我们有 5 个 Mikrotik 路由器通过 PPTP VPN 连接。一个是服务器,另外 4 个是客户端。它们都安装了 RouterOS v6.46.3(稳定版)。
每次一个 PPTP 中断并重新连接时,我都必须转到 IP>路由并将此连接路由的“网关”选项从未知更新为“pptp-vpn”。
问题 1:有没有办法在 VPN 重新连接时自动设置路由?
问题2:从网上搜索我发现 PPTP VPN 并不安全,许多人建议避免使用它。我还有哪些其他选择可以替代这些不安全的 VPN?
更新:所有设备都安装了 RouterOS v6.49.12(稳定版)——除了一台设备,当我在更新页面点击“下载并安装”时,出现了 DNS 问题
答案1
它们都具有 RouterOS v6.46.3(稳定版)。
它们都应该有 v6.49.12(稳定版)。
问题1:有没有办法在vpn重新连接时自动设置路由?
不要直接通过特定接口定义路由,而是通过IP地址客户端被分配,并且 RouterOS 每次都会将它们解析为正确的接口。
问题 2:我从网上搜索发现 PPTP VPN 并不安全,许多人建议避免使用它。我还有哪些其他选择可以替代这些不安全的 VPN?
对于静态站点到站点隧道,通常建议使用 WireGuard(RouterOS 7.x 支持它),但 IPsec 可能由于硬件加速而提供更好的性能——无论是通过 IPsec 的 GRE 隧道,还是简单的基于策略的 IPsec。
对于漫游客户端(PC),使用 IKEv2 的 IPsec 是现代选项(IKEv2 支持用户级身份验证等),尽管通过漫游 IPsec 客户端路由其他网络可能会很麻烦,所以听起来它并不是您的最佳选择。
否则,L2TP/IPsec 是最直接的替代(特别是如果你想支持旧客户端)。它使用与 PPTP 相同的 PPP,因此它的行为非常相似,只是安全性更好。
对于漫游客户端来说,WireGuard 也是一个不错的选择——它缺乏自动配置(您必须为每个客户端部署静态配置),但它非常擅长跟踪网络变化。WireGuard 中没有重新连接或断开连接。
RouterOS 还支持 OpenVPN,这可能适用于所有情况,但 1)你确实需要升级 RouterOS 才能获得其 OpenVPN 支持的大量改进,2)我从未使用过它通过 RouterOS所以我无法对其功能做出太多评论。
你可以随时拥有超过一个VPN 类型,例如用于普通漫游 PC 的 IKEv2 和用于站点到站点隧道的 WireGuard。