нажимаем на верхней панели открывшегося окна кнопку "PPTP Server". Ставим галку "Enabled" и жмем "Ок".

3. Переходим на вкладку "Secrets" и добавляем пользователей. Их у нас 2 типа.

3.1. Тип "Удаленный офис". Создавая такого пользователя мы указываем логин и пароль с которыми будет подключаться удаленный микротик. В поле Local Address я написал 192.168.5.1, в поле Remote Address 192.168.5.2 (для офиса с адресами из 192.168.2.0/24)

3.2. Тип "Бухгалтера". В поле Local Address я написал 192.168.0.1, в поле Remote Address 192.168.0.250.

Таким образом бухгалтера которые подключаются непосредственно средствами винды получают адреса из моей сети и не надо морочиться с настройкой маршрутизации, чтобы у них и интернет работал и RDP куда надо ходил. Просто не забыть потом в свойствах TCP\IP в вндовом PPTP скинуть галку "Использовать шлюз удаленной сети".

Удаленные микротики же получают абсолютно левые адреса (5 подсеть) не относящиеся ни к моей сети центрального офиса ни к удаленным сетям.

Далее заходим в Fireewall-->Mangle и создаем для каждого удаленного офиса правило Chain=prerouting, Dst-address=192.168.2.0/24(подсеть удаленного офиса), Action=Mark Routing, NewRoutingMark=sip_office2

Еще нам надо будет зайти в Filter Rules и создать 2 разрешающих правила. Первое Chain=input, protocol=tcp, port=1723, Action=accept. Второе Chain=input, protocol=gre, Action=accept

Далее настроим маршруты. Для этого идем в IP-->Routes и создаем правила типа Dst.Address=192.168.2.0/24 Gateway=192.168.5.2, Distance=1, RoutingMark=sip_office2

Для остальных офисов по образу и подобию...

Да! И еще может быть полезно зайти в IP-->Firewall-->ServicePorts и отключить там SIP. Очень часто бывает, что при включенном SIP helper (где-то например в D-Link или TP-Link это называется SIP ALG) у Вас не проходит регистрация абонента на Астериске.

Все! Роутер на стороне центрального офиса настроен!

Теперь настраиваем роутер который будет обслуживать удаленный офис с сетью 192.168.2.0/24

Тут все просто! Как только подключили интернет, идем в PPP, на вкладке Interfaces нажимаем "+", выбираем "PPTP Client", заполняем поля "Connect To" - внешний IP центрального офиса, user - логин secret - пароль, НЕ ставим галку "Add default route"

Если все сделано правильно, то после нажатия "Ок", мы увидим созданное нами PPTP-подключение перед которым будет стоять "R".

Далее идем в IP-->Routes и создаем маршрут Dst.Address=192.168.0.0/24, Gateway=192.168.5.1, Distance=1

Поскольку нас интересует работа IP-телефонии в удаленных офисах, не забываем в астере в sip.conf при создании пользователей дописывать permit=192.168.2.0/255.255.255.0 (разрешить пользователю регистрироваться из 2 подсети).

Ну вот и все! 21 век настал и можно звонить в удаленные офисы по внутренним номерам, работать с файлообменниками, RDP и прочими внутрикорпоративными сервисами!

Как обычно коментарии приветствуются, писать на Alexandr[собака]мой_домен и если не смогли сами разобраться что к чему а задачу решить надо, обращайтесь - по цене договоримся :-)

Поддержать автора и дальнейший выпуск статей можно с помощью формы ниже