Přeskočit na obsah Přeskočit na hlavní navigaci Přeskočit na zápatí (patičku)
Vyberte jazyk:
Vyberte jazyk:

VPN server

Stránka pro nastavení VPN serveru (PPTP nebo OpenVPN) pro připojení např. vzdálené lokality (skupiny routerů) nebo pro spojení sítě se systémem ISPadmin v CLOUD řešení. Takto je možné propojit dislokovanou síť se systémem ISPadmin.

Propojení s dislokovanou sítí a systémem ISPadmin
Propojení s dislokovanou sítí a systémem ISPadmin
Záložka VPN server
Záložka VPN server

DŮLEŽITÉ:
Pro korektní připojení je nutné povolit komunikaci na firewallu. A to jak v nastavení systému ISPadmin (Nastavení –> Syst. nastavení –> Zabezpečení), tak i případně na externím řešení. Pro OpenVPN je potřeba povolit komunikaci na portu 1194 (TCP), pro PPTP 1723 (TCP).

Obecné nastavení

  • vpn_tunnel_openvpn_enabled – zapnout/vypnout použití OpenVPN server
  • vpn_tunnel_openvpn_ip – adresa sítě pro OpenVPN (adresy pro přiřazení) ve formátu ip_adresa/maska. (výchozí – 172.31.254.0/24)
  • vpn_tunnel_pptp_enabled – zapnout/vypnout použití PPTP
Obecné nastavení pro VPN server
Obecné nastavení pro VPN server

Přidat VPN server

UPOZORNĚNÍ:
Pokud je server nastaven v rozhraní ISPA budou případně všechny ručně nastavené VPN (v konfiguračním souboru systému) zrušeny/přepsány.

Přidat nový VPN tunel je možné tlačítkem Přidat VPN tunel ().

  • Název – vlastní název pro rozlišení nastavení
  • Uživatelské jméno – nastavit uživatelské jméno pro ověření. V případě více nastavovaných klientů (VPN) je potřeba, aby bylo uživ. jméno unikátní kvůli přiřazování IP po úspěšném ověření jménem a heslem.
  • Heslo – nastavit heslo pro ověření
  • Typ VPN serveru
    • PPTP – pro připojení použít PPTP (Point-to-Point Tunneling Protocol)
    • OpenVPN – pro připojení použít systém OpenVPN
  • Vzdálená IP – IP adresa, která bude nastavena vzdálenému klientovi (tuto IP adresu dostane vzdálená strana po připojení). Ve většině případů není potřeba tuto systémem zvolenou měnit
  • Povolená IP pro připojení (dostupné pouze u typu PPTP, výchozí hodnota *) – možnost nastavit a povolit připojení z konkrétní IP adresy. Jedná se o IP adresu, ze které je možné navázat spojení na tento vytvořený VPN server. Výchozí * znamená, že je možné se připojit z jakékoliv IP adresy.

Správa VPN serverů

Při změně parametrů (routované sítě) již aktivního tunelu (navázané spojení) je pro aplikování změny potřeba tunel odpojit a znovu připojit.

  • Status – barva ikony zobrazuje aktivní () nebo neaktivní () spojení
  • Název – zobrazený název (viz nastavení výše)
  • Vzdálená IP – IP adresa, která je přiřazena vzdálenému klientovi po úspěšném ověření (výchozí)
  • Povolená IP pro připojení – nastavená povolená IP adresa pro připojení (viz nastavení výše)
  • Typ VPN serveru – OpenVPN nebo PPTP
  • Routované sítě – nastavená routovaná síť (viz níže)
  • Funkce
    • Tlačítkem Upravit () je možné editovat nastavení
    • Tlačítkem Vzdálené podsítě () je možné nastavit routované sítě, které jsou ve vzdálené lokalitě (cíl směrování provozu ze systému ISPA do vzdálené lokality – routery v této lokalitě). Např. 10.1.0.0/16
    • Tlačítkem Odstranit () je možné odstranit vytvořený tunel

Vzdálené podsítě

Nastavení vzdálených podsítí (lokalit) pro VPN tunel. Nastavené podsítě je možné Upravit () nebo Odstranit ().

Vzdálené podsítě
Vzdálené podsítě

Přidat/upravit podsíť

Novou podsíť je možné přidat tlačítkem Přidat podsíť ().

Formulář pro přidání nové podsítě
Formulář pro přidání nové podsítě
  • Podsíť – nastavovaná podsíť vzdálené lokality (např. 10.1.0.0/16)
  • Poznámka – vlastní poznámka (popis)

MikroTik

PPTP

Nastavení klienta (PPTP Client) na routeru typu MikroTik.

WinBox

Po vytvoření rozhraní PPTP Client v nástroji WinBox je zobrazeno upozornění (ROS v7+) na nebezpečnost použití připojení přes PPTP a doporučení použít modernější protokol pro VPN (viz obr.níže).

Upozornění u rozhraní PPTP
Upozornění u rozhraní PPTP
  • v menu Interfaces přidat nový interface tlačítkem ().
  • vybrat možnost – PPTP Client
  • v záložce General je možné v poli Name zadat vlastní název rozhraní
  • v záložce Dial Out nastavit:
    • Connect To – IP serveru se systémem ISPadmin
Nastavení rozhraní PPTP v nástroji WinBox
Nastavení rozhraní PPTP v nástroji WinBox

Terminal (CLI)

Vytvoření rozhraní (interface) přes terminal (příklad ):

/interface pptp-client add connect-to=1.2.3.4 disabled=no name=nazev password=ispadmin user=ispadmin

OpenVPN

Nastavení klienta (OVPN Client) na routeru typu MikroTik.

UPOZORNĚNÍ
Po updatu na nový Debian 12 (Bookworm) a tím novou verzi nástroje OpenVPN je potřeba přenastavit u klienta (MikroTik) v nastavení rozhraní jiné šifrování (cipher) na AES-256-GCM. Jedná se o defaultní nastavení a rozhodli jsme se ho v systému ponechat z důvodu bezpečnosti a rychlosti.

WinBox

  • v menu Interfaces přidat nový interface tlačítkem ().
  • vybrat možnost – OVPN Client
  • v záložce General je možné v poli Name zadat vlastní název rozhraní
  • v záložce Dial Out nastavit:
    • Connect To – IP serveru se systémem ISPadmin
    • Port – ponechat výchozí 1194
    • User – uživatelské jméno nastavené pro ověření v server konfiguraci (viz výše)
    • Password – heslo nastavené pro ověření v server konfiguraci (viz výše)
    • Auth – zvolit možnost sha256
    • Cipher – zvolit možnost:
      • aes 256 cbc (Debian 10)
      • aes 256 gcm (Debian 12)
Nastavení rozhraní OpenVPN v nástroji WinBox (Debian 10)
Nastavení rozhraní OpenVPN v nástroji WinBox (Debian 10)
Nastavení rozhraní OpenVPN v nástroji WinBox (Debian 12)
Nastavení rozhraní OpenVPN v nástroji WinBox (Debian 12)

Terminal (CLI)

Vytvoření rozhraní (interface) přes terminal (příklad):

Debian 10
/interface ovpn-client add name=nazev connect-to=1.2.3.4 port=1194 mode=ip user=ispadmin password=ispadmin profile=default certificate=none cipher=aes256-cbc auth=sha256 add-default-route=no
Debian 12
/interface ovpn-client add name=nazev connect-to=1.2.3.4 port=1194 mode=ip user=ispadmin password=ispadmin profile=default certificate=none cipher=aes256-gcm auth=sha256 add-default-route=no