L2Tp mikrotik на mikrotik: Организация VPN подключения к Mikrotik (L2TP+IPSec)

Организация VPN подключения к Mikrotik (L2TP+IPSec)

Зачем

Организация VPN-подключений может использоваться в различных сценариях:

1. Подключение удалённых клиентов к корпоративной сети (работа на дому, из командировок).
2. Объединение сегментов локальной сети двух офисов, находящихся на удалении.

Несмотря на великое множество различных протоколов и типов VPN, применительно к Mikrotik чаще всего используется связка L2TP + IPsec, т.к. для клиентов на основе Microsoft Windows не требуется установка дополнительного программного обеспечения (в отличие от OpenVPN, например), что существенно облегчает интеграцию пользователей, не обладающих высоким навыком работы на компьютере.

Итак, настраиваем сервер и клиент L2TP + IPsec.

Шаг 1. Диапазон адресов клиентов

Для того, чтобы избежать путаницы, выделим всех клиентов,
подключаемых по VPN в отдельный пул адресов. Так проще будет настроить
маршрутизацию и правила межсетевого экрана, при необходимости.

IP – Pool

Добавляем новый пул, назвав его как-нибудь примечательно,
чтобы потом не затупить.

Шаг 2. Профиль для VPN-подключения

Следующим шагом создадим настройки профиля подключений по VPN.

PPP

Перейдём на вкладку Profiles и добавим новый профиль.
Зададим имя для удобства. Не мудрствуя лукаво, я просто оставил L2TP. А также указал локальный и удалённый
адреса из нашего пула (по счастливой случайности он так же называется L2TP).

Я также отметил возможность изменять максимальный размер сегмента
TCP (опция Change TCP MSS). Есть подозрение, что
это поможет избежать фрагментацию сегментов.

Шаг 3. Секреты

Под секретом в данном случае понимаются учётки VPN-юзеров. Заходим также в
раздел PPP, на вкладку Secrets и
под каждого пользователя создаём свой секрет.

В качестве сервиса выбираем l2tp, а в качестве профиля – созданный на шаге № 2 профиль PPP.

Создал одну учётку пока, для эксперимента. Если уж с ней
получится, то и с другими по аналогии должно пойти на УРА.

Шаг 4. Запускаем сервер L2TP

Здесь просто убедимся, что у нас запущены соответствующие
сервисы.  Заходим в L2TP Server и
убеждаемся в наличии соответствующих настроек:

Здесь, кстати, важный нюанс – для шифрования будем
использовать IPsec. Серьёзных
уязвимостей протокол не имеет, поэтому этого нам будет достаточно. Нужно
указать предварительный ключ – в примере на скрине это слово «ipsec». Можно придумать что-нибудь
посекурнее, например «123» или «password»
— каждый решает сам J

Шаг 5. Тюним IPsec

Важнячок: «из коробки» мой IPSEC глючил и
не давал подключиться. Решение было такое: идём в IP – IPSEC и
создаём новую группу в разделе Group.
А потом на вкладке «Policies»
добавить политику, указав нашу новую группу в качестве шаблона. Видимо какой-то
глюк, но с ним многие сталкивались.

Шаг 6. Файрволл

На сетевом экране IP — Firewall необходимо открыть следующие порты (цепочка input — входящий): протокол udp, порты 500, 4500, 1701.

Можно уточнить правила, указав In. Interface, чтобы ожидать пакеты именно с внешнего интерфейса, а также указать конкретные Src. или Dst. адреса, но это уже будет зависеть от конкретной ситуации. Чем точнее описано правило, тем оно более «секурно», но одновременно и менее гибкое.

Соответственно, если политика по умолчанию у вас accept — то делать ничего не надо. Если drop — скорректировать правила соответствующим образом. Настройка файрволла — тема очень интересная, заслуживает отдельной статьи.

Шаг 7. Настраиваем клиента Windows

VPN-сервер настроен! Самое время настроить клиента. Делать это мы будем из операционной системы Windows 7, хотя настройки в общем-то типовые. Дополнительный софт ставить не надо.

Открываем «Центр управления сетями и общим доступом» через «Панель управления» и нажимаем кнопку «Настройка нового подключения или сети»:

Тут нужно найти пункт, содержащий в сете три волшебные буквы «VPN», а именно: «Подключение к рабочему месту».

Предлагаются два варианта. Нам подходит первый — подключение через уже имеющееся Интернет-соединение. Условно говоря, поверх уже существующего канала создаётся шифрованный, прямиком «на работу».

На следующем шаге указываем IP-адрес нашего VPN-сервера (в данном случае — внешний интерфейс Mikrotik) и даём подключению хорошо читаемое имя. Я укажу наш сайт )

И вот здесь пригодится имя пользователя и пароль, которые мы создавали на этапе «секреты».

Если попытаться подключиться сейчас, то ничего хорошего не выйдет! Всё правильно, открываем свойства созданного VPN-подключения и идём на вкладку «Безопасность».

Выбираем тип VPN: L2TP IPsec, а также нажимаем на кнопку «Дополнительные параметры» и вводим предварительный ключ (ipsec)

 И вот теперь уже подключение происходит сразу. Откроем окно состояния и видим, что криптозащита трафика включена, можно работать дальше.

Данную статью можно закончить! Оставайтесь с нами, рассмотрим и другие варианты подключений!

Настройка VPN IPSec/L2TP сервера Mikrotik

главная
— Статьи — Mikrotik

Дата обновления: 23. 03.2021

Теги: Mikrotik VPN VPN сервер

Иногда мне кажется, что создатели Mikrotik намеренно лишают себя прибыли, не создавая однозначных пошаговых руководств по настройке своих детищ. Почти 100% потребителей этих роутеров пытаются настроить VPN, использовать два или более WAN одновременно или в качестве резервных. Именно это ищут по всей сети (и часто вне рунета) счастливые владельцы этих замечательных устройств. Представьте, на сколько бы увеличилась армия владельцев, если бы для настройки этих функций было два-три визарда в веб-интерфейсе. А сейчас.. сейчас именно благодаря сложности настройки (и, соотв., меньшему количеству желающих купить) мы имеем недорогое, малокапризное для несложных задач устройство, которое надо заставить работать 24х7х365. Например, в качестве VPN-сервера. Поехали!

В данной статье речь идет про VPN-сервер с аутентификацией по паролям. Это достаточно удобный способ, например, можно на короткое время предоставить кому-то доступ (для удаленной работы инженера, к примеру), а потом быстро этот доступ снять, причем не отключая пользователя, а просто поменяв пароль. Но есть и минусы, как минимум, безопасность. Возможность получения доступа путем перебора паролей — это уязвимое место в системе безопасности — надо мониторить логи на предмет попыток входа. Хотя можно и реагировать на попытки подбора пароля, занося злоумышленника в бан. Также среди минусов — невозможность передать маршрут клиенту. Т.е. без донастройки клиента весь трафик клиента идет через канал VPN. Есть другой способ настройки VPN сервера Mikrotik — на ключах, IKEv2. Этот способ описан в отдельной статье «Настройка VPN IKEv2 сервера Mikrotik».

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Протокол L2TP обеспечивает канал передачи данных, туннель.

IPSec обеспечивает защиту данных от просмотра.

Настраивать мы будем тоже по частям — сначала туннель, потом — защита данных.

Примечание 1 (Winbox):

Я не очень люблю текстовые команды с кучей ключей при настройке вещей, которые достаточно много где описаны, но описаны каждый раз с незаметными опечатками, где-то что-то не скопировалось при написании (или при копировании с другого сайта, что случается чаще всего) или просто съелось текстовым редактором CMS сайта. Настройка VPN как раз такой случай. Поэтому я специально каждый шаг прописал для GUI Mikrotik — Winbox, тем более что не так уж тут и много всего надо сделать.

Примечание 2 (до версии 6.18):

До версии 6.18 в прошивке есть баг, из-за которого всегда применяется default policy template, поэтому обновите прошивку до последней стабильной. Не обновляйте прошивку до самой последней, но нестабильной версии, если вы настраиваете VPN.

Итак, имеем роутер Mikrotik с прошивкой 6. 46.2 (февраль 2020) c LAN 192.168.88.0/24 (сеть по-умолчанию). WAN не важен, например, 1.2.3.4.

Настройка туннелирования (L2TP)

1. IP — Pool / Определям диапазон адресов VPN-пользователей

Name: vpn_pool
Addresses: 192.168.112.1-192.168.112.10
Next pool: none

Лучше для клиентов vpn использовать отдельную адресацию. Так проще отделять одних от других. И вообще, бест практис.

2. PPP — Profiles / Профиль для нашего конкретного туннеля

General:
Name: l2tp_profile
Local address: vpn_pool (а можно указать 192.168.88.1, сами смотрите, как вам больше нравится)
Remote address: vpn_pool
Change TCP MSS: yes

Protocols:
all to default:
Use MPLS: default
Use compression: default (ставил также yes)
Use Encryption: default (можно ставить no, т.к. ppp-шифрование мы использовать не будем, на это нам IPSec есть, на незагруженном микротике разницы никакой не заметил)

Если в сети, куда вы подключаетесь, есть ресурсы по внутренним доменным именам, а не только по IP, можете указать DNS Server этой сети, например, 192. 168.88.1 (или какой вам нужен).

Limits:
Only one: default

3. PPP — Secrets / Готовим пользователя VPN

Name: vpn_user1
Password: bla-bla-bla
Service: l2tp
Profile: l2tp_profile

4. PPP — Interface — клик на L2TP Server / Включаем сервер L2TP

Enabled — yes
MTU / MRU — 1450
Keepalive Timeout — 30
Default profile — l2tp_profile
Authentication — mschap2
Use IPSec — yes
IPSec Secret: tumba-yumba-setebryaki (это не пароль пользователя, а предварительный ключ, который надо будет указывать на клиентах в дополнение к логину/паролю)

При этом в IP-IPSec-Peers будет создан динамический пир с именем l2tp-in-server.

Настройка шифрования данных в «туннеле» (IPSec)

На предыдущем этапе мы создали туннель для передачи данных и включили IPSec. В этом разделе мы настроим параметры IPSec.

5. IP — IPSec — Groups

Статья эта уже прошла немало редакций с 2015 года, и тогда была велика вероятность появления ошибки соединения с сервером из-за дефолтной группы, что лечилось удалением и пересозданием ее. Например, с именем «policy_group1». Также можно просто удалить эту группу, но через веб-интерфейс будут показываться ошибки. В последней редакции с дефолтной группой все работает нормально, но все же имейте ввиду.

6. IP — IPSec — Peers

В старых редакциях нужно было создавать пир (спойлер).

Address: 0.0.0.0/0
Port: 500
Auth method: pre shared key
Passive: yes (set)
Secret: tumba-yumba-setebryaki (это не пароль пользователя!)

Policy template group: policy_group1
Exchange mode: main l2tp
Send Initial Contact: yes (set)
NAT Traversal: yes (set)
My id: auto
Proposal check: obey
Hash algorithm: sha1
Encryption Algorithm: 3des aes-128 aes-256

DH Group: modp 1024
Generate policy: port override
Lifitime: 1d 00:00:00
DPD Interval: 120
DPD Maximum failures: 5

Сейчас пир создается автоматически при включении L2TP-сервера с Use IPSec. А если у вас он был создан ранее, то после обновления прошивки микротика будет два пира — автоматически созданый и ваш старый, над которым будет красная надпись: This entry is unreachable. Так что идем дальше.

7. IP — IPSec — Proposals / «Предложения».

Что-то вроде «что мы можем вам предложить». Другими словами, задаем опции подключения, которые смогут пытаться использовать удаленные клиенты.

Name: default
Auth algorithms: sha1
Enrc. algorithms: aes-256 cbc, aes-256 ctr
Life time: 00:30:00
PFS Group: mod 1024

Этот пункт очень важен, здесь указываются не просто алгоритмы шифрования, но поддерживаемые удаленными клиентами алгоритмы шифрования. Что толку, что вы выставите крутые настройки на сервере, а клиенты их «не умеют»? Задача — выдержать баланс.

Firewall

Давайте уж к консоли, что-ли для разнообразия:

/ip firewall filter
add chain=input action=accept protocol=udp port=1701,500,4500
add chain=input action=accept protocol=ipsec-esp

Если у вас по-умолчанию политика forward установлена в drop (последнее правило для forward «chain=forward action=drop»), вам может быть необходимым разрешить forward с ip-адресов vpn_pool в локальную сеть:

add chain=forward action=accept src-address=192. 168.112.0/24 in-interface=!ether1 out-interface=bridge-local comment=»allow vpn to lan» log=no log-prefix=»»

Вот теперь с сервером все.

Подключение удаленного клиента

Пробуем подключить Windows 7:

Панель управленияСеть и ИнтернетЦентр управления сетями и общим доступом:
    Настройка нового подключения или сети
        Подключение к рабочему месту
            Создать новое подключение
                Использовать мое подключение к интернету (VPN)
                    Интернет-адрес: ip или имя роутера в сети
                        Пользователь и пароль из PPP->Secrets. В нашем случае это vpn_user1 и его пароль.
                        
Пытаемся подключиться.

Если не выходит, или просто надо настроить созданное подключение:

Вкладка Безопасность:

Тип VPN: L2TP IPSec VPN

Дополнительные параметры: для проверки подлинности использовать предварительный ключ. В нашем случае это «tumba-yumba-setebryaki» (IP — IPSec — Peers):

Здесь же, в группе «Проверка подлинности», оставляем только CHAP v2.  Жмем ОК и пытаемся подключиться. Должно получиться.

Если нет, загляните на страницу ошибок при настройке VPN.

Update 1: часто люди интересуются, как несколько (больше одного) клиентов из одной локальной сети (за nat) могут подключаться к одному удаленному vpn-серверу микротик.  Не знаю, как в L2TP/IPSec связке это обеспечить. Можно назвать это багом реализации. Я не нашел простого объяснения и решения проблемы.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Авторизуйтесь для добавления комментариев!

Пошаговая инструкция по объединению сетей с помощью L2TP и L2TP/IPSec на Mikrotik

В эпоху тотальной информатизации всех бизнес-процессов, всё более остро постаёт вопрос объединения удалённых офисов и филиалов между собой в единую информационную сеть. Довольно часто немаловажную роль играет возможность предоставления удаленного доступа для сотрудников из дома, либо любой точки земного шара, где есть доступ в Интернет.

Объединение сетей мы будем рассматривать на примере оборудования компании Mikrotik. В качестве тестового сервера используется маршрутизатор RB2011UiAS-RM, который является отличным выбором для небольших офисов и компаний, ограниченных в бюджете. В качестве конечного клиента используется одно из самых доступных решений – Mikrotik hAP lite (RB941-2n).

Благодаря своей невысокой, hAP lite можно с легкостью применять в домашних условиях, для подключения сотрудников, работающих удалённо. Хороший показатель производительности позволяет использовать этого «малыша» даже в малых офисах, где нет высоких требований.

Бывают ситуации, когда офис и филиалы находятся в локальной сети одного и того же провайдера, что существенно упрощает процесс объединения сетей. Тем не менее, чаще всего филиалы территориально разграничены и могут находиться на большом удалении друг от друга.

Одной из самых популярных технологий для таких целей можно считать VPN – Virtual Private Network. Для реализации VPN, можно прибегнуть к нескольким вариантам: PPTP, L2TP, OpenVPN, SSTP и т.д. PPTP морально устарел, а OpenVPN и SSTP поддерживаются далеко не на всех устройствах.

По этим причинам, а также благодаря простоте настройки и доступности на устройствах, работающих под управлением разных ОС, протокол L2TP (Layer 2 Tunnel Protocol) является одним из самых популярных протоколов туннелирования. Проблемы могут возникать в случае нахождения клиента за NAT, когда Firewall блокирует пакеты. Однако даже в этом случае есть решения по обходу блокировки. Один из недостатков L2TP – безопасность, которая решается применением IPSec. Второй и, пожалуй, самый значимый недостаток – производительность. При использовании IPSec происходит двойная инкапсуляция, что снижает производительность – это именно та цена, которую придется заплатить за безопасность передаваемых данных.

Тестовый стенд

Для лучшего понимания настроек, ниже приведена иллюстрация, которая показывает структуру сети.

В качестве интернет-провайдера выступает маршрутизатор RB951Ui-2HnD, который выдает устройствам IP в подсети 192.168.106.0/24. В реальности же у вас будут другие IP-адреса на WAN-интерфейсах.

Настройка сервера

Итак, на главном сервер должен быть статический белый внешний IP-адрес, в качестве примера у нас это 192.168.106.246. Наличие статики важно т.к. адрес не должен меняться, в противном случае придётся прибегать к лишним действиям и использовать DNS-имя.

Создание профилей

Заходим в раздел PPP, открываем вкладку Profiles, здесь необходимо создать профиль, который будет применяться к VPN-подключениям. Отметьте опции Change TCP MSS, Use Compression, Use Encryption. По-умолчанию, будет использоваться шифрования MPPE 128 bit.

Переходим на вкладку Interface. Нажимаем L2TP Server, в появившемся окошке ставим галочку Enabled и выбираем профиль по-умолчанию, который мы создали ранее. Тип аутентификации, по желанию – оставить как есть, либо выбрать только MS-CHAP v2.

Опцию IPsec оставляем отключенной.

Переходим в Secrets, здесь необходимо создать нового пользователя VPN. В качестве Service указываем L2TP, тут же можно указать используемый профиль.

Локальный адрес указываем 10.50.0.10, удаленный – 10.50.0.11. При необходимости создаём нужно количество пользователей. Для каждого пользователя локальный IP будет одинаковым, удалённый IP увеличиваем на единицу (т.е. 10.50.0.12, 10.50.0.13 и т.д.). Можно конечно прибегнуть к использованию пула адресов, но со статикой вам проще будет писать маршруты.

Создание интерфейса

Для каждого пользователя создаём свой интерфейс. Открываем раздел интерфейсов и нажимаем плюс, в выпадающем меню выбираем L2TP Server Binding, указываем отображаемое название и имя пользователя. При подключении пользователя здесь будет отображаться вся информация.

Настройки файрволла

Для работы VPN необходимо открыть UDP-порт 1701 (chain input, protocol 17(udp), dst-port 1701, accept). После чего необходимо поднять приоритет правила, перемещаем его выше.

Далее заходим в NAT и добавляем маскарадинг для VPN (chain srcnat, out interface all ppp, action masquerade), это необходимо делать для того, чтобы компьютеры за роутером видели друг друга.

Добавление маршрутов

Прописываем маршрут в удалённую подсеть. Конечная подсеть 192.168.2.0/24, в качестве шлюза выступает IP клиента внутри виртуальной сети, в нашем случае это 10.50.0.11, target scope выставляем единицу, Pref. Source – локальный IP сервера внутри виртуальной сети, 10.50.0.10.

На этом настройка сервера завершена, приступаем к настройке клиентского подключения на втором устройстве.

Настройка клиента

Открываем раздел интерфейсов и добавляем новый L2TP Client, указываем IP-адрес сервера и свои учётные данные, по-умолчанию выбираем профиль с шифрованием и снимаем галочку с дефолтного маршрута.

Применяем, если всё сделано правильно – соединение должно быть установлено.

Пробуем пинговать 192.168.1.1… и он, конечно же, отвечать не будет. Добавляем новый статический маршрут – удаленная подсеть 192.168.1.0/24, в качестве шлюза IP сервера в виртуальной сети, Pref. Source – наш IP в виртуальной сети. Т.е. на клиенте все адреса проставляются наоборот.

Пробуем повторно выполнить ping 192.168.1.1 – есть.

Но компьютеры за роутером ещё не видят удалённую сеть.

Создаем для них маскарадинг, аналогичный тому, что создан на сервере. В качестве выходного интерфейса указываем наше VPN-подключение.

Ping пошел, значит, всё работает. Поздравляем, ваш туннель работает, а компьютеры видят друг друга.

В нашем примере, как показало тестирование, удалось получить канал с пропускной способностью около 50 Мбит/сек.

На этом базовая настройка завершена. При добавлении новых пользователей, необходимо добавлять соответствующие маршруты на устройствах, где вы хотите, чтобы устройства за роутером видели друг друга. При пробросе маршрута между Client1 и Client2, на самом сервере ничего делать не нужно. Достаточно прописать маршруты на клиентах, в качестве шлюза будет выступать IP оппонента в виртуальной сети.

Настройка L2TP + IPSec

Иногда на практике нужно обеспечить должный уровень безопасности. При использовании L2TP целесообразно прибегать к использованию IPSec. В качестве примера используется сеть, настроенная по вышеизложенной инструкции.

Обратите внимание! IPSec создаётся внутри туннеля L2TP между виртуальными адресами 10.50.0.X. Такая реализация позволяет не зависеть от IP клиента.

Если же вы хотите создать IPSec-туннель между WAN сервера и WAN клиента, необходимо, чтобы у клиента был белый внешний IP. Если IP будет динамичным, вам потребуется также использовать разные скрипты для изменения политик IPSec. К тому же, в случае IPSec между внешними IP, необходимость в L2TP вовсе отпадает.

Настройки на сервере

Первым делом заходим в NAT и отключаем маскарадинг для PPP, если этого не сделать, пакеты шифроваться не будут. Необходима перезагрузка маршрутизатора.

Заходим в раздел IP – IPSec, открываем вкладку Proposals. Здесь нам необходимо указать тип шифрования и аутентификации. Алгоритм аутентификации выбираем sha1, для шифрования оптимальным будет использовать алгоритм AES 128-бит. При необходимости, можно также указать 3DES (Triple DES), он является алгоритмом по-умолчанию для L2TP/IPSec в Windows 7, в то время, как для мобильных ОС целесообразным может быть применение AES 256-бит.

Во вкладке Peers добавляем новый пир с адресом 0.0.0.0/0, что разрешит маршрутизатору принимать все подключения. По-умолчанию, используется 500-й порт. Метод аутентификации выбираем pre shared key, чуть ниже указываем желаемый пароль. Exchange Mode следует указать main l2tp.

Отмечаем опции Send Initial Contact и NAT Traversal. Последнюю опцию можно и не отмечать, если вы точно уверены, что клиент не находится за NAT провайдера. Generate policy выбираем port strict. Остальные опции вы можете посмотреть на скриншоте.

После добавления пира следует создать политику, для этого открываем вкладку Policies. Политику по-умолчанию можно отключить. Создаем новую политику, где указываем наши 2 локальные сети. Src. Adress (source) – наша локальная подсеть 192.168.1.0/24, Dst. Adress (destination) – удаленная подсеть 192.168.2.0/24. В закладке Action необходимо указать применяемое действие: action – encrypt, level – require. В качестве протокола выбираем ESP и ставим галочку Tunnel. SA Src. Adress – наш локальный адрес в виртуальной сети (10.50.0.10), SA Dst. Adress – адрес удаленного клиента в виртуальной сети.

На этом в принципе все, нужно также зайти в Firewall и добавить правила для используемых портов. Порт UDP 1701 используется для начальной инициализации и конфигурации. UDP 500 используется в L2TP/IPSec для инициализации обмена ключами. Протокол 50 – IPSec ESP, который используется для шифрования данных. Иногда необходимо также открывать порт UDP 4500 для обхода NAT.

Настройка клиента

В первую очередь, добавляем правила файрволла и отключаем маскарадинг для нашего VPN-подключения.

В разделе IP – IPSec необходимо настроить Proposal аналогично тому, как это сделано на сервере.

В качестве пира будет выступать 10.50.0.10, т.е. адрес сервера в виртуальной сети. Все остальные настройки должны соответствовать тем, которые вы указали при настройке сервера.

При создании политики, все адреса и подсети указываются обратно тому, как они указаны на сервере, т.е. у клиента всё наоборот.

Если вы всё сделали правильно, во вкладке Remote Peers у вас отобразится список пиров и используемые порты.

Теперь необходимо открыть вкладку Installed SAs, здесь следует обратить особое внимание на значение Current Bytes – если оно равно нулю, значит, пакеты не шифруются.

В файрволле вы можете посмотреть движения трафика.

Что же касается загрузки процессора, в минимальной нагрузке канала для RB2011UiAS-RM она поднялась до 9-13%.

Проверка производительности L2TP/IPSec

Пришло время проверить производительность канала, ведь в случае с L2TP/IPSec происходит двойная инкапсуляция, что создаёт нагрузку на центральный процессор.

В однопоточном тесте, производительность нашего канала между RB2011UiAS-RM и RB941-2n упала до 17 Мбит/сек. Если увеличить количество потоков до 10, можно добиться скорости 19 Мбит/сек.

Загрузка процессора обеих устройств при этом составляет 95%, что немало. Это та цена, которую приходится платить за безопасность передаваемых данных.

Для получения высокой производительности по L2TP/IPSec следует покупать оборудование более высокого уровня, либо собирать маршрутизатор на PC + RouterOS. Если вы выбираете вариант покупки производительного маршрутизатора, обратите внимание на наличие аппаратного блока шифрования, что существенно увеличит производительность.

Настройка vpn (openvpn, l2tp, pptp, ipsec и др.) server в mikrotik

Обзорная статья на тему использования современных приватных тоннелей в роутерах популярной латвийской марки. Я расскажу о том, как настроить vpn сервер в mikrotik на базе таких технологий как l2tp, ipsec, openvpn, pptp, gre и eoip. Попутно кратко расскажу о том, что это за технологии, чем они отличаются, а так же проведу сравнение производительности микротика со всеми указанными тоннелями.

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Курс стоящий, все подробности читайте по ссылке.

Данная статья является частью единого цикла статьей про Mikrotik.

Введение

Сразу хочу обратить внимание, что эта статья будет скорее обзорной, нежели передачей реального опыта, так как сам я чаще всего использую в качестве vpn сервера openvpn. Тем не менее с vpn в микротик тоже приходилось сталкиваться. Настраивал как pptp сервера для подключения удаленных клиентов, так и l2tp для объединения двух и более микротиков в общую приватную сеть. В основном по дефолту, не вникая в тонкости настроек.

Сегодня хочу рассмотреть этот вопрос более внимательно и посмотреть, что вообще предлагает микротик из коробки для настройки vpn соединений. Своими исследованиями я и хочу поделиться с вами, написав небольшой обзор на тему средств организации vpn сервера в mikrotik. А попутно хочу собрать отзывов и исправлений на тему написанного, чтобы укрепить свои знания. В комментариях к своим статьям я черпаю массу советов, за что благодарен всем писавшим полезные вещи. Так что замечания, дополнения и исправления категорически приветствуются.

Для тех, кто хочет хорошо разбираться в сетях, но пока по какой-то причине не умеет этого, рекомендую вот этот цикл статей — сети для самых маленьких. Так же, если вы не очень хорошо знакомы с микротиками, рекомендую мою статью на тему настройки микротика с нуля.

Варианты vpn сервера в микротике

С вариантами vpn сервера в микротике все сложно 🙂 В том плане, что есть много реализаций vpn, которую не так просто выбрать, если не разбираешься детально в сетевых технологиях. Я не сильно в них разбираюсь, но как мне кажется, немного улавливаю суть. Постараюсь вам объяснить своими словами, в чем отличия.

Существуют 2 принципиально разных решения для организации соединений между двумя микротиками и внешними абонентами:

1. Создание l2 туннеля типа site-to-site с помощью EOIP Tunnel. Самый простой и быстрый способ объединить два микротика. Если не будет использовано шифрование, то получатся  самые быстрые vpn подключения. Необходимы выделенные белые ip адреса на обоих устройствах. Такие соединения используют для объединения офисов или филиалов по vpn. В общем случае не работает через NAT. Сюда так же добавлю GRE Tunnel, хотя он работает в l3 и использует маршрутизацию, но работает так же по принципу site-to-site.
2. VPN соединения уровня l3 на технологии Клиент-Сервер, типа PPTP, L2TP, SSTP, OpenVPN. Такие соединения используются как для объединения офисов, так и для подключения удаленных сотрудников. Достаточно только одного белого ip адреса на стороне сервера для создания vpn соединений. Работает через NAT.

Расскажу немного подробнее о каждом из типов vpn соединений отдельно.

• GRE Tunnel — использует простой протокол gre для построения базового незащищенного site-to-site VPN. Разработан компанией CISCO. Позволяет инкапсулировать пакеты различного типа внутри ip туннелей. Простыми словами вот что он делает. Берет ваши данные со всеми заголовками, упаковывает в пакет, передает по интернету  на другой конец, где этот пакет обратно разбирается на исходные данные. Для конечных пользователей сети все это выглядит, как-будто они общаются через локальную сеть.
• EOIP Tunnel — Ethernet over IP — это проприетарный протокол MikroTik RouterOS, который создает туннель Ethernet между двумя маршрутизаторами поверх IP-соединения. Для передачи данных использует GRE протокол. Принципиальное отличие eoip tunnnel в том, что он работает в l2 и передает напрямую фреймы, тогда как gre tunnel оперирует пакетами и использует маршрутизацию. Надеюсь правильно объяснил и не соврал. Для чего mikrotik решили создать свою реализацию туннеля через gre протокол, не знаю. Возможно, похожих решений просто нет, вот они и придумали свою реализацию.
• PPTP — туннельный протокол типа точка-точка (Point-to-Point Tunneling Protocol). Для работы использует GRE протокол, поддерживает шифрование. В свое время pptp обрел большую популярность из-за того, что его из коробки поддерживала Windows начиная с версии 95. На сегодняшний день pptp использовать не рекомендуется, так как он очень легко взламывается. Из дампа трафика за короткое время (несколько часов) достается ключ шифрования и расшифровывается весь трафик. Возможно, с этим как-то можно бороться, используя разные протоколы шифрования, но я не разбирался подробно с этой темой. Для себя решил, что pptp можно использовать как самое простое решение там, где нет повышенных требований к безопасности и расшифровка трафика, если таковая и случится, не принесет никаких проблем. PPTP поддерживает из коробки не только Windows но и Android, что очень удобно. Настраивается очень просто.
• L2TP — Layer 2 Tunneling Protocol. Несмотря на то, что в названии указано l2, реально в ip сети он работает на сеансовом уровне, то есть l3. Использует в работе udp порт 1701. Может работать не только в IP сетях. Из коробки, как и pptp, поддерживает аутентификацию пользователей. Сам по себе не обеспечивает шифрование. Для шифрования трафика может использовать ipsec, который считается очень безопасным и не имеет серьезных уязвимостей. В настоящее время поддерживается практически всеми устройствами и системами из коробки, как и pptp. Настраивать не сильно сложнее. В общем случае, для организации vpn рекомендую использовать именно этот тип шифрованного тоннеля.
• OpenVPN — это очень популярная реализация шифрованных соединений. Главное достоинство — гибкость настроек. К примеру, очень крутая возможность openvnp — пушить маршруты напрямую клиенту при подключении. Я долгое время использовал openvpn серверы. Когда первый раз понадобилось передать клиенту pptp маршрут, никак не мог понять, как это настроить. Оказалось, что никак, он это просто не умеет. Пришлось настраивать сторонними инструментами. К сожалению, по непонятным причинам, в mikrotik openvpn не поддерживает протокол udp, что очень сужает возможности использования этого vpn сервера. По tcp он работает гораздо медленнее, чем по udp. Так же не работает сжатие заголовков пакетов. Так что в общем случае использовать openvpn сервер в микротик не имеет смысла, если только он не нужен вам по каким-то конкретным причинам.
• SSTP — Протокол безопасного туннелирования сокетов (Secure Socket Tunneling Protocol) – был представлен Microsoft в Windows Vista SP1. Основной плюс в том, что он интегрирован в Windows, может использовать 443 порт, что иногда помогает обходить фаерволы. Считается очень безопасным, использует SSL 3.0. Из минусов, насколько я знаю, в микротике очень требователен к ресурсам процессора. На слабеньких железках будет выдавать самую низкую скорость по сравнению со всеми остальными соединениями по vpn. По этой причине я его не буду рассматривать в своем обзоре совсем.

Из всего написанного можно сделать такой вывод. В общем случае лучше всего в микротике использовать vpn на базе l2tp + ipsec. Основные причины:

1. Простота и удобство настройки.
2. Надежное шифрование.
3. Поддержка l2tp соединений практически всеми современными устройствами и системами. Нет необходимости ставить дополнительное программное обеспечение.
4. Подходит как для объединения офисов, так и для удаленных сотрудников — site-to-site и client-to-site подключения.

Если вам нужно максимальное быстродействие без шифрования, то стройте соединения между сетями или офисами с помощью EOIP Tunnel — фирменной разработки компании Mikrotik.

Дальше я покажу, как настроить все описанные туннели, кроме SSTP и произведу замеры скорости для сравнения. Мой тестовый стенд из двух Mikrotik RB951G-2hnD будет иметь следующие настройки.

Приступим к настройке и тестированию vpn соединений в mikrotik.

Настройка l2tp туннеля в mikrotik

Для начала настроим простой l2tp туннель без шифрования и замерим скорость. Для настройки l2tp vpn в mikrotik выполните следующую последовательность действий.

Идем в раздел IP -> Pool и добавляем пул ip адресов для vpn туннеля.

Создаем профиль для туннеля в PPP -> Profiles.

На остальных вкладках настройки дефолтные. Далее создаем пользователя в PPP -> Secrets.

Теперь запускаем l2tp сервер. Идем в PPP и жмем в кнопку L2TP Server.

Устанавливаем настройки для l2tp сервера. ipsec пока не включаем.

VPN сервер настроен. Теперь создадим для него постоянный интерфейс, чтобы на его основе создавать статические маршруты. Идем в Interfaces и создаем L2tp Server Binding.

Последний штрих. Создаем статический маршрут, с помощью которого абоненты локальной сети сервера смогут подключаться к абонентом локальной сети за удаленным роутером через vpn. Идем в IP -> Routes и добавляем маршрут.

Я не рассмотрел вопрос настройки firewall, так как не хочется раздувать и так объемную статью. Напрямую это не относится к указанной теме. Подробнее читайте о настройке фаервола отдельно по приведенной ссылке. Здесь же только укажу, что необходимо открыть на firewall для корректной настройки l2tp.

На сервере необходимо создать следующие правила для фаерволла, чтобы мы могли достучаться до нашего L2TP сервера. IP -> Firewall -> Filter Rules. Необходимо создать разрешающее правило в цепочке input для следующих портов и протоколов:

• Протокол: UDP
• Разрешаем порты: 1701,500,4500
• В качестве In.Interface указываем тот, через который происходит l2tp подключение.

Отдельно добавляем еще одно правило, разрешающее протокол ipsec-esc.

На сервере все готово. Идем настраивать l2pt клиент на удаленном микротике.

L2tp клиент

Здесь все достаточно просто. Идем в PPP и добавляем L2TP Client. Указываем настройки, которые задавали ранее на сервере.

Добавляем статический маршрут, чтобы клиенты этого роутера знали, куда обращаться к абонентам удаленной локальной сети за vpn.

На этом все. Мы настроили l2tp на удаленном микротике и таким образом объединили 2 локальных сети с помощью vpn. В списке ip адресов при активном l2tp соединении на сервере и клиенте вы должны увидеть ip адреса из заданного на сервере диапазона для vpn сети — 10.10.5.1-10.10.5.100. Теперь можно пропинговать с обоих сетей противоположные.

У меня для теста к обоим микротикам подключены ноутбуки. Сейчас я измерю скорость соединения с помощью iperf3. За роутером m-remote на ноутбуке 10.30.1.254 запускаю сервер, а на 10.20.1.3 агента. Запускаем тест скорости vpn соединения:

Средняя скорость 194 мбит/сек. Откровенно говоря, я не понял, почему такая низкая скорость. Мой тестовый стенд собран на двух роутерах микротиках и гигабитного микротик свитча между ними. Ожидал увидеть что-то в районе 500 мбит/сек. Напомню, что туннель пока без шифрования. При этом загрузка процессоров на роутерах была в районе 90-95%. То есть фактически потолок этих железок.

Попробуем теперь включить шифрование ipsec и замерить скорость с ним.

Настраиваем ipsec

С настройкой ipsec для l2tp я залип на некоторое время. В сети много инструкций, но все они устарели. Как оказалось, в последних версиях прошивок, запустить ipsec в дефолтных настройках не просто, а очень просто. Для этого надо всего лишь в свойствах l2tp сервера указать Use IPsec — yes и задать пароль.

Все необходимые настройки ipsec будут созданы автоматически. На агенте сделать то же самое — включить ipsec шифрование и указать пароль.

После подключения l2tp клиента увидите в логе похожие строки:

19:17:00 l2tp,ppp,info l2tp-out1: initializing... 
19:17:00 l2tp,ppp,info l2tp-out1: connecting... 
19:17:03 ipsec,info initiate new phase 1 (Identity Protection): 192.168.13.197[500]<=>192.168.13.1[500] 
19:17:04 ipsec,info ISAKMP-SA established 192.168.13.197[500]-192.168.13.1[500] spi:407844c0ceb5d2ab:46ce7ffb25495efd 
19:17:07 l2tp,ppp,info l2tp-out1: authenticated 
19:17:07 l2tp,ppp,info l2tp-out1: connected

Для того, чтобы убедиться, что шифрование ipsec работает, можно зайти в раздел IP -> Ipsec -> Installed SAs и посмотреть на счетчик зашифрованных пакетов. Если он растет, значит все в порядке, трафик шифруется.

Там же в разделе Remote Peers можно посмотреть список удаленных клиентов, для которых работает ipsec шифрование, посмотреть используемые алгоритмы. Все дефолтные настройки ipsec живут в этом разделе. Вы можете посмотреть их, изменить или добавить новые профили. По-умолчанию используется алгоритм авторизации sha1 и шифрование AES. Можете изменить эти параметры, если разбираетесь в теме. Я умничать не буду, тему шифрования не копал. Какие алгоритмы максимально быстры и защищены — не знаю.

Проведем тесты скорость vpn соединения l2tp + ipsec.

У меня получилось вот так — 26 мбит/сек в среднем. При этом загрузка процессора 100%. Не густо. Данные железки для шифрованных каналов пригодны очень слабо. В данных тестах они ничем, кроме непосредственно теста не нагружены. В реальных условиях скорость будет еще ниже.

С настройками vpn на базе l2tp + ipsec закончили. Продолжим настройку остальных vpn туннелей и сравним их скорость.

Настройка pptp сервера в mikrotik

Настройка pptp сервера не отличается принципиально от l2tp. Логика и последовательность действий та же самая. Сначала создаем pool адресов в IP -> Pool для vpn сети. Я буду использовать тот же пул, что мы создали ранее.

Далее создаем профиль для pptp туннеля в разделе PPP -> Profiles.

В этом профиле указаны дефолтные настройки шифрования, при которых оно отключено. Проверим сначала скорость vpn канала без них. Создаем нового пользователя для удаленного pptp подключения.

Включаем pptp сервер в разделе PPP.

Теперь создадим в Interface List PPTP Server Binding по аналогии с предыдущим разделом.

И в завершение добавляем статический маршрут до удаленной сети через pptp подключение.

Настройка pptp сервера закончена. На фаерволе нужно будет открыть для входящих подключений внешнего интерфейса следующие вещи:

• TCP port 1723
• GRE протокол

Отправляемся настраивать pptp клиент.

pptp клиент

Отправляемся на удаленный роутер и там настраивает подключение через pptp client. Идем, как обычно, в раздел PPP и добавляем PPTP Client. На вкладке General ничего не трогаем, а на Dial Out указываем адрес pptp сервера и имя пользователя для подключения.

Добавляем статический маршрут до удаленного офиса через vpn туннель.

Все готово. Активируем pptp подключение и пробуем пинговать адреса в локальной сети. Убедиться в том, что шифрование отключено можно в статуте pptp соединения на клиенте.

Проверим теперь скорость vpn соединения по pptp.

Те же самые 194 мбит/сек, что на нешифрованном l2tp при 100% загрузке процессора. Вообще, было немного странно увидеть абсолютно такие же цифры. Проводил тесты несколько раз, но везде был стабильно один и тот же результат. Без шифрования нет разницы по скорости между l2tp и pptp соединением.

Теперь включим шифрование в pptp на сервере и посмотрим на скорость. Для этого указываем в pptp профиле явно, чтобы использовалось шифрование. Идем в PPP -> Profiles и редактируем наш профиль.

Убедимся в статусе клиента, что шифрование работает.

Тестирую скорость vpn соединения по pptp с включенным шифрованием.

Получилось в среднем 71 мбит/сек. Неплохой результат в сравнении с шифрованием ipsec в l2tp. Как я и говорил ранее, pptp сервер хорошо подходит там, где шифрование либо совсем не нужно, либо допускается возможность, что зашифрованный трафик будет расшифрован. Но при этом он все равно закрыт шифрованием и каждый проходящий не сможет ничего увидеть. Нужно как минимум снять дампт трафика и каким-то образом подбирать ключ по словарю или перебором. Не знаю точно, как это реализуется на практике. Не изучал вопрос.

Перейдем теперь к openvpn серверу в микротик. Очень любопытно посмотреть на тесты скорости этого типа vpn соединений.

Настройка openvpn server в микротик

В настройке openvpn сервера на mikrotik нет ничего сложного, кроме нюанса с сертификатами. Тому, кто с ними никогда не работал, может показаться все слишком замороченным. К тому же в самом микротике нет никаких средств для создания сертификатов сервера и клиента. Необходимо использовать сторонние утилиты. Если у вас есть linux машина, можете воспользоваться моей инструкцией по созданию сертификатов для openvpn на linux.

Если у вас нет linux машины, но вы все же настроены поднять vpn туннель с помощью openvpn в микротике, то давайте разбираться с настройкой дальше. Прежде всего нам понадобится дистрибутив openvpn для windows. Скачать его можно по ссылке — https://openvpn.net/community-downloads/. Нас будет интересовать Windows Installer.

Выполняем установку от имени администратора и указываем в процессе компонент под названием EasyRSA 2 Certificate Management Scripts.

Идем в директорию C:\Program Files\OpenVPN. Переносим оттуда папку easy-rsa куда-нибудь в другое место, чтобы не приходилось постоянно спотыкаться об UAC, который не даст спокойно работать в Program files. Я перенес в D:\tmp\easy-rsa. Переименовываем файл vars.bat.sample в vars.bat. Открываем его на редактирование и приводим примерно к следующему виду.

Для тех, кто не понял, это просто переменные, которые я указал под свои нужды. Там писать можно все, что угодно, не принципиально для нашей задачи. Можно вообще ничего не менять, а оставить как есть. Создаем в директории папку keys. Далее запускаем командную строку от администратора и перемещаемся в указанную директорию D:\tmp\easy-rsa.

Далее в командной строке пишем vars и жмем enter. Этим мы загрузим переменные из файла vars.bat, потом вводим clean-all. Дальше генерируем Root CA командой — build-ca.

Отвечаем на задаваемые вопросы и завершаем создание корневого сертификата. Он появится в папке D:\tmp\easy-rsa\keys. Дальше создаем сертификат openvpn сервера командой — build-key-server имя_сервера.

Теперь сгенерируем сертификат для клиента. У меня только один клиент в виде удаленного микротика. Вы создаете ровно столько, сколько вам нужно. Используем команду build-key имя_сертификата.

С созданием сертификатов закончили. Они у нас все лежат в директории keys. На микротик, который будет выступать в качестве openvpn сервера, нужно передать файлы:

• ca.crt
• ovpnserver.crt
• ovpnserver.key

Импортируем сертификаты из добавленных файлов. Идем в System -> Certificates и импортируем сначала ca.crt, потом ovpnserver.crt и ovpnserver.key.

Должно получиться примерно так. Теперь приступаем к настройке openvpn сервера в mikrotik. Создадим для него отдельный профиль в PPP -> Profiles.

Все настройки дефолтные. В качестве локального и удаленного адреса использую Ip Pool, который создал в самом начале настройки l2tp. Добавим удаленного пользователя для openvpn в PPP ->Secrets.

Идем в раздел PPP и жмем OVPN Server. Указываем настройки и загруженный ca сертификат.

Далее добавляем по аналогии с остальными vpn серверами OVPN Server Binding и статические маршруты.

На этом настройка openvpn server в микротик завершена. По дефолту будет использоваться протокол шифрования BF-128-CBC. Его можно поменять в свойствах клиента, а список всех поддерживаемых шифров в свойствах vpn сервера.

Для работы указанной настройки openvpn сервера необходимо открыть входящий tcp порт 1194 на фаерволе. Теперь настроим openvpn клиент и протестируем скорость соединения через vpn на основе openvpn.

openvpn client

Для настройки openvpn client на mikrotik, туда нужно передать сертификаты, сгенерированные на предыдущем шаге. Конкретно вот эти файлы:

• m-remote.crt
• m-remote.key

Импортируем, как и на сервере сертификат из этих файлов. Обращаю внимание, что должны быть символы KT напротив имени сертификата.

Теперь настраивает openvpn клиента. Идем в PPP и добавляем OVPN Client.

Добавляем статический маршрут для доступа к ресурсам удаленной сети за openvpn сервером.

Все готово. Можно подключаться и тестировать скорость vpn соединения через openvpn.

Получилось в среднем 24 мбит/сек при 100% загрузке процессора. Результат сопоставим с l2tp + ipsec. Немного удивил результат. Я думал, будет хуже, чем l2tp, а на деле то же самое. Мне лично вариант с openvpn в целом нравится больше, хотя из-за ограниченности настроек openvpn в микротике преимущества openvpn трудно реализовать. Напомню, что тестировал с шифрованием BF-128-CBC, то есть blowfish.

Вот результат с AES-128-CBC — 23 мбит/сек, примерно то же самое.

С клиент-серверными реализациями vpn сервера в mikrotik разобрались. Теперь просмотрим на скорость l2-vpn в виде eoip tunnel.

Настройка EOIP Tunnel + Ipsec

Настроим vpn сеть на базе EOIP в Mikrotik. Тут нужно понимать одно важное отличие от всех предыдущих настроек, которые мы делали ранее. EOIP туннель работает на уровне l2, то есть оба сегмента сети будут считать, что находятся в одной физической сети. Адресное пространство для обоих будет одно и то же. В моем примере это 10.20.1.0/24. DHCP сервер должен остаться только один для обоих сетей. В моем случае он останется на m-server.

Создаем EOIP туннель на m-server. Идем в Interface list -> EoIP Tunnel и добавляем новый.

Из настроек достаточно указать только удаленный адрес второго микротика. Новый EoIP интерфейс необходимо добавить в локальный бридж вместе с физическими интерфейсами.

Идем на удаленный микротик и там делаем все то же самое, только Remote Address указываем другой.

Этого достаточно, чтобы EoIP туннель сразу же заработал. Его состояние будет RS.

На втором микротике EoIP интерфейс так же нужно добавить в локальный бридж с остальными интерфейсами.

Проще всего проверить, что все в порядке, это запросить по dhcp на m-slave ip адрес для интерфейса bridge. Он должен получить ip адрес от dhcp сервера на m-server, при условии, что в сети больше нет других dhcp серверов. То же самое будет и с локальными машинами в сети за m-slave. Они будут получать ip адреса от dhcp сервера на m-server.

Проверим теперь быстродействие такого vpn туннеля на основе EoIP.

Показываю максимальный результат, который у меня получился — 836 мбит/сек. По какой-то причине в разных тестах скорость плавала в интервале между 600-850 мбит/сек. Для того, чтобы скорость изменилась, необходимо было отключить и заново включить EoIP интерфейс. Скорость впечатляет. При этом, процессор не загружен на 100%. То есть узкое место не он. Похоже я уперся в производительность сети. Напомню, что тут нет никакого шифрования и маршрутизации трафика. Прямой l2 канал между двумя микротиками через EoIP vpn.

Добавим в EoIP туннель шифрование Ipsec и посмотрим на скорость. Для этого меняем настройки каналов на обоих микротиках. Добавляем пароль Ipsec и локальные адреса, отключаем Fast Path.

Измеряем скорость соединения.

У меня получилась скорость vpn при использовании EoIP + Ipsec в среднем 27 мбит/сек. Скорость сопоставима с шифрованными туннелями L2tp и Openvpn. В этом плане никаких приятных сюрпризов не получилось. Шифрование очень тяжело дается этой железке. Можно сказать она для него не предназначена практически совсем.

GRE туннель + Ipsec в mikrotik, создание и настройка

Для настройки GRE туннеля в Mikrotik идем в раздел Interfaces -> GRE Tunnel и добавляем новый со следующими настройками:

Назначаем GRE туннелю ip адрес в IP -> Adresses.

Сразу же создаем статический маршрут для доступа к ресурсам удаленной сети.

Для организации vpn соединения через GRE tunnel то же самое проделываем на удаленном микротике, только меняем соответствующие адреса.

Создаем GRE Tunnel.

Назначаем ip адрес.

Добавляем маршрут в удаленную локальную сеть.

После этого маршрутизация трафика между локальными сетями должна заработать. Не забудьте на firewall разрешить gre протокол.

Проверим теперь скорость соединения по GRE туннелю.

У меня получилось 247 мбит/сек. Напомню, что это нешифрованный маршрутизируемый vpn туннель. Отличие от l2 туннеля EoIP примерно в 3 раза по скорости в меньшую сторону. Выводы делайте сами какие туннели использовать. Если не нужна маршрутизация, то однозначно EoIP.

Теперь проверим то же самое, только настроив в GRE шифрование Ipsec. Добавляем соответствующие настройки в GRE туннели на обоих микротиках.

Измеряю скорость GRE + Ipsec, алгоритм шифрования aes-128 cbc.

Получилось в среднем 29,7 мбит/сек, что примерно соответствует всем результатам с ipsec. Не удивительно, ведь алгоритм шифрования во всех случаях один и тот же. Но тем не менее, в GRE Tunnel скорость немного выше всех остальных участников. Из этого можно сделать вывод, что исключительно для l3 site-to-site подключений GRE Tunnel подходит в плане быстродействия лучше всего.

Сравнение скорости L2tp, Pptp, EoIP, GRE и OpenVPN туннелей

Сведу все данные измерений в единую таблицу для наглядного и удобного анализа и сравнения скоростей всех упомянутых vpn соединений в Mikrotik.

Приведенная таблица наглядно показывает разницу в различных методах шифрования. С помощью нее можно быстро оценить, к каким потерям производительности может привести шифрование. Сейчас все по-умолчанию все шифруют, но если разобраться, очень часто это не требуется. Можно пойти на некий компромис и использовать pptp сервер, который хоть и не обеспечивает 100% безопасное шифрование, но тем не менее скрывает трафик от просто любопытных глаз и имеет неплохое быстродействие. В любом случае трафик просто так не прочитать, надо целенаправленно приложить усилия для дешифровки. В некоторых случаях такой защиты будет достаточно.

Заключение

Не понравилась статья и хочешь научить меня администрировать? Пожалуйста, я люблю учиться. Комментарии в твоем распоряжении. Расскажи, как сделать правильно!

Изначально не планировал писать такую большую и подробную статью. Аппетит приходит во время еды. По мере того, как стал углубляться в тему, становилось все интереснее и интереснее попробовать разные варианты и сравнить их. В итоге я перебрал все известные vpn подключения в mikrotik. Не дошли руки только до SSTP, но я точно знаю, что он будет очень медленно работать на RB951G-2hnD и в целом на микротиках медленнее всех остальных решений. Не думаю, что его использование будет оправданно.

Статью писал несколько дней, мог что-то напутать, опечататься или ошибиться. Все замечания принимаю в комментариях. Надеюсь, мой материал исследование на тему настройки vpn соединений в микротиках был вам интересен и полезен. Единственное, о чем жалею, что не затронул тему настройки pptp, l2tp и openvpn подключений на клиентских устройствах сотрудников. Без них материал на тему настройки vpn получился не полноценным, ведь это важная часть работы vpn тоннелей. Их используют не только для объединения офисов, но и для подключения удаленных сотрудников.

Напоминаю, что данная статья является частью единого цикла статьей про Mikrotik.

Онлайн курсы по Mikrotik

Если у вас есть желание научиться работать с роутерами микротик и стать специалистом в этой области, рекомендую пройти курсы по программе, основанной на информации из официального курса MikroTik Certified Network Associate. Помимо официальной программы, в курсах будут лабораторные работы, в которых вы на практике сможете проверить и закрепить полученные знания. Все подробности на сайте .

Стоимость обучения весьма демократична, хорошая возможность получить новые знания в актуальной на сегодняшний день предметной области. Особенности курсов:

• Знания, ориентированные на практику;
• Реальные ситуации и задачи;
• Лучшее из международных программ.

Помогла статья? Подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Как настроить VPN L2TP MIKROTIK

В инструкции будет рассмотрена по настройка L2TP VPN сервера: удаленное подключение через VPN клиент типа L2TP+IpSec и настройка VPN туннеля между двумя роутерами MikroTik. VPN клиентом может выступать любое устройство со статическим(белым) или динамическим(серым) IP.

1. Настройка L2TP VPN сервера
2. VPN между двумя MikroTik
3. Подключение Windows VPN
4. Задать вопрос по настройке L2TP VPN

Настройка сервисов на маршрутизаторах MikroTik: подключение интернета, DHCP, brige, VLAN, WiFi, Capsman, VPN, IpSec, PPTP, L2TP, Mangle, NAT, проброс портов, маршрутизация(routing), удаленное подключение и объединение офисов.

Настройка MikroTik VPN сервера L2TP

VPN сервер популярное средство для удаленного подключения одного ПК(или 100 ПК) к центральному узлу. Реализация такого сервиса есть масса, но на MikroTik работает быстро и без инцидентов по недоступности. В примере приведен случай L2TP как более защищенного средства для передачи трафика.

Для удаленного доступа сотрудников

Доступ к рабочему пространству с любого места, где есть интернет. Почта, сетевые папки, принтер, 1с – все это становится доступным.

Объединение офисов

Компьютеры, та и вся техника смогут обмениваться информацией вне зависимости от географического расположения.

Для VPN клиентов лучше создать отдельную подсеть, это добавит больше возможностей в ограничении доступа между VPN клиентами и локальной сетью, а также в самой маршрутизации.

Добавление новой подсети

Настройка находится IP→Pool

/ip pool add name=LAN-Ip-Pool ranges=192.168.10.100-192.168.10.150

Настройка VPN сервера L2TP(на сервере)

Настройка находится PPP→Profile

Предварительно нужно задать сетевые параметры для VPN клиентов

/ppp profile
add change-tcp-mss=yes dns-server=192.168.10.1 local-address=\
192.168.10.1 name=l2tp remote-address=pool-1 use-encryption=yes

Активация VPN сервера L2TP

Настройка находится PPP→Interface→L2TP Server

/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes \
ipsec-secret=mikrotik-config.ukr use-ipsec=required

Use-ipsec=required принудит vpn клиента к обязательному использованию IpSec;

Use-ipsec=yes(по умолчанию) проставляет выбор vpn клиенту в использовании IpSec, т.е. может не использоваться.

Создание учётной записи для VPN клиента

Этой учётной записью будет пользоваться VPN клиент для удаленного подключения к VPN серверу.

Настройка находится PPP→Interface→Secrets

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

/ppp secret
add name=user1 password=user1 profile=l2tp

Разрешение FireWall для подключения VPN клиентов

Настройка находится IP→Firewall

/ip firewall filter
add action=accept chain=input comment="Port Access" dst-port=500,1701,4500 \
in-interface=WAN-ether1 protocol=udp

Настройка интернета для VPN клиентов L2TP в MikroTik

Этот вопрос будет вынесен за рамки данной статьи, т.к. относится с дополнительным сервисам для VPN клиентов. Таких сервисов может быть множество и все они имеют индивидуальных характер(для тех кто ищет: нужно настроить и разрешить DNS запросы и Masquerade).

Настройка сервисов на маршрутизаторах MikroTik: подключение интернета, DHCP, brige, VLAN, WiFi, Capsman, VPN, IpSec, PPTP, L2TP, Mangle, NAT, проброс портов, маршрутизация(routing), удаленное подключение и объединение офисов.

VPN подключение L2TP между двумя MikroTik-ами, объединение офисов

В этой настройке будут участвовать два роутера MikroTik, один в качества сервера, другой в качестве клиента. На этапе создание такого подключения стоит обратить внимание на модель MikroTik, т.к. от неё зависит количество VPN подключений, а также возможность обрабатывать такие потоки данных. Для консультации по этому вопросу обращайтесь в Настройка-Микротик.укр через контактную форму.

Для объединения двух офисов и работы маршрутизации данную настройку лучше разбить на два блока:

1. Настройка клиент-серверной части;
2. Добавление статических маршрутов для прохождения трафика.

Серверная часть была описана ваше, но требует корректировки в виде статических адресов для VPN клиента

Настройка находится PPP→Interface→Secrets

/ppp secret
add local-address=192.168.10.1 name=user2 password=user2 profile=l2tp \
remote-address=192.168.10.2

а клиентская часть состоит из настройки L2TP клиента.

Настройки L2TP клиента(на клиенте)

Настройка находится PPP→Interface→+L2TP Client

/interface l2tp-client
add connect-to=90.200.100.99 disabled=no ipsec-secret=mikrotik-config.ukr use-ipsec=yes name=\
l2tp-out1 password=user2 user=user2

Настройка маршрутизации со стороны VPN сервера

Это правило укажет роутеру MikroTik куда направлять трафик.

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

Настройка находится IP→Routes

/ip route
add distance=1 dst-address=192.168.88.0/24 gateway=192.168.10.2

Настройка маршрутизации со стороны VPN клиента

Настройка находится IP→Routes

/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=192.168.10.1

Создание VPN подключения L2TP Windows

ОС семейства Windows имеют штатный VPN клиент, который отлично подходит под эту роль. Для его настройки нужно перейти

Панель управления\Сеть и Интернет\Центр управления сетями и общим доступом

создание Windows VPN клиента

выбор нового подключения

использовать текущее подключение к интернету

указать адрес VPN сервера

настройка VPN клиента Windows

Поддержи автора статьи, сделай клик по рекламе ↓↓↓

указать ключ IpSec

подключение Windows VPN

статус подключения Windows VPN

Есть вопросы или предложения по настройке VPN типа L2TP в MikroTik? Активно предлагай свой вариант настройки! Оставить комментарий →

Настройка L2TP+IPsec и PPtP сервера на MikroTik

Не было печали как Apple решила выпилить поддержку PPtP из macOS Sierra и iOS 10. Пользователи сайта начали активно интересоваться настройкой L2TP и время написать инструкции пришло. Кроме того я решил написать о настройке смешаной сети: PPtP, L2TP+ipSec для обеспечения максимальной совместимости со всеми системами. Это так-же позволит упростить настройку клиентского оборудования с Windows. Статья не решает вопрос о настройке максимально защищённой системы. Мы строим максимально простую систему. Задача: обеспечить подключение к локальной сети предприятия по VPN и получать доступ к внутренним ресурсам. Подключения должны настраиваться пользователями с минимально возможными отклонениями от настроек по умолчанию. Уже полно разных сложных инструкций в интернете, но всё на самом деле очень просто.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Для тех кто не хочет тратить своё дорогое время на изучение данного мануала предлагаем нашу платную помощь.

 Настраивать будем на примере Router OS v6.38.7 (bagfix) и hAP AC lite

Для простоты будем использовать настройки роутера по умолчанию. Локальная сеть 192.168.88.0/24 внешний IP роутер получает по DHCP.

 Шлюз в VPN соединении (local adress 192.168.88.2). Пул раздаваемых адресов для VPN клиентов (Remote adress): default-dhcp (192.168.88.10-192.168.88.254). Бриджуем соединение с основной локальной сетью (bridge).

Переходим на вкладку Protocols где включаем шифрование. (Упростит настройку клиентов под Windows):

 Настроим акаунты клиентов: Выбираем наш профиль l2tp+pptp, создаём пароли и логины для пользователей.

 Нажмём кнопочку L2TP Server и настроим его:

IPsec Secret — так называемый общий (предварительный — windows) ключ (Shared Key — macOS) потребуется при настройке клиентов.

Настроим PPtP сервер: Активируем его поставив галочку Enable и выберем профиль l2tp+pptp

Настроим бридж:

Осталось открыть порты и проколы для подключения с внешки:

gre(47) и TCP 1723 для PPtP

l2tp(115) и UDP 1701 для L2TP

IPsec-esp(50), IPsec-ah(51) и UDP 500, 4500 для работы IPsec

Для этих портов надо добавить разрешающие правила (accept) в цепочке input

Для тестирования можно временно выключить запрещающее правило в цепочке input Firewall

 Всё можно подключать ваши iPhone MacBook и ПК к VPN серверу. Настройки по умолчанию подходят. Введите только ваши пароли верно.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Пошаговая инструкция по объединению сетей с помощью L2TP и L2TP/IPSec на Mikrotik

На сегодняшний день бизнес-процессы, даже в самых небольших компаниях, обретают все черты, характерные для глобального мира. Предприниматели, следуя принципу близости к потребителю, открывают филиалы предприятий в разных регионах страны, Европы, а то и мира.

Вопросы качественного и надежного обмена данными в информационную эпоху становятся краеугольными в обеспечении конкурентного преимущества. Поэтому очень важно создать такую систему обмена данными и доступа к ним, которая, с одной стороны, обеспечивала бы информационную безопасность, а с другой стороны – отвечала выполняемым задачам с финансовой точки зрения. Иными словами, применение дорогостоящих решений для работы небольших удаленных офисов или даже системы коворкинга не представляется разумным.

Задачу можно разделить на две составляющие. Первая – это совместная работа в сети одного провайдера. Такая постановка вопроса существенно облегчает ее решение.

Вторая составляющая, наиболее часто встречающаяся, состоит в том, территориальное разделение подразделений организации преимущественно тянет за собой необходимость безопасного объединения информационных потоков в сетях различных, нескольких провайдеров. Для решения этой проблемы применяют технологию создания защищенных информационных туннелей, более известных как VPN-каналы.

Существует несколько технологий туннелирования, которые предполагают различные уровни защиты данных. Наиболее известными являются такие протоколы, как PPTP, L2TP, OpenVPN, SSTP, SafeVPN и некоторые другие. Проблема их использования заключается в том, что протокол РРТР на сегодняшний день является устаревшим, а использование OpenVPN, SSTP, SafeVPN и других требует соответствующего оборудования и платформ маршрутизации.

Поэтому наиболее оптимальным мы считаем применение технологии L2TP (Layer 2 Tunnel Protocol) – одного из самых популярных протоколов создания туннелей VPN. К его преимуществам можно отнести относительную простоту настройки и универсальность. С ним может работать как простое, недорогое, так и сложное оборудование. Недостатком L2TP можно считать относительную уязвимость в вопросе защиты данных в сравнении с другими протоколами, однако он исправляется применением технологии двойной инкапсуляции IPSec, которая резко повышает устойчивость туннеля к попыткам несанкционированного доступа. Обратная сторона медали такой схемы – дополнительная нагрузка на процессоры и, как следствие, падение скорости передачи данных, однако для небольших систем с невысокими требованиями это обстоятельство не будет критично. Особенно если учесть, что стоимость оборудования для использования шифрования L2TP/ IPSec доступна даже для домашнего использования.

Рассмотрим пошаговое применение указанной схемы, где в качестве сервера выступает маршрутизатор RB2011UiAS-RM, а клиента — hAP lite (RB941-2n), оба производства Mikrotik. Продукция компании широко известна во всем мире благодаря высокому качеству, оригинальному программному обеспечению и доступной цене, что как нельзя лучше отвечает условиям поставленной нами задачи.

В приведенном примере маршрутизатор RB2011UiAS-RM  Mikrotik будет выдавать IP в подсети 192.168.106.0/24, однако в реальных условиях адрес на интерфейсах, конечно же, будет отличаться.

Итак, для создания безопасного канала VPN в сетях разных провайдеров на основе протокола L2TP/IPSec с использованием в качестве провайдера маршрутизатора RB2011UiAS-RM и конечного клиента hAP lite (RB941-2n) производства Mikrotik мы должны сделать следующие шаги:

• Настроить сервер;
• Создать профили;
• Создать интерфейс;
• Настроить файервол;
• Настроить клиента;
• Настройки на сервере L2TP/IPSec;
• Настроить клиента L2TP/IPSec;
• Проверить производительность L2TP/IPSec.

Настройка сервера

Важно, чтобы главный сервер имел статический белый внешний IP-адрес, у нас это 192.168.106.246. Он не должен меняться, иначе придётся прибегать к лишним действиям и использовать DNS-имя.

Создание профилей

1. В разделе PPP открываем вкладку Profiles и создаем профиль, который будет применяться к VPN-подключениям. Отмечаем опции Change TCP MSS, Use Compression, Use Encryption. По-умолчанию, будет использоваться протокол шифрования MPPE 128 bit.

2. Переходим на вкладку Interface.

3. Нажимаем L2TP Server, активируем его галочкой Enabled и выбираем профиль по-умолчанию, который мы создали ранее. Тип аутентификации можно оставить как есть, либо выбрать только MS-CHAP v2.

4. Опцию IPSec пока что оставляем отключенной.

5. Переходим в Secrets, здесь необходимо создать нового пользователя VPN. В качестве Service указываем L2TP, здесь же указываем используемый профиль.

6. Локальный адрес устанавливаем 10.50.0.10, удаленный – 10.50.0.11. При необходимости создаём нужно количество пользователей. Локальный IP-адрес каждого пользователя будет одинаковым, удалённый IP нужно увеличить на единицу (т.е. 10.50.0.12, 10.50.0.13 и т.д.). Можно прибегнуть к использованию пула адресов, но со статикой проще писать маршруты.

Создание интерфейса

Для каждого пользователя нужно создать свой интерфейс.

Для этого нужно открыть раздел интерфейсов и нажать знак «плюс», в выпадающем меню выбрать L2TP Server Binding, указать отображаемое название и имя пользователя. При подключении пользователя здесь будет отображаться текущая информация о нем.

Настройки файервола

Для работы VPN необходимо открыть UDP-порт 1701 (chain input, protocol 17(udp), dst-port 1701, accept). После этого следует поднять приоритет правила, переместив его выше.

Далее в NAT’е добавить  маскарадинг для VPN (chain srcnat, out interface all ppp, action masquerade), таким образом мы сделаем компьютеры за роутером видимыми друг для друга.

Добавление маршрутов

Прописываем маршрут в удалённую подсеть, в которой находится удаленный клиент. Конечная подсеть 192.168.2.0/24, в качестве шлюза выступает IP клиента внутри виртуальной сети, в нашем случае это 10.50.0.11, target scope выставляем единицу, Pref. Source – локальный IP сервера внутри виртуальной сети, 10.50.0.10.

На этом настройка сервера завершена, можно приступать к настройкам клиентского подключения на втором устройстве.

Настройка клиента

Для настройки удаленного клиента нужно войти в раздел интерфейсов и добавить новый L2TP Client, указать IP-адрес сервера и свои учётные данные.По-умолчанию выбрать профиль с шифрованием и деактивировать дефолтный маршрут, сняв с него галочку.

Нажимаем «Применить», если мы нигде не сделали ошибку, соединение должно быть установлено.

При попытке пинговать 192.168.1.1… положительного ответа не будет. Для его получения нужно добавить новый статический маршрут – удаленную подсеть 192.168.1.0/24 в качестве шлюза IP-сервера в виртуальной сети, Pref. Source – наш IP-адрес в виртуальной сети. Таким образом, при настройке клиента все адреса проставляются наоборот.

Повторное пингование 192.168.1.1 дает положительный результат.

Для того, чтобы компьютеры за роутером увидели удалённую сеть, нужно создать для них маскарадинг, точно так же, как это было сделано на сервере.. В качестве выходного интерфейса указываем созданное VPN-подключение.

 Ping пошел, значит, всё работает.

Таким образом, создан туннель, однако в нем не была применена двойная инкапсуляция IPSec для обеспечения безопасности. Пропускная способностью созданного канала составила около 50 Мбит/сек.

На этом базовая настройка соединения L2TP завершена.

Чтобы добавить новых пользователей, необходимо прописать соответствующие маршруты на устройствах, которые должны видеть друг друга за роутером. При пробросе маршрута между Client1 и Client2 на самом сервере ничего делать не нужно. Достаточно прописать маршруты на клиентах, в качестве шлюза будет выступать IP оппонента в виртуальной сети.

Настройка L2TP/ IPSec

Иногда на практике нужно обеспечить должный уровень безопасности. При использовании L2TP целесообразно прибегать к использованию IPSec. В качестве примера используется сеть, настроенная по вышеизложенной инструкции. Обратите внимание! IPSec создаётся внутри туннеля L2TP между виртуальными адресами 10.50.0.X. Такая реализация позволяет не зависеть от IP клиента. Если же вы хотите создать IPSec-туннель между WAN сервера и WAN клиента, необходимо, чтобы у клиента был белый внешний IP. Если IP будет динамичным, вам потребуется также использовать разные скрипты для изменения политик IPSec. К тому же, в случае IPSec между внешними IP, необходимость в L2TP вовсе отпадает.

Настройка сервера

1. Зайти в NAT и отключить маскарадинг для PPPдля шифрования пакетов данных.
2. Перезагрузить маршрутизатор.
3. Зайти в раздел IP – IPSec, открыть вкладку Proposals. Указать тип шифрования и аутентификации. В качестве алгоритма аутентификации выбрать sha1, для шифрования оптимальным будет использовать алгоритм AES 128-бит. При необходимости можно также указать 3DES (Triple DES), он является алгоритмом по-умолчанию для L2TP/IPSec в Windows 7, в то время, как для мобильных ОС целесообразным может быть применение AES 256-бит.
4. Во вкладке Peers добавить новый пир с адресом 0.0.0.0/0, что разрешит маршрутизатору принимать все подключения. По-умолчанию используется 500-й порт. Выбрать метод аутентификации pre shared key, указав желаемый пароль. Exchange Mode следует указать main l2tp. Отметить опции Send Initial Contact и NAT Traversal. Значение Generate policy выбрать port strict. Остальные опции указаны на рисунке.

5. Создать политику, открыв вкладку Policies. Политику, установленную по-умолчанию, отключить. Создать новую политику, где указать наши две локальные сети. Src. Adress (source) – наша локальная подсеть 192.168.1.0/24, Dst. Adress (destination) – удаленная подсеть 192.168.2.0/24. В закладке Action необходимо указать применяемое действие: action – encrypt, level – require. В качестве протокола выбрать ESP и поставить галочку Tunnel. SA Src. Adress – наш локальный адрес в виртуальной сети (10.50.0.10), SA Dst. Adress – адрес удаленного клиента в виртуальной сети.

6.  Зайти в Firewall и добавить правила для используемых портов. Порт UDP 1701 используется для начальной инициализации и конфигурации. UDP 500 используется в L2TP/IPSec для инициализации обмена ключами. Протокол 50 – IPSec ESP, который используется для шифрования данных. Иногда необходимо также открывать порт UDP 4500 для обхода NAT.

Настройка клиента

В первую очередь, следует добавить правила файервола и отключить маскарадинг для созданного ранее VPN-канала.

В разделе IP – IPSec необходимо настроить Proposal аналогично тому, как это сделано на сервере. В качестве пира будет выступать 10.50.0.10, т.е. адрес сервера в виртуальной сети. Все остальные настройки должны соответствовать тем, которые были при настройке сервера.

При создании политики, все адреса и подсети указываются обратно тому, как они указаны на сервере, т.е. у клиента всё наоборот.

Если нигде не была допущена ошибка, во вкладке Remote Peers отобразится список пиров и используемые порты. Теперь необходимо открыть вкладку Installed SAs и обратить особое внимание на значение Current Bytes – если оно равно нулю, значит, пакеты не шифруются.

В файерволе можно посмотреть движение трафика. При тестировании заметно, что применение двойной инкапсуляции  L2TP/IPSec  снизило скорость в туннеле с 50 Мбит/с до 15-17Мбит/с. В принципе, можно попытаться добиться некоторого увеличения пропускной способности, увеличив количество потоков, однако эта мера вряд ли даст заметный ее прирост. Неизбежное падение скорости при использовании  IPSec – это и есть плата за безопасность, о которой было сказано в начале статьи.

Для создания надежного и производительного VPN-канала можно рассмотреть вариант использования маршрутизатора, собранного на базе персонального компьютера с использованием программного обеспечения Mikrotik – RouterOS. Наличие аппаратного блока шифрования существенно увеличивает производительность туннеля.

Настройка MikroTik L2TP VPN | Облачная бригада

Настройка MikroTik L2TP VPN

Во время моих попыток установить L2TP VPN на нашей MikroTik RouterOS я пролил бесчисленное количество руководств и учебных пособий. Итак, когда у меня наконец появился рабочий VPN, что я сделал? Написал конечно собственное руководство! В этом руководстве используется интерфейс WebFig, но принципы применимы и к WinBox.

Самой большой проблемой, с которой я столкнулся во время этой настройки, было предложение политики IPsec Phase2. Определив это как препятствие, я использовал метод проб и ошибок, чтобы определить политику, которая работает с интерфейсом High Sierra L2TP поверх IPsec VPN.Это не означает, что это единственная конфигурация, которая будет работать, но я обнаружил, что это та, которая работает с системой, доступной для тестирования.

Создать профиль PPP

PPP> Профили> Добавить новый

Имя: <назовите свой профиль>

Локальный адрес: <интерфейс маршрутизатора в частной сети>

Удаленный адрес: <адрес в частной сети или пуле из частной сети>

Мост: внутренний

Создать пользователя PPP

PPP> Секреты> Добавить новый

Имя: <имя вашего пользователя>

Пароль: <создать безопасный пароль для пользователя>

Сервис: любой

Профиль: <выберите профиль PPP из предыдущего шага>

Создание привязки к серверу L2TP

PPP> Интерфейс> Добавить новый> Привязка к серверу L2TP

Имя: <имя привязки вашего сервера>

Пользователь: <введите пользователя с предыдущего шага>

Включить L2TP-сервер

PPP> Интерфейс> L2TP-сервер

Профиль по умолчанию: <выберите профиль PPP на предыдущем шаге>

Использовать IPsec: да

Пароль: <создать безопасный пароль для L2TP>

Добавьте правила брандмауэра, чтобы разрешить IPsec

IP> Брандмауэр> Добавить новый

Правило 1

Цепочка: вход

Протокол: 50 (ipsec-esp)

дюймаИнтерфейс: ether1

Действие: принять

Правило 2

Цепочка: вход

Протокол: 17 (UDP)

Dst. Порт: 500,1701,4500

дюйма Интерфейс: ether1

Действие: принять

Переместите эти правила выше любых правил выпадения.

Изменить предложение политики IPsec по умолчанию

Включение L2TP-сервера приведет к созданию однорангового узла IPsec, который использует политику по умолчанию. Для подключения к VPN с Mac необходимо отредактировать профиль по умолчанию.

IP> IPsec> Предложения политики> по умолчанию

Авт. Алгоритмы: sha1, sha256

Прил. Алгоритмы: aes-128 cbc, aes-256 cbc

Группа PFS: modp1024

Изменить профиль узла IPsec по умолчанию

Ниже приведена конфигурация профиля однорангового узла, которая подтверждена для работы с High Sierra L2TP через IPsec VPN.

IP> IPsec> Peer Profiles> по умолчанию

алгоритмов хеширования: sha256

Алгоритм шифрования: aes-256

Группа DH: modp1024

Проверка предложения: подчиняться

NAT Traversal: <отмечен>

Подключение к L2TP VPN на High Sierra

Вам нужно будет добавить новый интерфейс VPN.

Системные настройки> Сеть> + (Создать новую службу)

Интерфейс: VPN

Тип VPN: L2TP через IPsec

Адрес сервера: <Общедоступный IP-адрес маршрутизатора L2TP>

Имя учетной записи: <Пользователь PPP>

В настройках аутентификации вам нужно будет ввести два пароля.

Аутентификация пользователя: Пароль: <пароль пользователя PPP>

Машинная аутентификация: общий секрет: <пароль сервера L2TP>

Также может потребоваться установить флажок «Отправлять весь трафик через VPN-соединение» в расширенных параметрах.

Подключение к L2TP VPN в Windows 7

Панель управления> Сеть и Интернет> Центр управления сетями и общим доступом> Настройка подключения или сети> Подключиться к рабочему месту

Вы хотите использовать уже имеющееся соединение? Нет, создать новое соединение

Как вы хотите подключиться? Использовать мое подключение к Интернету (VPN)

Интернет-адрес: <Общедоступный IP-адрес маршрутизатора L2TP>

Имя назначения: <имя вашего VPN-соединения>

Имя пользователя: <Пользователь PPP>

Пароль: <пароль пользователя PPP>

Не подключайтесь сейчас; просто настройте его, чтобы я мог подключиться позже <отмечен>

Панель управления> Сеть и Интернет> Сетевые подключения> <Имя назначения>> Свойства> Безопасность

Тип VPN: протокол туннелирования уровня 2 с IPsec (L2TP / IPsec)

Расширенные настройки> Использовать предварительный ключ для аутентификации

Ключ: <пароль L2TP-сервера>

УМНЫЕ РЕШЕНИЯ ДЛЯ УМНЫХ КОМПАНИЙ

Мы помогаем умным компаниям решать их технические задачи — и становиться умнее в процессе

MikroTik 6 L2TP VPN Setup Tutorial

его руководство было создано на 6.40.5 версия MikroTik RouterOS. Перед выполнением следующих действий убедитесь, что на вашем маршрутизаторе установлена ​​эта или более новая версия.

Информация по умолчанию:

IP-адрес маршрутизатора по умолчанию: 192.168.88.1
Имя пользователя: admin
Пароль не требуется, оставьте это поле пустым.

Шаг 1

Подключитесь к маршрутизатору MikroTik с помощью кабеля Ethernet, компьютер должен быть подключен к порту LAN маршрутизатора VPN.Рекомендуется не использовать порт LAN1.

Откройте свой веб-браузер, введите в адресной строке 192.168.88.1 и нажмите Enter.
Вам будет предложено ввести имя пользователя / пароль. Значения по умолчанию: admin (имя пользователя) с пустым паролем (оставьте поле пустым).

Обратите внимание: если вы не можете получить доступ к веб-интерфейсу MikroTik, вам следует загрузить приложение WinBox с веб-сайта MikroTik mikrotik.com .
Там вы можете найти его в разделе « Software »> « Downloads »> « Полезные инструменты и утилиты ».
Он работает в системе Windows, а также в macOS и Linux с использованием эмулятора Wine.

После входа в систему перейдите к опции « PPP » в меню слева.
Должна открыться вкладка « Интерфейс ».
Нажмите кнопку « + » и выберите « Клиент L2TP ».

Шаг 2

На вкладке « Общие » заполните поле « Имя ». Он может быть любым, рекомендуем StrongVPN L2TP .

Шаг 3

Выберите вкладку « Dial Out ».
Введите полный адрес сервера в поле « Connect To ». Адрес сервера — это ваши учетные данные, которые вы получаете в Зоне клиентов в начале этого руководства. Если вы не знаете, где его взять, прокрутите страницу вверх, там вы найдете инструкции.
Ваш сервер не «str-XXXXXX.reliablehosting.com», это просто пример.

Введите поля « Пользователь » и « Пароль ».
Это не ваш адрес электронной почты и пароль, которые вы используете для входа в Личный кабинет, также не используйте «sXXXXXX» и «XXXXXXXXXX», это всего лишь примеры.
« Пользователь » и « Пароль » — это ваши учетные данные, которые вы уже получили из Личного кабинета.
Отметьте опцию « Use IPsec » и введите « IPsec Secret ».
Ваш секрет для IPSec — это ваши учетные данные, которые вы получили ранее в Зоне клиента.

Убедитесь, что у вас установлен флажок « mschap2 » в разделе « Разрешить ».
Нажмите кнопку « Применить ».

Шаг 4

Теперь в левом меню выберите опцию « IP » и в подменю выберите « Firewall ».

Шаг 5

На вкладке « NAT » нажмите кнопку « + », чтобы добавить новое правило NAT.

Шаг 6

На вкладке « General » выберите « srcnat » для поля « Chain ».
для “ Out. Интерфейс »выберите StrongVPN L2TP , имя вашего VPN-соединения, которое вы создали ранее.

Шаг 7

Выберите вкладку « Action ».Выберите « masquerade » из раскрывающегося списка для поля « Action ».
Щелкните « OK ».

Шаг 8

Теперь вы вернулись в окно « Firewall », выберите вкладку « Mangle » и нажмите кнопку « + ».

Шаг 9

На вкладке « General » в поле « Chain » выберите « prerouting ».
В « Src. Адрес »введите IP-адрес или диапазон IP-адресов, которые вы хотите маршрутизировать через VPN-соединение.
Здесь мы используем адрес источника для идентификации пакетов, которые должны маршрутизироваться через VPN.

Обратите внимание: Этот диапазон IP-адресов (192.168.88.2-192.168.88.254) является примером. Это диапазон IP-адресов по умолчанию, который MikroTik назначает устройствам, подключенным к его локальной и беспроводной сети. Если вы изменили этот диапазон IP-адресов или вам нужно маршрутизировать только некоторые IP-адреса через VPN-туннель, вам следует изменить это поле. Вы также можете использовать другие средства идентификации или комбинацию идентификаторов, например порт назначения и адрес источника.
Имейте в виду, вам необходимо убедиться, что трафик, исходящий от маршрутизатора MikroTik, исключен из этой маркировки, иначе он попытается связаться с VPN-сервером через сам VPN, что приведет к разрыву соединения.

Шаг 10

Перейдите на вкладку « Action ». Выберите « mark routing » для « Action ».
« New Routing Mark » может быть любым, например « strongvpn_routing_mark ».
Щелкните « OK ».

Шаг 11

Перейдите к « IP » (левое меню) и в подменю выберите « Routes ».

Шаг 12

На вкладке « Routes » нажмите кнопку « + ».

Шаг 13

В поле « Dst.Address » введите « 0.0.0.0/0 ».
Выберите « StrongVPN L2TP » (ваш VPN-интерфейс, созданный на шагах 2 , и 3 ) для « Gateway ».
Для « Routing Mark » выберите имя маршрута, которое вы создали на шаге 10 .
Щелкните « OK ».

Шаг 14

Теперь вы вернулись в окно « Route List ». Найдите свое VPN-соединение, щелкните его правой кнопкой мыши и выберите « Включить ».

Шаг 15

Перейдите к « IP » (левое меню) и в подменю выберите « DNS ».

Шаг 16

В настройках DNS введите « 8.8.8.8 »в качестве первого DNS-сервера и« 8.8.4.4 »в качестве второго DNS-сервера. (Если у вас есть только одно белое поле в поле «Серверы», щелкните стрелку вниз, и появится другое белое поле).
Щелкните « OK ».

Шаг 17

Если MikroTik действует как DHCP-клиент, вы должны убедиться, что настройки DHCP не перезаписывают введенный вручную DNS.
Перейдите к « IP » (левое меню) и в подменю выберите « DHCP-клиент ».

Шаг 18

На вкладке « DHCP-клиент » дважды щелкните запись своего DHCP-клиента.

Шаг 19

На вкладке « DHCP » снимите флажок « Use Peer DNS » и нажмите « OK ».

Шаг 20

Чтобы убедиться, что вы успешно подключились, посетите strongvpn.com в своем веб-браузере и проверьте свой IP-адрес вверху страницы.

Если вы хотите увидеть статус подключения на интерфейсе маршрутизатора, перейдите в « Interfaces » (левое меню), найдите и дважды щелкните ваше VPN-соединение и выберите вкладку « Status ». В правом нижнем углу вы увидите «Статус : подключен ».

Подключение L2TP на MikroTik 6

1. Войдите в интерфейс маршрутизатора MikroTik с помощью веб-браузера или приложения WinBox, IP-адрес маршрутизатора — 192.168.88.1 по умолчанию, логин: admin с без пароля , если не меняли ранее.
2. Перейдите в « Интерфейсы » (левое меню), найдите VPN-соединение.
3. Щелкните его правой кнопкой мыши и выберите « Включить ».

Отключение L2TP на MikroTik

1. Войдите в интерфейс маршрутизатора MikroTik с помощью веб-браузера или приложения WinBox, IP-адрес маршрутизатора по умолчанию 192.168.88.1 , логин admin с без пароля , если ранее не менялись.
2. Перейдите в « Интерфейсы » (левое меню), найдите VPN-соединение.
3. Щелкните его правой кнопкой мыши и выберите « Отключить ».

Как настроить L2TP / IPSec на маршрутизаторе Mikrotik — База знаний

1. Войдите в свой маршрутизатор с помощью веб-интерфейса или Winbox. Если вы используете веб-интерфейс, убедитесь, что вы находитесь в интерфейсе WebFig.

2. Щелкните «IP» в меню слева, затем «IPsec», затем выполните следующие действия:

а. Щелкните вкладку «Предложения», затем щелкните предложение по умолчанию.

г. Убедитесь, что установлен флажок «Включено».

г. Убедитесь, что в поле «Auth. Алгоритмы ».

г. Убедитесь, что только «aes-128 cbc» или «aes-256 cbc» отмечены галочкой в ​​«Encr. Алгоритмы ». Ваш выбор зависит от того, хотите ли вы зашифровать свой трафик с помощью AES-128 или AES-256. Использование AES-256 приводит к большему снижению производительности.

е. Выберите «Нет» в «PFS Group».

f. Щелкните «ОК».

3. Щелкните «Интерфейсы» в меню слева.

4. На вкладке «Интерфейс» нажмите «Добавить», затем «Клиент L2TP».

5. Сделайте следующее:

а. Убедитесь, что установлен флажок «Включено».

г. В разделе «Общие» вставьте имя в поле «Имя» (например, «Torguard»).

c. В разделе «Dial Out» добавьте IP-адрес вашей VPN в поле «Подключиться к», ваше имя пользователя Torguard в поле «Пользователь». Щелкните стрелку рядом с «Пароль», чтобы открыть текстовое поле, затем введите в это поле свой пароль Torguard.

г. Убедитесь, что установлен флажок «Использовать IPsec».Введите «torguard» в «IPsec Secret».

е. Если выбрано, снимите флажки «Набрать по требованию» и «Добавить маршрут по умолчанию».

ф. Щелкните «ОК». Подключение клиента L2TP IPsec к Torguard должно появиться в списке интерфейсов. Через некоторое время слева от имени вашего L2TP-соединения IPsec должна появиться буква «R» — это означает, что ваш Mikrotik успешно подключен к VPN-серверу Torguard.

6. В главном меню слева нажмите «IP», затем «Брандмауэр».

7.На вкладке «Правила фильтрации» проверьте наличие правил с «быстрым подключением» в столбце «Действие». Если они есть, они могут помешать работе вашей VPN. Если вы добавляете VPN к маршрутизатору Mikrotik с конфигурацией по умолчанию, щелкните правило с надписью «fasttrack connection», снимите флажок «Enabled», затем нажмите «OK».

8. На вкладке «NAT» нажмите «Добавить», затем выполните следующие действия:

а. В разделе «Общие» выберите «srcnat» в «Цепочке» и выберите «Torguard» (или любое другое имя, которое вы дали своему VPN-интерфейсу) в «Внешний интерфейс».

б. В разделе «Действие» выберите «маскарад».
c. Щелкните «ОК». Ваше новое правило NAT должно появиться в списке.

9. На вкладке «Mangle» нажмите «Добавить новый», затем выполните следующие действия:

а. Убедитесь, что установлен флажок «Включено».

б. В разделе «Общие» выберите «Предварительная маршрутизация» из «Цепочка» и введите IP-адрес или диапазон IP-адресов, которые вы хотите передать через VPN-соединение, в «Src. Адрес».

c. В разделе «Действие» выберите «Отметить маршрутизацию» из «Действие». Добавьте имя (щелкните стрелку, затем введите текст в текстовое поле) для метки маршрутизации VPN (например,грамм. «VPN») в «Новой метке маршрутизации».

г. Убедитесь, что «Passthrough» отмечен галочкой.

e. Щелкните «ОК». Ваше новое правило mangle должно появиться в списке.

ф. Вы можете повторить этот шаг для любого количества IP-адресов, диапазонов и правил. При использовании нескольких правил помните, что они обрабатываются в порядке, указанном в таблице Mangle — при необходимости вы можете вернуться и изменить их порядок, щелкнув и перетащив.

10. В главном меню слева нажмите «IP», затем «Маршруты», нажмите «Добавить», затем выполните следующие действия:

а.В разделе «Общие» введите «0.0.0.0/0» в поле «Летнее время. Адрес », затем выберите ранее созданную метку маршрутизации в разделе« Метка маршрутизации »(например,« VPN »).

г. Щелкните «ОК». В списке должен появиться новый маршрут.

11. На этом этапе ваше VPN-соединение должно работать с выбранными вами IP-адресами. Чтобы использовать DNS-серверы Torguard, в главном меню слева нажмите «IP», затем «DNS», затем выполните следующие действия:

а. Убедитесь, что установлен флажок «Разрешить удаленные запросы». Это позволяет вашим клиентским устройствам использовать маршрутизатор Mikrotik в качестве DNS-сервера, который, в свою очередь, будет использовать DNS-серверы Torguard.

б. Добавьте текущие DNS-серверы Torguard в «Серверы».

г. Нажмите «Применить».

Mikrotik L2TP / IPsec VPN-сервер Пошаговая настройка с включенным Fasttrack!

В этом руководстве предполагается, что WAN-интерфейс маршрутизатора Mikrotik имеет общедоступный IP-адрес, и что ваш интернет-провайдер не блокирует порты ipsec. Разобравшись с этим, давайте начнем.

Первым шагом является создание профиля PPP на mikrotik. Мы будем использовать 192.168.102.1 для локального адреса (VPN-шлюз), если он еще не используется. Нам также нужно добавить DNS-сервер

Профиль

 / ppp добавить имя = ipsec_vpn local-address = 192.168.102.1 dns-server = 1.1.1.1 

Затем мы добавляем интерфейс сервера l2tp-server и устанавливаем разрешенные методы аутентификации, mschap1 и mschap2.

 / interface l2tp-server набор серверов включен = да default-profile = ipsec_vpn authentication = mschap1, mschap2 

Затем нам нужно определить пиринг IPSec, а также политику IPsec по умолчанию.Мы также установим секрет предварительного общего ключа в процессе.

 / ip ipsec policy set [find default = yes] src-address = 0.0.0.0 / 0 dst-address = 0.0.0.0 / 0 protocol = all предложение = default template = yes 

Для Router OS 6.39 и ниже используйте

 / ipsec peer add address = 0.0.0.0 / 0 port = 500 auth-method = pre-shared-key secret = " STRONG_SECRET_HERE " exchange-mode = main-l2tp send-initial-contact = no generate-policy = переопределение порта 

Для ОС маршрутизатора 6.44 и выше используют:

  / ip ipsec peer add exchange-mode = main passive = yes name = l2tpserver  
  / ip ipsec identity add generate-policy = port-override auth-method = pre-shared-key secret = " STRONG_SECRET_HERE " peer = l2tpserver  
 

Далее мы устанавливаем алгоритмы шифрования по умолчанию

Предложение

 / ipsec установить по умолчанию auth-алгоритмы = sha1 enc-алгоритмы = 3des pfs-group = modp1024 

Теперь мы добавляем пользователя и назначаем IP-адрес

 / ppp secret add name = " USERNAME " password = " СИЛЬНЫЙ ПАРОЛЬ " service = l2tp profile = ipsec_vpn remote-address = 192.168.102.2 

Наконец, нам нужно открыть порты IPSec из WAN

  / ip firewall filter add chain = input action = accept protocol = udp port = 1701,500,4500  
  / ip firewall filter add chain = input action = accept protocol = ipsec-esp  

Обратите внимание, что эти два правила необходимо добавить в начало списка перед любыми другими правилами, чтобы разрешить соединения через интерфейс WAN. Либо используйте команду «переместить» через интерфейс командной строки, чтобы переместить их в начало списка, либо используйте графический интерфейс.Окончательный результат должен выглядеть примерно так:

Конфигурация Fasttrack с L2TP-сервером / клиентом

Я переместил этот раздел в отдельный пост, так как эта часть актуальна и для других сценариев. Вы можете прочитать полный текст здесь

MikroTik CHR Как настроить L2TP VPN-сервер. VPN-сервер для устройств Apple

Как известно, Apple не поддерживает протокол PPTP VPN на своих устройствах.
Один из протоколов, поддерживаемых устройствами Apple, — L2TP / IPsec.

В этой статье базы знаний мы покажем вам, как настроить сервер MikroTik VPN с L2TP и IPSec.

Прежде всего, вы должны выбрать один из наших пакетов MikroTik CHR VPS https://www.bgocloud.com/hosting/mikrotik-vps.

Если у вас уже есть собственный MikroTik CHR, вы должны получить доступ к маршрутизатору и установить пароль для учетной записи администратора и сделать некоторые обновления безопасности.
Пожалуйста, следуйте этой статье для необходимой защиты системы для вашего маршрутизатора MikroTik https: // www.bgocloud.com/knowledgebase/34/mikrotik-chr-basic-system-protection.html.

Пример диаграммы дает представление о том, что необходимо сделать
Мы постараемся следовать этой диаграмме. К сожалению, публичный IP-адрес нашего маршрутизатора будет другим. В нашем сценарии это 78.142.25.35

.

Откройте браузер, войдите в MikroTik CHR и войдите в систему, указав свою учетную запись администратора и свой пароль.
Если вы подключитесь к маршрутизатору через веб-браузер, вы увидите следующее:

Нажмите только кнопку WebFig:

Важно убедиться, что наш маршрутизатор обновлен.
Пожалуйста, выполните следующие действия и обновите свой маршрутизатор: (Если ваш маршрутизатор уже обновлен, вы можете пропустить этот шаг)

В левом меню выбираем: Система -> Пакеты -> Нажмите Проверить для Обновление
. Если вы нажмете «Проверить наличие обновлений», если у вас не последняя версия ОС маршрутизатора, вы можете выбрать вариант «Загрузить и установить».
Эта опция загрузит последнюю версию ОС маршрутизатора и установит ее. Маршрутизатор будет перезагружен автоматически.
После перезагрузки вам нужно снова войти в систему и нажать кнопку WebFig.

В нашем случае я добавлю интерфейс моста к нашему маршрутизатору и назову его «локальным».

Возможно, у вас уже есть мост и локальный IP-адрес. Вы можете использовать это. Это не обязательно делать, если у вас уже настроены сетевые топологии.

Вы можете быстро и легко добавить новый мост с помощью этой команды в терминале ОС маршрутизатора:

[admin @ MikroTik]> interface bridge add name = lcoal

Или вы можете сделать это из веб-интерфейса или Winbox:

Мы видим результат во вкладке Интерфейсы

Теперь пора установить IP-адрес для нашей локальной сети.
Мы смотрим с первых картинок, и IP-адрес будет: 10.1.101.1 с сетевой маской 255.255.255.0 (10.1.101.1/24) и разместим его на «локальном» интерфейсе.
Если у вас настроен IP-адрес, вы можете пропустить эти шаги. Вы можете использовать IP-адрес из топологии вашей сети.

Это легко сделать с помощью этой команды в терминале MikroTik OS:

[admin @ MikroTik]> ip address add address = 10.1.101.1 / 24 interface = local

Вы можете добавить это через WEB или Winbox.

Теперь у нас есть маршрутизатор Mikrotik с публичным и частным IP-адресами.

Рекомендуется добавить пул IP-адресов, откуда наши клиенты L2TP будут получать свои IP-адреса.

Проще всего это сделать с помощью этой команды в MikroTik Router Os Terminal. Вы можете изменить диапазон IP-адресов.

[admin @ MikroTik]> ip pool add name = L2TP range = 10.1.101.50-10.1.101.100

Я выбираю из нашей локальной сети IP-адресов.

Вот как это выглядит в MikroTik WebFig

Пора настроить L2TP сервер.
Прежде всего, нам нужно включить L2TP-сервер.

Крайне важно включить IPsec и установить секрет IPsec!

Команда для этого в терминале ОС MikroTik Router:

[admin @ MikroTik]> interface l2tp-server server set enabled = yes default-profile = default-encryption use-ipsec = yes ipsec-secret = bgocloud authentication = chap, mschap1, mschap2, pap

Давайте взглянем на Профиль по умолчанию — Шифрование по умолчанию и внесем в него некоторые изменения.

Команда для этого в терминале ОС MikroTik Router:

[admin @ MikroTik]> ppp profile set default-encryption local-address = 10.1.101.1 remote-address = L2TP dns-server = 10.1.101.1,8.8.8.8 мост = локальный

Может быть, здесь стоит включить службу DNS на маршрутизаторе; в противном случае наш L2TP-клиент не сможет получить доступ к DNS-серверу 10.1.101.1, и он не сможет открыть какой-либо веб-сайт.

Если вы не хотите использовать MikroTik в качестве DNS-сервера, вы можете установить DNS-серверы Google 8.8.8.8 и 8.8.4.4.
Но если вы хотите иметь возможность создавать статические записи DNS, вам необходимо включить DNS для вашего маршрутизатора, вот как это можно сделать:

Команда ОС маршрутизатора для терминала:

[admin @ MikroTik]> ip dns set allow-remote-requests = да

Что у нас есть?
У нас есть маршрутизатор с общедоступным IP-адресом 78.142.25.35 и локальным IP-адресом 10.1.101.1, включенной службой L2TP и включенной службой DNS.
Пора добавить наших клиентов / пользователей, которые смогут подключиться к нашему роутеру.

Вот команда терминала:

[admin @ MikroTik]> ppp secret add name = bgocloud password = bgocloud profile = default-encryption service = l2tp comment = «наша первая учетная запись»

Теперь у нас есть пользователь с именем пользователя bgocloud и паролем bgocloud.
Конечно, вы можете поменять что угодно! Это просто пример!

Нам нужно сделать только одно, и это очень, очень важно!
Мы должны включить NAT в брандмауэре!
Вот как это можно сделать:

Вот команда ОС маршрутизатора для терминала:

[admin @ MikroTik]> IP firewall nat add chain = srcnat out-interface = ether1 action = masquerade

И все.Мы готовы к работе!
Теперь пришло время настроить клиенты L2TP для наших устройств Apple, как мы можем это сделать, следуя этой статье:

https://www.bgocloud.com/knowledgebase/64/set-up-l2tp-over-ipsec- vpn-client-on-macos.html

Mikrotik L2TP / IPsec VPN-сервер Пошаговая настройка

Mikrotik L2TP / IPsec VPN-сервер Пошаговая настройка

В этом руководстве предполагается, что интерфейс Mikrotik WAN имеет общедоступный IP-адрес и ваш интернет-провайдер не блокирует порты ipsec.Разобравшись с этим, давайте начнем.
Первый шаг — создать профиль PPP на Mikrotik. Мы будем использовать 192.168.102.1 для локального адреса (шлюза VPN), предполагая, что он еще не используется. Нам также нужно добавить DNS-сервер.

Профиль

 / ppp добавить имя = ipsec_vpn local-address = 192.168.102.1 dns-server = 1.1.1.1 

Затем мы добавляем интерфейс сервера l2tp и устанавливаем разрешенные методы аутентификации, mschap1 и mschap2.

 / interface l2tp-server набор серверов включен = да default-profile = ipsec_vpn authentication = mschap1, mschap2 

Затем нам нужно определить пиринг IPSec, а также политику IPsec по умолчанию.Мы также установим секрет предварительного ключа в процессе.

/ ip ipsec policy set [find default = yes] src-address = 0.0.0.0 / 0 dst-address = 0.0.0.0 / 0 protocol = all предложение = default template = yes

Для Router OS 6.39 и ниже используйте

 / ipsec peer add address = 0.0.0.0 / 0 port = 500 auth-method = pre-shared-key secret = STRONG_SECRET_HERE exchange-mode = main-l2tp send-initial-contact = no generate-policy = port-override 

Для Router OS 6.44 и выше используйте:

 / ipsec peer добавить exchange-mode = main passive = yes name = l2tpserver

/ ip ipsec identity add generate-policy = port-override auth-method = pre-shared-key secret = STRONG_SECRET_HERE peer = l2tpserver 

Далее мы устанавливаем алгоритмы шифрования по умолчанию

Предложение

 / ipsec установить по умолчанию auth-алгоритмы = sha1 enc-алгоритмы = 3des pfs-group = modp1024 

Теперь добавляем пользователя и назначаем IP-адрес

 / ppp secret add name = USERNAME пароль = СИЛЬНЫЙ ПАРОЛЬ service = l2tp profile = ipsec_vpn remote-address = 192.168.102.2 

Наконец, нам нужно открыть порты IPSec из WAN

 / ip firewall filter add chain = input action = accept protocol = udp port = 1701,500,4500
/ ip firewall filter add chain = input action = accept protocol = ipsec-esp 

Обратите внимание, что эти два правила должны быть добавлены вверху списка перед любыми другими правилами, чтобы разрешить соединения через интерфейс WAN. Либо используйте команду перемещения с помощью интерфейса командной строки, чтобы переместить их в начало списка, либо используйте графический интерфейс.

Как настроить SSTP / PPTP / L2TP VPN на маршрутизаторах Mikrotik

В этом руководстве мы покажем вам, как настроить SSTP, PPTP или L2TP VPN на маршрутизаторах Mikrotik, но сначала давайте посмотрим, каковы наши требования и рекомендации.

Если вы все еще хотите настроить VPN вручную, следуйте пошаговым инструкциям: