pptp passthrough что это
Everything You Should Know About VPN Passthrough
Table of contents
What Is VPN Passthrough?
VPN Passthrough is a feature on a router that pretty much allows any device connected to said router to establish an outbound VPN connection.
So, for example, if you want to run a VPN client on your laptop and connect to a VPN server, the VPN Passthrough feature on your router would allow you to do that.
How Does VPN Passthrough Work?
Simply put, VPN Passthrough means your router will allow data packets that come from a VPN client to pass through it to reach a VPN server.
You see, routers generally use NAT (Network Address Translation), a feature that allows all the devices that are connected to a network to use the same online connection and IP address.
However, VPN protocols like PPTP, IPSec, and L2TP don’t normally work with NAT.
Router VPN Passthrough technology usually allows those specific protocols to work with NAT. Users can normally easily enable and disable PPTP/L2TP/IPSec Passthrough through their router’s interface.
What About Other VPN Protocols?
Normally, if you use VPN protocols like OpenVPN, SoftEther, and SSTP, you don’t need to worry about VPN Passthrough being enabled or not. With IKEv2, though, you might have to turn on PPTP/L2TP/IPSec Passthrough the allow VPN traffic through.
PPTP Passthrough – Enable or Disable?
We’ve had users specifically asking us about PPTP Passthrough, and whether they should enable or disable it.
Well, the answer is pretty simple. If you are 100% sure you want to use a PPTP VPN connection to access the web at fast speeds, and aren’t worried about your online data and traffic potentially being in danger, you should enable PPTP Passthrough.
However, if you want to make sure a PPTP connection doesn’t accidentally go through the router (like if you forget to switch VPN protocols before connecting to a server, for example), you should disable PPTP Passthrough. After all, PPTP barely offers any security, so if you want to make sure your connections are properly encrypted, you should avoid it.
VPN vs. VPN Passthrough on a Router – What’s the Difference?
It’s pretty easy to get router VPN and router VPN Passthrough functionalities mixed up due to their name.
On the one hand, you have VPN Passthrough which is a router feature that allows you to connect to a VPN server through it (so, essentially the outbound connection has the permission to “pass through” the router).
VPN functionality on a router, on the other hand, allows you to configure a VPN to run on said router. In that case, any device that access the web through the router will be using a VPN connection.
Need a Secure VPN?
CactusVPN has got your back – we offer a high-end solution that can help you protect all your Internet traffic and data with reliable AES encryption. Plus, we offer access to high-speed servers that come equipped with unlimited bandwidth, and we don’t store any logs, so your privacy will always be safe and sound when you’re connected to CactusVPN.
And our VPN is fully cross-platform compatible, you can use various apps.
Unblock All the Content You Want
If you’re looking for more variety than a VPN can offer, you’ll be happy to know we provide access to a Smart DNS service as well. With it, you can unblock over 300 geo-restricted websites.
And once you do become a CactusVPN customer, we’ll still have your back with a 30-day money-back guarantee.
Conclusion
VPN Passthrough is a router feature that allows you to establish an outbound VPN connection. It normally has to be enabled if you are using the PPTP, L2TP, or IPSec protocols (and sometimes the IKEv2 protocol too).
VPN Passthrough shouldn’t be confused with VPN functionality. Like the name implies, the feature allows VPN traffic to “pass through” the VPN, whereas VPN functionality means you can configure a VPN on your router.
Не совсем обычное VPN соединение обычными средствами
Искал интересную тему, заслуживающую внимания, чтобы получить инвайт на Хаброхабре и вот нашёл. Такой особенный случай мне пришлось недавно реализовать.
Постановка задачи: Получить доступ к узлам удалённой сети.
Здесь мы будем говорить о двух сетях, которые нужно объединить, одну из которых я буду называть «моя офисная сеть», а другую «удалённая сеть».
Системный администратор удалённой сети отказывается вносить наименьшие изменения, для подключения и единственное что можно сделать — это поместить своё оборудование в удалённой сети. Выход в интернет из этой сетиv4 производится через шлюз, который натит в мир. Нужно построить тоннель, между двумя офисами, чтобы узлы моей офисной сети могли получать доступ к узлам удалённой сети, при минимальных изменениях c обеих сторон.
Примеры VPN протоколов:
Какой же из клиент-серверных вариантов выбрать?
И первое что приходит на ум — старый добрый PPTP. Недостатков в плане безопасности у него полно, хотя существуют его более продвинутые, новые, версии. Не смотря на огрехи в плане безопасности, у PPTP есть ещё одна очень не приятная особенность — это протокол GRE, используемый PPTP клиентом для установления соединения с сервером. В случае установки связи по схеме указанной в Примечании1.B оборудование которое производит перенаправление порта (Port Forwarding) должно уметь пропускать соединение по протоколу PPTP (Часто расположен в секции Application Level Gateway) через себя (Функция часто называется pass through PPTP, что с английского так и переводится пропустить PPTP через себя). Это связано с особенностями протокола и тем, что изначально PPTP не был рассчитан на работу через NAT. Если такой функции нет, то в этой схеме VPN канал установлен не будет по той простой причине, что сервер не увидит входящего запроса на соединение.
PPPoE, L2TP и PPTP использует далёкие от совершенства протоколы авторизации pap, chap, mscap1 и mscap2.
К счастью протокол OpenVPN лишен большинства выше перечисленных недостатков, не использует протокол GRE и был специально разработан с учётом особенностей сетей использующих NAT.
Немного об Open VPN: Работает на порту 1194, может использовать как TCP так и UDP протоколы. Протокол уровня приложения, по модели OSI.
Таким образом, выбор из этих протоколов стал тоже очевиден — OpenVPN. Конечно же, он не идеален и не панацея, но для этого случая подойдёт наилучшим образом.
Немного подрезюмируем.
Будем использовать OpenVPN сервер со стороны моей офисной сети (где я могу что-то менять, по большому счёту могу всё менять, просто не хочу) будет сервер, а со стороны удалённой сети будет клиент. Для того, чтобы сильно не менять схему своей офисной сети, в которой фаервол является аппаратным устройством (и у которого нет встроенного OpenVPN сервера), нужно поставить за ним устройство с OpenVPN сервером и пробросить на него порт 1194.
Теперь мы представляем, как будет устанавливаться связь между клиентом и сервером, но как узлы сети моего офиса смогут видеть узлы удалённой сети?
Чтобы не вносить изменения в маршруизаторы удалённой сети будем скрывать сеть моего офиса НАТом. Со стороны моего офиса, на маршрутизаторе, запишем маршрут, к удалённой сети через ВПН тоннель.
Недостатком маскирования, в данном случае, может стать, не возможность получения доступа узлов удалённой сети к узлам моего офиса, что в данном случае, скорее, преимущество.
Созревшая схема.
На схеме красным цветом отображен тоннель установленный клиентом к серверу, чёрным пунктиром отображен маршрут пакета от узла из моего офиса к узлу из удалённого офиса через тоннель.
На прокси-сервере 192.168.0.1-192.168.100.3 были добавлены маршруты:
Route 10.0.0.0/8 192.168.100.2
Route 192.168.1.0/30 192.168.100.2
Здесь мы заворачиваем все пакеты, адресованные сети 192.168.1.0/30 и 10.0.0.0/8 на маршрутизатор 192.168.100.2-192.168.1.1. На этом же маршрутизаторе работает OpenVPN Server. Все пакеты по умолчанию пересылаются в интернет через шлюз 192.168.100.1-Real_1, а для сети 10.0.0.0/8 пересылаются через виртуальный канал, построенный в сети интернет на OpenVPN Client 192.168.1.2-10.1.1.2.
Для нормальной работы OpenVPN Server’а на шлюзе 192.168.100.1-Real_1 проброшен на него порт 1194.
На OpenVPN Client’е прописан адрес из удалённой подсети 10.1.1.2. Шлюз по умолчанию для него 10.1.1.1. Клиент устанавливает связь в интернет через реальный IP адрес Real_1. Для сети 192.168.100.0/24 прописан маршрут через 192.168.1.1-192.168.100.2 для того чтобы пакеты пришедшие из моего офиса благополучно вернулись обратно. Здесь же, на клиенте, установлено правило в файерволе (таблица NAT): пакеты, пришедшие из сети 192.168.100.0/24, маскируются (masquerading) под адрес из этой подсети (10.1.1.2).
Теоретическая проверка прохождения пакетов
Так пакеты из моей сети будут попадать в удалённую сеть и обратно в соответствии с правилами:
Пакеты, посланные узлом 192.168.0.123 из моего офиса в удалённую сеть 10.0.0.0/8 на узел 10.0.0.123 будут замаскированы шлюзом 192.168.0.1-192.168.100.3 под адрес 192.168.100.3 и по правилу направятся в маршрутизатор 192.168.100.2-192.168.1.1, откуда они перенаправятся через адрес 192.168.1.1 на адрес маршрутизатора 192.168.1.2-10.1.1.2, где они снова будут замаскированы под адрес 10.1.1.2, откуда благополучно дойдут до адресата 10.0.0.123. Адрес 10.0.0.123 пошлёт ответ 10.1.1.2-192.168.1.2, который отошлёт ответ с адреса 192.168.1.2 на адрес 192.168.1.1-192.168.100.2, который вернёт пакет с адреса 192.168.100.2 серверу 192.168.100.3-192.168.0.1, который передаст пакет обратно 192.168.0.123 с адреса 192.168.0.1.
Эта подробная процедура прослеживания прохождения пакетов понадобилась для того чтобы удостоверится, что все настройки были сделаны правильно и ничего не было пропущено.
Какое оборудование выбрать в качестве OpenVPN сервера и клиента?
Можно использовать обычный компьютер с установленной системой *nix и пакетом ПО OpenVPN.
А можно использовать специализированное оборудование. Так сложилось, что у меня были два Mikrotik RB450.
Настройка RB450 или почему я не тестировал PPTP.
Дело в том, что первый раз я пытался тестировать всё на PPTP, но клиент не мог установить связь с сервером, хотя с компьютера под Windows установить связь было возможно.
Обновление Mikrotik RB450 с версии 3.22 на 4.20:
Только с версии 3.25 или выше можно обновляться до 4.20, так написано на официальном сайте www.mikrotik.com/download.html#2.php.
Поэтому в разделе загрузки выбираем нашу систему, а в разделе Software выбираем Legacy. Здесь я выбрал последний релиз 3.30, который без лишних вопросов ставится поверх 3.22:
Делал по аналогии со статьей www.asp24antenna.com.ua/obnovlenie-s-328-os-na-routeros-40.
Открываем WinBOX заходим в files, перетягиваем туда файл прошивки 3.30, перезагружаемся и ждём двойного пика — всё прошивка уже стоит. Потом заходим в System>License и жмём обновить (роутер должен быть в это время подключён к сети интернет с настроенным DNS). После обновления снова скачиваем только уже новую прошивку и кидаем её в роутер, перезагружаемся — всё у нас самая новая прошивка! Провозился с обновлением обоих микротиков RB450 с версии 3.22 на 3.30 а потом на 4.20, но это не помогло и никак не исправило ситуации с PPTP 🙁
Решил строить сразу на OpenVPN.
По руководству этой стати wiki.mikrotik.com/wiki/OpenVPN я создал сертификаты и импортировал их. За подробностями обращайтесь к указанной статье. Опишу только ключевые моменты или те, которые вызывали трудности.
Создал аккаунт на CAcert.org, хотя это вовсе не обязательно, можно выдать самоподписанный сертификат.
На роутере, который будет OpenVPN server’ом, выполняем команды:
/certificate create-certificate-request
#Обязательно заполнить следующие поля:
passphrase:
(Your name) common name:
#Мы получим два файла
certificate-request.pem
private-key.pem
Открываем файл certificate-request.pem копируем его содержимое (скопировать на компьютер, к примеру, по FTP или перетяните на рабочий стол из WinBOX’а) и вставляем в форму на сайте CAcert.org (нужна регистрация) Server Certificates>New, полученный ответ копируем в файл certificate-response.pem (нужно залить на OpenVPN server).
Теперь импортируем сертификаты в WinBOX:
System> Certificates> Import
сначала добавим certificate-response.pem
потом private-key.pem
После чего у добавляемого сертификата появится пометка KR. Если вместо неё вы видите QR, импортируйте private-key.pem ещё раз (мне помогло).
Теперь приступаем к созданию сервера (не забудьте поменять под свои нужды):
/ interface ethernet
set ether1 name=»ether1″
#Этого можно и не делать
/ interface bridge
add name=»lan» arp=proxy-arp
#Внимание, этот аргумент важен arp=proxy-arp!
/ interface bridge port
add interface=ether1 bridge=lan
/ ip address
add address=192.168.1.1/24 interface=lan
#Это адрес сервера
/ ip pool
add name=»ovpn-pool» ranges=192.168.1.2-192.168.1.2
#В пуле будет только один адрес.
/ ppp profile
add name=»ovpn-profile» local-address=192.168.1.1 remote-address=ovpn-pool use-encryption=yes only-one=yes change-tcp-mss=default
#Странно, но это создается в / ppp %)
/ ppp secret
add name=»user-1″ service=pptp password=»123456″ profile=ovpn-profile
#Обязательно указывайте имя пользователя и пароль в кавычках!
На роутере, который будет OpenVPN Client’ом выполняем:
/ip firewall nat
chain=srcnat out-interface=ether1 src-address=192.168.100.0/24 action=masquerade
#Маскируем адреса пришедшие с 192.168.100.0/24
#На этом всё 🙂
Лирическое отступление
Интересно отметить, что, теоретически, есть возможность установки ВПН соединения, не имея ни одного реального IP адреса. Аналог такого соединения – устанавливаемое голосовыми интернет месагерами типа скайп. Суть такого соединения состоит в том, что есть несколько узлов и один сервер. Каждый узел соединён с сервером, но когда узел1 хочет установить сеанс связи с узлом2, он запрашивает параметры установленного соединения на сервер узла2, у сервера, после чего «вклинится» вместо сервера, до разрыва установленного соединения и установит его напрямую. Это реализуется при помощи протокола SIP (Session Initiation Protocol). Именно по этому сервера Скайп не загружены промежуточным трафиком, генерируемым клиентами. Результат таких изысканий установки соединения ВПН тоннеля используя SIP контроль привёл по ссылке www.ietf.org/mail-archive/web/sipping/current/msg10092.html. К сожалению, широкого распространения эта идея не приобрела, не смотря на то, что существуют наброски VPN-SIP от IETF и также существует описание от ETSI TS 185 010 V2.1.1 (2009-07) (Нужно ввести «TS 185 010» и быть зарегистрированным членом ETSI чтобы прочесть документ).
Пример установки VPN соединения, используя SIP контроль:
Рис.1 Удалённый доступ к домашней сети.
Всё же существуют закрытые, программы с аналогичным функционалом, такие как Hamachi, Teamviewer, которые, вполне возможно, используют именно эту идею.
Только представьте, как преобразился бы мир, если бы он имел распространенный и стандартизированный протокол, по которому можно было бы установить VPN соединение, используя SIP контроль!
Как настроить VPN на роутере: интернет без ограничений
Содержание
Содержание
Интернет, наполненный духом свободы, становится все более и более контролируемым — провайдеры блокируют все подряд на свое усмотрение, поисковые системы следят за каждым вашим шагом, да и злоумышленники не дремлют. Неудивительно, что многие задумываются о том, чтобы обойти ограничения, вернувшись во времена «свободного Интернета». И VPN — один из таких способов.
Что такое VPN и зачем он нужен
VPN (Virtual Private Network, виртуальная частная сеть) — технология, позволяющая организовать локальную сеть поверх другой сети (чаще всего интернета). Чтобы пояснить, приведем такой пример. Допустим, вы военнослужащий срочной службы и хотите написать письмо девушке. Вы не собираетесь выдавать каких-либо секретов, но вам наверняка будет неприятно, что вашу переписку будут читать военные цензоры. Поэтому вы идете к прапорщику Семенову и договариваетесь с ним, что он будет отправлять ваши письма с городского почтового ящика. Семенов предлагает также, чтобы девушка писала ответы на адрес его городской квартиры, а он будет носить эти письма вам. Таким образом, прапорщик организовал виртуальную частную почту поверх обычной почты.
VPN-сервисы делают то же самое, подменяя ваш IP-адрес адресом своего сервера, зачастую расположенного в другой стране. Трафик между вами и VPN-сервером зашифрован, поэтому никто, даже ваш провайдер, не сможет определить, на какие сайты вы ходили и что там делали. Минус такой схемы в том, что бесплатные VPN-сервисы не отличаются высокой скоростью, да и уровень предоставляемой ими конфиденциальности зачастую сомнителен. А надежные и высокоскоростные VPN-сервисы требуют хоть и небольшой, но регулярной оплаты — в среднем, 2-5 долларов в месяц. Ну, так ведь и прапорщик Семенов вряд ли будет носить чужие письма «за спасибо».
Зачем подключать роутер к VPN
Подключить компьютер к VPN несложно. Вам не нужно разбираться, «как все устроено», достаточно скачать с сайта провайдера VPN-сервиса специальную утилиту, запустить ее, ввести полученные при регистрации логин/пароль — и все. Но при этом «свободный Интернет» будет только на этом компьютере. Все остальные устройства — пусть даже и подключенные к тому же роутеру — будут по-прежнему «под колпаком». Можно, конечно, установить ту же утилиту на все остальные компьютеры, а на смартфоны — аналогичные мобильные приложения (которые тоже можно скачать с сайта провайдера сервиса). Но это слишком хлопотно, намного удобнее подключить через VPN сам роутер. Правда, тут уже потребуется немного разобраться.
Во-первых, не всякий роутер в принципе может работать VPN-клиентом. Если настроить подключение не удается, то вполне возможно, что прошивка вашего роутера просто не позволяет подключаться к VPN-серверу поверх обычного интернета. В этом случае можно воспользоваться альтернативной прошивкой для роутеров DD-wrt или Tomato, но это потребует определенных знаний и навыков.
Во-вторых, многие, способные подключаться к VPN, роутеры предлагают небольшой выбор протоколов для подключения (OpenVPN, PPTP, L2TP и т.д.), а иногда выбора нет вообще и доступный протокол только один. Если вы подсоединяетесь к определенному VPN-серверу, убедитесь, что у него найдется хотя бы один общий протокол с вашим роутером.
Как подключить роутер к VPN
Зайдите в веб-интерфейс роутера, как это описано в руководстве по эксплуатации (обычно он находится по адресу 192.168.0.1 или 192.168.1.1). Если в меню найдется раздел «VPN-клиент», воспользоваться следует именно им — ваш роутер подготовлен для работы с VPN, и никаких проблем не предвидится.
Если такого раздела нет, попробуйте создать новое WAN-подключение. Для этого надо найти пункт меню «WAN» или «Internet». Иногда этот пункт расположен в корневом меню, иногда — в разделах «Connections», «Network» или «Settings». На открывшейся странице следует создать новое подключение и выбрать необходимый протокол.
Если вариантов выбора больше одного (и VPN-сервер, и роутер имеют несколько общих протоколов), то имейте в виду, что OpenVPN считается более безопасным, но он довольно сильно нагружает процессор роутера и может снижать скорость соединения.
При выборе PPTP и L2TP вам потребуется ввести данные, полученные от VPN-сервиса при регистрации: адрес сервера, пароль и логин. Иногда также требуется ввести IP-адреса DNS-серверов. Также следует задать получение IP-адреса от сервера (Dynamic IP).
Поищите на сайте VPN-сервиса описание настроек роутеров — даже если вашей модели там нет, посмотрите какие именно параметры требуется ввести.
Сохраните настройки и дождитесь подключения к WAN (возможно, потребуется перезагрузка роутера). Если подключения не происходит, попробуйте отключить в настройках роутера IPv6, найти опцию VPN Passthrough и убедиться, что она включена или отключить NAT для клиентов.
Pptp passthrough что это
Подскажите как настроить DI-624 при условии, что подключение к провайдеру через PPTP и хочется удаленно подключаться к сети на работе по тому же PPTP.
Что делать если появится ноутбук или КПК?
Вариант, где Home->WAN->Others->PPTP
хорош, но при этом намертво выключается VPN PassThrough->PPTP
что непозволяет через получившийся канал организовать еще один туннель.
Или я что делаю не так?
Да, прошивку обновил до 2.53 (предыдущая была глюкавая).
Зарегистрирован: Чт мар 10, 2005 03:14
Сообщений: 15
Откуда: Moscow
А то, подключился к Корбине, соответственно 624+ настроил как PPTP клиент, тоже хочу поверх клиента подсоедениться к рабочей сети, а в настройках 624+ блокирует PPTP (( |
Зарегистрирован: Пн окт 03, 2005 00:58
Сообщений: 5
Откуда: Moscow
Ответ саппорта был краток и лаконичен: «Здраствуйте, вам нужно настроить port forwarding для pptp.» Бум мучаться далее пока не случится одно из: Печально, что деньги (хоть и не большие) уже потрачены, а задача не решена. Не хотелось бы покупать еще один супер-роутер и бегать по тем же граблям. |
Зарегистрирован: Чт мар 10, 2005 03:14
Сообщений: 15
Откуда: Moscow
Дмитрий, понимаю вас. |
| Сотрудник D-LINK |
 |
Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
| Сотрудник D-LINK |
|
Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Зарегистрирован: Чт мар 10, 2005 03:14
Сообщений: 15
Откуда: Moscow
| Сотрудник D-LINK |
|
Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Зарегистрирован: Чт апр 27, 2006 22:02
Сообщений: 27
Откуда: Москва
Что-то не очень верится. Аппаратно не поддерживает или все же програмно. P.S. Эххх, как жаль что раньше поиска по форуму не сделал.. Тогда бы сто раз подумал прежде чем Длинк покупать. |
Зарегистрирован: Чт апр 27, 2006 22:02
Сообщений: 27
Откуда: Москва