Mikrotik l2tp client ipsec: Настройка L2TP IPSec VPN Cервера и Клиента на MikroTik

Настройка L2TP IPSec VPN Cервера и Клиента на MikroTik

Это продолжение предыдущих двух статей (Первая) и (Вторая) в которых мы показали как настроить L2TP на MikroTik без IPSec, теперь же прикрутим его к нашей конфигурации.

IPSEC – это целый набор протоколов, обеспечивающих защиту данных IP через сеть интернет. Несомненно, он один из самых безопасных реализаций VPN, но ложкой дегтя является сложность настройки. Некоторые модели RouterBOARD имею встроенные чипы разгрузки для алгоритмов AES, это сделано для того, чтобы не нагружать центральный процессор сложной обработкой. Ознакомиться более подробно со списком оборудования поддерживающих аппаратную разгрузку можно на сайте mikrotik.com.

В нижеизложенной инструкции будет продемонстрировано конфигурирование классического IPSEC, а не IKEv2. На основе предыдущих статей я покажу два режима настройки L2TP\IPSec в транспортном режиме на роутере микротик. По сложившейся практике предпочтительно делать именно в транспортном режиме, т.к. удобнее прописать маршруты в локальные сети через адреса в туннелях вместо создания NAT правил. В добавок про NAT отмечу, что IPSEC-у становится дурно, когда он проходит через него. Не плохо реализована поддержка NAT-T. Взяв во внимание вышеизложенную информацию приступим.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

Схема сети

Используем лабораторный стенд с Mikrotik CHR версии 6.46.2 на борту. Мы находимся справа внизу в офисе SPB (Office-SPB). Вводные данные:

• Office-SPB сервер;
• Office-Moscow клиент;
• NetworkCore выполняет роль провайдера, он будет заниматься обычной маршрутизацией;
• Office-Moscow ether1 смотрит в интернет 172.16.10.2/24;
• Office-SPB ether1 смотрит в интернет 172.16.11.2/24;
• Office-Moscow имеет bridge “General-Bridge” в локальной сети 192.168.11.1/24;
• Office-SPB имеет bridge “General-Bridge” в локальной сети 192.168.10.1/24;
• IP ПК в локальной сети Office-Moscow 192.168.11.2;
• IP ПК в локальной сети Office-SPB 192.168.10.2;
• Адресация в VPN сети 172.16.25.0/24;
• Активный L2TP туннель между офисами.

Простая настройка

Предполагает быстрое развертывание на сервере и клиенте. Она более всего подходит для инсталляций, когда вы планируете чтобы к вам подключалось много мобильных устройств или устройств находящихся за NAT-ом. На московском роутере проверим состояние клиентского подключения. Переходим PPP – Interface – SPB-Office – Status.

С соединением все в порядке. В строке Encoding видим стандартное шифрование протокола L2TP. Открываем свойства сервера L2TP. Ставим required на параметре Use IPsec и указываем пароль.

Сохраняем. Клиентское соединение пропадает, т.к. теперь мы требуем согласование протокола IPSEC. Видим соответствующее сообщение в логах сервера. Оно говорит о том, что подключение было отброшено.

Если вы установите значение Use IPsec в yes, то все желающие подключиться без использования IPSEC – подключатся.

Подключаемся к клиентскому Mikrotik в Питере, открываем PPP – Interface – выбираем интерфейс to-MSC и открываем вкладку Dial Out. Ставим галочку на UseIPsec и задаем пароль, установленный на сервере.

После нажатия кнопки Apply проверим состояние подключения на вкладке Status.

Строка Encoding изменилась на более внушительное значение, что символизирует об успешном согласовании.

Site to site

Все настройки находятся в IP – IPSEC. Данный метод предназначен для развёртывания между удаленными площадками. Обязательным условием является наличие статических публичных адресов для обоих участников туннеля. Параметры идентичны, за исключением маленьких деталей. Отлично подходит для голосового трафика, т.к. все данные будут инкапсулированы в UDP. Запасаемся терпением и вниманием. Надеюсь, что все помнят простое правило по неиспользованию стандартных профилей. Создаем одинаковый профиль на обоих устройствах.

Далее создаем предложения.

Далее нужно создать пиров. Направляем их друг на друга и указываем раннее созданные профили. Пишем в поле Local Address тот адрес роутера, с которого хотите инициировать соединение. Это особенно актуально если у вас их несколько или нужно инициировать соединение с определенного. Т.к. у нас всего по одному адресу – укажем их.

Далее создаем группы.

Еще не все. Следующий пункт — Identity.

И вишенкой на торте Policies. На вкладке General указываем адреса источника и назначения. Соответственно направляем друг на друга. 1701 это UDP порт L2TP.

Переходим в Action. Обязательно выбираем параметр Level в unique. Особенно полезно будет для тех, кто планирует много шифрованных туннелей.

Сохраняем и проверяем.

Established в конце строки пира SPB означает что согласование прошло успешно и оно устоялось. Откроем Installed SAs и посмотрим на наши ключики.

Все как мы и заказывали. Ну и наконец проверим наше L2TP соединение. Все должно зашифроваться без переподключений.

Настройка firewall

Тут  также, как и с предыдущим пунктом. Настраиваем одинаково с обоих сторон. Нужно отредактировать созданные правила на московском роутере, а на питерском создаем с нуля аналогичные. В первом правиле кроме порта для L2TP добавляем еще два:

Создадим еще одно правило для IPSEC-ESP.

Перемещаем его над последним правилом.

Повторив параметры фаервола на питерском роутере, обязательно проверьте что соединение L2TP подключается и шифруется соответствующими алгоритмами. На этом мы закончили цикл статей про настройку L2TP клиента и сервера как с IPSec так и без него. Если у вас остались вопросы задавайте из в комментариях а лучше в группу Теллеграмм.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

подключение по VPN к серверу

Сегодня сделаем настройку L2TP Client на MikroTik, это продолжение предыдущей статьи в которой мы рассмотрели базовую конфигурацию серверной части L2TP. Подготовили профиль, включили сервер и настроили фаервол. Нам осталось создать пользователя и подключить клиентскую часть. Также немного разберем вопросы безопасности и защитим нашу VPN сеть от ненужных товарищей. Но обо всем этом по порядку.

Конфигурирование

Используем лабораторный стенд с Mikrotik CHR версии 6.46.2 на борту. Мы находимся справа внизу в офисе SPB (Office-SPB). Вводные данные:

• Office-SPB клиент;
• Office-Moscow сервер;
• NetworkCore выполняет роль провайдера, он будет заниматься обычной маршрутизацией;
• Office-Moscow ether1 смотрит в интернет 172.16.10.2/24;
• Office-SPB ether1 смотрит в интернет 172.16.11.2/24;
• Office-Moscow имеет bridge “General-Bridge” в локальной сети 192.168.11.1/24;
• Office-SPB имеет bridge “General-Bridge” в локальной сети 192.168.10.1/24;
• IP ПК в локальной сети Office-Moscow 192.168.11.2;
• IP ПК в локальной сети Office-SPB 192.168.10.2;
• Адресация в VPN сети 172.16.25.0/24.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

Тестирование связи

На нашем стенде, как вы заметили, я использую статические частные (серые) IP адреса. В действительности необходим хотя бы один публичный (белый) IP адрес. Он должен быть на том оборудовании, которое выполняет роль сервера. Самым лучшим решением – это использование публичных адресов со всех устройств которые будут подключаться к VPN. Цена в таком решении — это абонентская плата, а результат – улучшенная безопасность на нескольких уровнях. Проверим связь между устройствами.  Отправляю ping-запросы между 172.16.10.2 и 172.16.11.2 с московского роутера.

Ping-и идут стабильно, можно идти дальше.

Создание пользователя

Не отключаясь от роутера Office-Moscow создадим пользователя. Переходим в PPP – Secrets.

Задаем следующие параметры:

• Name – SPB-Office — Имя учетной записи;
• Password – passwordspb – пароль;
• Service – l2tp – сервис, который разрешен данной учетной записи;
• Profile – L2TP-Server-General – созданный ранее профиль сервера.

Сохраняем и проверяем результат.

Создание клиентского интерфейса

Подключаемся к клиентскому Mikrotik Office-SPB. Создаем интерфейс в PPP – Interface.

Указываем параметр Name на вкладке General. Я обычно указываю направление, в которое будет подключаться роутер.

Задавайте понятные имена интерфейсов на английском языке, чтобы вам было все ясно при диагностики неисправностей.

На вкладке Dial Out указываем:

• Connect To – 172.16.10.2 – IP или DNS имя сервера Mikrotik;
• User — SPB-Office – созданный на прошлом шаге пользователь;
• Password – passwordspb – пароль от учетной записи;
• Allow – mschap2 – протокол аутентификации.

Жмем Apply и смотрим на статус в правом нижнем углу, он должен быть connected.

Это символизирует об успешном подключении. Открываем вкладку Status. Взглянем на состояние.

Мы видим, что наш клиент подключился последний раз 25 января 2020 года в 15:11:18, ни одного разрыва с момента подключения, шифрование MPPE 128, адрес клиента в туннеле 172.16.25.10 и шлюза 172.16.25.1. Если ваш провайдер блокирует L2TP без IPSEC, то у вас либо не поднимется соединение, либо будет расти счетчик Link Downs. Так же стоит проверить, создался ли сам интерфейс.

Проверка соединения

Перейдем к проверке связи. Будем тестировать ping-запросами. Отправим их внутри туннеля.

Убедившись, что запросы по направлению друг к другу отрабатывают корректно, займемся настройкой безопасности.

Настройка firewall

Вы можете пропустить данный пункт если ваш роутер, который выполняет роль клиента имеет динамический IP.

Брутфорс – зло! Но нас не проведешь. В предыдущей статье мы сделали базовую настройку фаервола сервера. Мы знаем, что клиент будет подключаться с 172.16.11.2. Проведем не большие изменения для увеличения безопасности подключения. Подключаемся на московский роутер и открываем ранее созданное правило фаервола для порта UDP 1701.

Данное правило можно читать следующим образом: если новое соединение с 172.16.11.2 на 172.16.10.2 на сокет UDP:1701 – разрешить. Все устоявшиеся соединения будут жить, т.к. уже есть второе разрешающее правило ниже. Идем дальше PPP – Secrets. Открываем пользователя SPB-Office и указываем адрес в Caller ID, с которого он будет подключаться.

Читаем правильно – пользователь SPB-Office, с паролем passwordspb, с адреса 172.16.11.2 к сервису L2TP – назначить параметры, указанные в профиле. Подключиться не удастся если хотя бы одно условие не выполнится. На этом все, настройка и подключение l2pt клиента завершено, теперь у нас есть стабильный канал связи. В следующий статье мы прикрутить ко всему этому IPSec для еще большей безопасности.

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

Настройка VPN IPSec/L2TP сервера Mikrotik

главная
— Статьи — Mikrotik

Дата обновления: 17.09.2020

Теги: Mikrotik VPN VPN сервер

Иногда мне кажется, что создатели Mikrotik намеренно лишают себя прибыли, не создавая однозначных пошаговых руководств по настройке своих детищ. Почти 100% потребителей этих роутеров пытаются настроить VPN, использовать два или более WAN одновременно или в качестве резервных. Именно это ищут по всей сети (и часто вне рунета) счастливые владельцы этих замечательных устройств. Представьте, на сколько бы увеличилась армия владельцев, если бы для настройки этих функций было два-три визарда в веб-интерфейсе. А сейчас.. сейчас именно благодаря сложности настройки (и, соотв., меньшему количеству желающих купить) мы имеем недорогое, малокапризное для несложных задач устройство, которое надо заставить работать 24х7х365. Например, в качестве VPN-сервера. Поехали!

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Протокол L2TP обеспечивает канал передачи данных, туннель.

IPSec обеспечивает защиту данных от просмотра.

Настраивать мы будем тоже по частям — сначала туннель, потом — защита данных.

Примечание 1 (Winbox):

Я не очень люблю текстовые команды с кучей ключей при настройке вещей, которые достаточно много где описаны, но описаны каждый раз с незаметными опечатками, где-то что-то не скопировалось при написании (или при копировании с другого сайта, что случается чаще всего) или просто съелось текстовым редактором CMS сайта. Настройка VPN как раз такой случай. Поэтому я специально каждый шаг прописал для GUI Mikrotik — Winbox, тем более что не так уж тут и много всего надо сделать.

Примечание 2 (до версии 6.18):

До версии 6.18 в прошивке есть баг, из-за которого всегда применяется default policy template, поэтому обновите прошивку до последней стабильной. Не обновляйте прошивку до самой последней, но нестабильной версии, если вы настраиваете VPN.

Итак, имеем роутер Mikrotik с прошивкой 6.46.2 (февраль 2020) c LAN 192.168.88.0/24 (сеть по-умолчанию). WAN не важен, например, 1.2.3.4.

Настройка туннелирования (L2TP)

1. IP — Pool / Определям диапазон адресов VPN-пользователей

Name: vpn_pool
Addresses: 192.168.112.1-192.168.112.10
Next pool: none

Лучше для клиентов vpn использовать отдельную адресацию. Так проще отделять одних от других. И вообще, бест практис.

2. PPP — Profiles / Профиль для нашего конкретного туннеля

General:
Name: l2tp_profile
Local address: vpn_pool (а можно указать 192.168.88.1, сами смотрите, как вам больше нравится)
Remote address: vpn_pool
Change TCP MSS: yes

Protocols:
all to default:
Use MPLS: default
Use compression: default (ставил также yes)
Use Encryption: default (можно ставить no, т.к. ppp-шифрование мы использовать не будем, на это нам IPSec есть, на незагруженном микротике разницы никакой не заметил)

Если в сети, куда вы подключаетесь, есть ресурсы по внутренним доменным именам, а не только по IP, можете указать DNS Server этой сети, например, 192.168.88.1 (или какой вам нужен).

Limits:
Only one: default

3. PPP — Secrets / Готовим пользователя VPN

Name: vpn_user1
Password: bla-bla-bla
Service: l2tp
Profile: l2tp_profile

4. PPP — Interface — клик на L2TP Server / Включаем сервер L2TP

Enabled — yes
MTU / MRU — 1450
Keepalive Timeout — 30
Default profile — l2tp_profile
Authentication — mschap2
Use IPSec — yes
IPSec Secret: tumba-yumba-setebryaki (это не пароль пользователя, а предварительный ключ, который надо будет указывать на клиентах в дополнение к логину/паролю)

При этом в IP-IPSec-Peers будет создан динамический пир с именем l2tp-in-server.

Настройка шифрования данных в «туннеле» (IPSec)

На предыдущем этапе мы создали туннель для передачи данных и включили IPSec. В этом разделе мы настроим параметры IPSec.

5. IP — IPSec — Groups

Статья эта уже прошла немало редакций с 2015 года, и тогда была велика вероятность появления ошибки соединения с сервером из-за дефолтной группы, что лечилось удалением и пересозданием ее. Например, с именем «policy_group1». Также можно просто удалить эту группу, но через веб-интерфейс будут показываться ошибки. В последней редакции с дефолтной группой все работает нормально, но все же имейте ввиду.

6. IP — IPSec — Peers

В старых редакциях нужно было создавать пир (спойлер).

Address: 0.0.0.0/0
Port: 500
Auth method: pre shared key
Passive: yes (set)
Secret: tumba-yumba-setebryaki (это не пароль пользователя!)

Policy template group: policy_group1
Exchange mode: main l2tp
Send Initial Contact: yes (set)
NAT Traversal: yes (set)
My id: auto
Proposal check: obey
Hash algorithm: sha1
Encryption Algorithm: 3des aes-128 aes-256

DH Group: modp 1024
Generate policy: port override
Lifitime: 1d 00:00:00
DPD Interval: 120
DPD Maximum failures: 5

Сейчас пир создается автоматически при включении L2TP-сервера с Use IPSec. А если у вас он был создан ранее, то после обновления прошивки микротика будет два пира — автоматически созданый и ваш старый, над которым будет красная надпись: This entry is unreachable. Так что идем дальше.

7. IP — IPSec — Proposals / «Предложения».

Что-то вроде «что мы можем вам предложить». Другими словами, задаем опции подключения, которые смогут пытаться использовать удаленные клиенты.

Name: default
Auth algorithms: sha1
Enrc. algorithms: 3des, aes-256 cbc, aes-256 ctr
Life time: 00:30:00
PFS Group: mod 1024

Firewall

Давайте уж к консоли, что-ли для разнообразия:

/ip firewall filter
add chain=input action=accept protocol=udp port=1701,500,4500
add chain=input action=accept protocol=ipsec-esp

Если у вас по-умолчанию политика forward установлена в drop (последнее правило для forward «chain=forward action=drop»), вам может быть необходимым разрешить forward с ip-адресов vpn_pool в локальную сеть:

add chain=forward action=accept src-address=192.168.112.0/24 in-interface=!ether1 out-interface=bridge-local comment=»allow vpn to lan» log=no log-prefix=»»

Вот теперь с сервером все.

Подключение удаленного клиента

Пробуем подключить Windows 7:

Панель управленияСеть и ИнтернетЦентр управления сетями и общим доступом:
    Настройка нового подключения или сети
        Подключение к рабочему месту
            Создать новое подключение
                Использовать мое подключение к интернету (VPN)
                    Интернет-адрес: ip или имя роутера в сети
                        Пользователь и пароль из PPP->Secrets. В нашем случае это vpn_user1 и его пароль.
                        
Пытаемся подключиться.

Если не выходит, или просто надо настроить созданное подключение:

Вкладка Безопасность:

Тип VPN: L2TP IPSec VPN

Дополнительные параметры: для проверки подлинности использовать предварительный ключ. В нашем случае это «tumba-yumba-setebryaki» (IP — IPSec — Peers):

Здесь же, в группе «Проверка подлинности», оставляем только CHAP v2:

Жмем ОК и пытаемся подключиться. Должно получиться. Если нет, загляните на страницу ошибок при настройке VPN.

Update 1: часто люди интересуются, как несколько (больше одного) клиентов из одной локальной сети (за nat) могут подключаться к одному удаленному vpn-серверу микротик.  Не знаю, как в L2TP/IPSec связке это обеспечить. Можно назвать это багом реализации. Я не нашел простого объяснения и решения проблемы.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс основан на официальной программе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Авторизуйтесь для добавления комментариев!

Пошаговая инструкция по объединению сетей с помощью L2TP и L2TP/IPSec на Mikrotik

В эпоху тотальной информатизации всех бизнес-процессов, всё более остро постаёт вопрос объединения удалённых офисов и филиалов между собой в единую информационную сеть. Довольно часто немаловажную роль играет возможность предоставления удаленного доступа для сотрудников из дома, либо любой точки земного шара, где есть доступ в Интернет.

Объединение сетей мы будем рассматривать на примере оборудования компании Mikrotik. В качестве тестового сервера используется маршрутизатор RB2011UiAS-RM, который является отличным выбором для небольших офисов и компаний, ограниченных в бюджете. В качестве конечного клиента используется одно из самых доступных решений – Mikrotik hAP lite (RB941-2n).

Благодаря своей невысокой, hAP lite можно с легкостью применять в домашних условиях, для подключения сотрудников, работающих удалённо. Хороший показатель производительности позволяет использовать этого «малыша» даже в малых офисах, где нет высоких требований.

Бывают ситуации, когда офис и филиалы находятся в локальной сети одного и того же провайдера, что существенно упрощает процесс объединения сетей. Тем не менее, чаще всего филиалы территориально разграничены и могут находиться на большом удалении друг от друга.

Одной из самых популярных технологий для таких целей можно считать VPN – Virtual Private Network. Для реализации VPN, можно прибегнуть к нескольким вариантам: PPTP, L2TP, OpenVPN, SSTP и т.д. PPTP морально устарел, а OpenVPN и SSTP поддерживаются далеко не на всех устройствах.

По этим причинам, а также благодаря простоте настройки и доступности на устройствах, работающих под управлением разных ОС, протокол L2TP (Layer 2 Tunnel Protocol) является одним из самых популярных протоколов туннелирования. Проблемы могут возникать в случае нахождения клиента за NAT, когда Firewall блокирует пакеты. Однако даже в этом случае есть решения по обходу блокировки. Один из недостатков L2TP – безопасность, которая решается применением IPSec. Второй и, пожалуй, самый значимый недостаток – производительность. При использовании IPSec происходит двойная инкапсуляция, что снижает производительность – это именно та цена, которую придется заплатить за безопасность передаваемых данных.

Тестовый стенд

Для лучшего понимания настроек, ниже приведена иллюстрация, которая показывает структуру сети.

В качестве интернет-провайдера выступает маршрутизатор RB951Ui-2HnD, который выдает устройствам IP в подсети 192.168.106.0/24. В реальности же у вас будут другие IP-адреса на WAN-интерфейсах.

Настройка сервера

Итак, на главном сервер должен быть статический белый внешний IP-адрес, в качестве примера у нас это 192.168.106.246. Наличие статики важно т.к. адрес не должен меняться, в противном случае придётся прибегать к лишним действиям и использовать DNS-имя.

Создание профилей

Заходим в раздел PPP, открываем вкладку Profiles, здесь необходимо создать профиль, который будет применяться к VPN-подключениям. Отметьте опции Change TCP MSS, Use Compression, Use Encryption. По-умолчанию, будет использоваться шифрования MPPE 128 bit.

Переходим на вкладку Interface. Нажимаем L2TP Server, в появившемся окошке ставим галочку Enabled и выбираем профиль по-умолчанию, который мы создали ранее. Тип аутентификации, по желанию – оставить как есть, либо выбрать только MS-CHAP v2.

Опцию IPsec оставляем отключенной.

Переходим в Secrets, здесь необходимо создать нового пользователя VPN. В качестве Service указываем L2TP, тут же можно указать используемый профиль.

Локальный адрес указываем 10.50.0.10, удаленный – 10.50.0.11. При необходимости создаём нужно количество пользователей. Для каждого пользователя локальный IP будет одинаковым, удалённый IP увеличиваем на единицу (т.е. 10.50.0.12, 10.50.0.13 и т.д.). Можно конечно прибегнуть к использованию пула адресов, но со статикой вам проще будет писать маршруты.

Создание интерфейса

Для каждого пользователя создаём свой интерфейс. Открываем раздел интерфейсов и нажимаем плюс, в выпадающем меню выбираем L2TP Server Binding, указываем отображаемое название и имя пользователя. При подключении пользователя здесь будет отображаться вся информация.

Настройки файрволла

Для работы VPN необходимо открыть UDP-порт 1701 (chain input, protocol 17(udp), dst-port 1701, accept). После чего необходимо поднять приоритет правила, перемещаем его выше.

Далее заходим в NAT и добавляем маскарадинг для VPN (chain srcnat, out interface all ppp, action masquerade), это необходимо делать для того, чтобы компьютеры за роутером видели друг друга.

Добавление маршрутов

Прописываем маршрут в удалённую подсеть. Конечная подсеть 192.168.2.0/24, в качестве шлюза выступает IP клиента внутри виртуальной сети, в нашем случае это 10.50.0.11, target scope выставляем единицу, Pref. Source – локальный IP сервера внутри виртуальной сети, 10.50.0.10.

На этом настройка сервера завершена, приступаем к настройке клиентского подключения на втором устройстве.

Настройка клиента

Открываем раздел интерфейсов и добавляем новый L2TP Client, указываем IP-адрес сервера и свои учётные данные, по-умолчанию выбираем профиль с шифрованием и снимаем галочку с дефолтного маршрута.

Применяем, если всё сделано правильно – соединение должно быть установлено.

Пробуем пинговать 192.168.1.1… и он, конечно же, отвечать не будет. Добавляем новый статический маршрут – удаленная подсеть 192.168.1.0/24, в качестве шлюза IP сервера в виртуальной сети, Pref. Source – наш IP в виртуальной сети. Т.е. на клиенте все адреса проставляются наоборот.

Пробуем повторно выполнить ping 192.168.1.1 – есть.

Но компьютеры за роутером ещё не видят удалённую сеть.

Создаем для них маскарадинг, аналогичный тому, что создан на сервере. В качестве выходного интерфейса указываем наше VPN-подключение.

Ping пошел, значит, всё работает. Поздравляем, ваш туннель работает, а компьютеры видят друг друга.

В нашем примере, как показало тестирование, удалось получить канал с пропускной способностью около 50 Мбит/сек.

На этом базовая настройка завершена. При добавлении новых пользователей, необходимо добавлять соответствующие маршруты на устройствах, где вы хотите, чтобы устройства за роутером видели друг друга. При пробросе маршрута между Client1 и Client2, на самом сервере ничего делать не нужно. Достаточно прописать маршруты на клиентах, в качестве шлюза будет выступать IP оппонента в виртуальной сети.

Настройка L2TP + IPSec

Иногда на практике нужно обеспечить должный уровень безопасности. При использовании L2TP целесообразно прибегать к использованию IPSec. В качестве примера используется сеть, настроенная по вышеизложенной инструкции.

Обратите внимание! IPSec создаётся внутри туннеля L2TP между виртуальными адресами 10.50.0.X. Такая реализация позволяет не зависеть от IP клиента.

Если же вы хотите создать IPSec-туннель между WAN сервера и WAN клиента, необходимо, чтобы у клиента был белый внешний IP. Если IP будет динамичным, вам потребуется также использовать разные скрипты для изменения политик IPSec. К тому же, в случае IPSec между внешними IP, необходимость в L2TP вовсе отпадает.

Настройки на сервере

Первым делом заходим в NAT и отключаем маскарадинг для PPP, если этого не сделать, пакеты шифроваться не будут. Необходима перезагрузка маршрутизатора.

Заходим в раздел IP – IPSec, открываем вкладку Proposals. Здесь нам необходимо указать тип шифрования и аутентификации. Алгоритм аутентификации выбираем sha1, для шифрования оптимальным будет использовать алгоритм AES 128-бит. При необходимости, можно также указать 3DES (Triple DES), он является алгоритмом по-умолчанию для L2TP/IPSec в Windows 7, в то время, как для мобильных ОС целесообразным может быть применение AES 256-бит.

Во вкладке Peers добавляем новый пир с адресом 0.0.0.0/0, что разрешит маршрутизатору принимать все подключения. По-умолчанию, используется 500-й порт. Метод аутентификации выбираем pre shared key, чуть ниже указываем желаемый пароль. Exchange Mode следует указать main l2tp.

Отмечаем опции Send Initial Contact и NAT Traversal. Последнюю опцию можно и не отмечать, если вы точно уверены, что клиент не находится за NAT провайдера. Generate policy выбираем port strict. Остальные опции вы можете посмотреть на скриншоте.

После добавления пира следует создать политику, для этого открываем вкладку Policies. Политику по-умолчанию можно отключить. Создаем новую политику, где указываем наши 2 локальные сети. Src. Adress (source) – наша локальная подсеть 192.168.1.0/24, Dst. Adress (destination) – удаленная подсеть 192.168.2.0/24. В закладке Action необходимо указать применяемое действие: action – encrypt, level – require. В качестве протокола выбираем ESP и ставим галочку Tunnel. SA Src. Adress – наш локальный адрес в виртуальной сети (10.50.0.10), SA Dst. Adress – адрес удаленного клиента в виртуальной сети.

На этом в принципе все, нужно также зайти в Firewall и добавить правила для используемых портов. Порт UDP 1701 используется для начальной инициализации и конфигурации. UDP 500 используется в L2TP/IPSec для инициализации обмена ключами. Протокол 50 – IPSec ESP, который используется для шифрования данных. Иногда необходимо также открывать порт UDP 4500 для обхода NAT.

Настройка клиента

В первую очередь, добавляем правила файрволла и отключаем маскарадинг для нашего VPN-подключения.

В разделе IP – IPSec необходимо настроить Proposal аналогично тому, как это сделано на сервере.

В качестве пира будет выступать 10.50.0.10, т.е. адрес сервера в виртуальной сети. Все остальные настройки должны соответствовать тем, которые вы указали при настройке сервера.

При создании политики, все адреса и подсети указываются обратно тому, как они указаны на сервере, т.е. у клиента всё наоборот.

Если вы всё сделали правильно, во вкладке Remote Peers у вас отобразится список пиров и используемые порты.

Теперь необходимо открыть вкладку Installed SAs, здесь следует обратить особое внимание на значение Current Bytes – если оно равно нулю, значит, пакеты не шифруются.

В файрволле вы можете посмотреть движения трафика.

Что же касается загрузки процессора, в минимальной нагрузке канала для RB2011UiAS-RM она поднялась до 9-13%.

Проверка производительности L2TP/IPSec

Пришло время проверить производительность канала, ведь в случае с L2TP/IPSec происходит двойная инкапсуляция, что создаёт нагрузку на центральный процессор.

В однопоточном тесте, производительность нашего канала между RB2011UiAS-RM и RB941-2n упала до 17 Мбит/сек. Если увеличить количество потоков до 10, можно добиться скорости 19 Мбит/сек.

Загрузка процессора обеих устройств при этом составляет 95%, что немало. Это та цена, которую приходится платить за безопасность передаваемых данных.

Для получения высокой производительности по L2TP/IPSec следует покупать оборудование более высокого уровня, либо собирать маршрутизатор на PC + RouterOS. Если вы выбираете вариант покупки производительного маршрутизатора, обратите внимание на наличие аппаратного блока шифрования, что существенно увеличит производительность.

Mikrotik L2TP Client | marvins.ru

В предыдущей заметке мы рассмотрели установку и базовую настройку VPN сервера на базе SoftEther VPN и подключения к нему Windows и Android клиентов.
В этом материале я решил поделится с вами рецептом L2TP/IPSec подключения Mikrotik Router OS в качестве клиента к VPN серверу.
Рассмотрим базовое подключение, в последующем материале расскажу как можно выборочно часть исходящего трафика  пропустить через VPN.

Немного вводных данных (которые вы измените на свои):

• IP адрес VPN сервера — 10.200.6.168
• Учетная запись пользователя в SoftEther -mikrotik
• Пароль пользователя — mikrotik
• IPSec ключ — superpass
• Имя соединения (интерфейса) — marvins

Как наверное все мы знаем, Mikrotik предоставляет широкие возможности в конфигурировании своих устройств двумя способами:

1. В визуальном режиме с помощью Web интерфейса или клиентского приложения Winbox
2. В режиме командной строки через терминал

Рассмотрим оба способа, первым будет визуальным в клиентской программе Winbox🙂
Подключаемся к Router OS, идем в Interfaces—>Interface  и создаем новый интерфейс L2TP Client

Даем название интерфейсу и переходим на вкладку Dial Out

Указываем IP адрес сервера, имя, пароль и IPSec ключ (если вам нужно прогнать весь трафик через VPN, то отметьте галкой пункт Add Default Router) и жмем применить (Apply) и переходим на вкладку StatusЗдесь видим, что получили IP адрес и что статус connected

Настройка в терминале:

/ interface l2tp-client add ipsec-secret=superpass user=mikrotik password=mikrotik connect-to=10.200.6.168 use-ipsec=yes name=marvins
/ interface l2tp-client enable marvins

( Пока оценок нет )

Понравилась статья? Поделиться с друзьями:

Организация VPN подключения к Mikrotik (L2TP+IPSec)

Зачем

Организация VPN-подключений может использоваться в различных сценариях:

1. Подключение удалённых клиентов к корпоративной сети (работа на дому, из командировок).
2. Объединение сегментов локальной сети двух офисов, находящихся на удалении.

Несмотря на великое множество различных протоколов и типов VPN, применительно к Mikrotik чаще всего используется связка L2TP + IPsec, т.к. для клиентов на основе Microsoft Windows не требуется установка дополнительного программного обеспечения (в отличие от OpenVPN, например), что существенно облегчает интеграцию пользователей, не обладающих высоким навыком работы на компьютере.

Итак, настраиваем сервер и клиент L2TP + IPsec.

Шаг 1. Диапазон адресов клиентов

Для того, чтобы избежать путаницы, выделим всех клиентов,
подключаемых по VPN в отдельный пул адресов. Так проще будет настроить
маршрутизацию и правила межсетевого экрана, при необходимости.

IP – Pool

Добавляем новый пул, назвав его как-нибудь примечательно,
чтобы потом не затупить.

Шаг 2. Профиль для VPN-подключения

Следующим шагом создадим настройки профиля подключений по VPN.

PPP

Перейдём на вкладку Profiles и добавим новый профиль.
Зададим имя для удобства. Не мудрствуя лукаво, я просто оставил L2TP. А также указал локальный и удалённый
адреса из нашего пула (по счастливой случайности он так же называется L2TP).

Я также отметил возможность изменять максимальный размер сегмента
TCP (опция Change TCP MSS). Есть подозрение, что
это поможет избежать фрагментацию сегментов.

Шаг 3. Секреты

Под секретом в данном случае понимаются учётки VPN-юзеров. Заходим также в
раздел PPP, на вкладку Secrets и
под каждого пользователя создаём свой секрет.

В качестве сервиса выбираем l2tp, а в качестве профиля – созданный на шаге № 2 профиль PPP.

Создал одну учётку пока, для эксперимента. Если уж с ней
получится, то и с другими по аналогии должно пойти на УРА.

Шаг 4. Запускаем сервер L2TP

Здесь просто убедимся, что у нас запущены соответствующие
сервисы.  Заходим в L2TP Server и
убеждаемся в наличии соответствующих настроек:

Здесь, кстати, важный нюанс – для шифрования будем
использовать IPsec. Серьёзных
уязвимостей протокол не имеет, поэтому этого нам будет достаточно. Нужно
указать предварительный ключ – в примере на скрине это слово «ipsec». Можно придумать что-нибудь
посекурнее, например «123» или «password»
— каждый решает сам J

Шаг 5. Тюним IPsec

Важнячок: «из коробки» мой IPSEC глючил и
не давал подключиться. Решение было такое: идём в IP – IPSEC и
создаём новую группу в разделе Group.
А потом на вкладке «Policies»
добавить политику, указав нашу новую группу в качестве шаблона. Видимо какой-то
глюк, но с ним многие сталкивались.

Шаг 6. Файрволл

На сетевом экране IP — Firewall необходимо открыть следующие порты (цепочка input — входящий): протокол udp, порты 500, 4500, 1701.

Можно уточнить правила, указав In. Interface, чтобы ожидать пакеты именно с внешнего интерфейса, а также указать конкретные Src. или Dst. адреса, но это уже будет зависеть от конкретной ситуации. Чем точнее описано правило, тем оно более «секурно», но одновременно и менее гибкое.

Соответственно, если политика по умолчанию у вас accept — то делать ничего не надо. Если drop — скорректировать правила соответствующим образом. Настройка файрволла — тема очень интересная, заслуживает отдельной статьи.

Шаг 7. Настраиваем клиента Windows

VPN-сервер настроен! Самое время настроить клиента. Делать это мы будем из операционной системы Windows 7, хотя настройки в общем-то типовые. Дополнительный софт ставить не надо.

Открываем «Центр управления сетями и общим доступом» через «Панель управления» и нажимаем кнопку «Настройка нового подключения или сети»:

Тут нужно найти пункт, содержащий в сете три волшебные буквы «VPN», а именно: «Подключение к рабочему месту».

Предлагаются два варианта. Нам подходит первый — подключение через уже имеющееся Интернет-соединение. Условно говоря, поверх уже существующего канала создаётся шифрованный, прямиком «на работу».

На следующем шаге указываем IP-адрес нашего VPN-сервера (в данном случае — внешний интерфейс Mikrotik) и даём подключению хорошо читаемое имя. Я укажу наш сайт )

И вот здесь пригодится имя пользователя и пароль, которые мы создавали на этапе «секреты».

Если попытаться подключиться сейчас, то ничего хорошего не выйдет! Всё правильно, открываем свойства созданного VPN-подключения и идём на вкладку «Безопасность».

Выбираем тип VPN: L2TP IPsec, а также нажимаем на кнопку «Дополнительные параметры» и вводим предварительный ключ (ipsec)

 И вот теперь уже подключение происходит сразу. Откроем окно состояния и видим, что криптозащита трафика включена, можно работать дальше.

Данную статью можно закончить! Оставайтесь с нами, рассмотрим и другие варианты подключений!

Настройка L2TP/IPsec туннеля между роутерами Mikrotik

1. Создаем пул адресов для транзитной сети (здесь 192.168.254.0/26)

/ip pool
add name=l2tp-pool ranges=192.168.254.2-192.168.254.62

2. Создаем PPP-профиль для подключения, шифрование включать не нужно, т.к. будет использоваться IPsec

/ppp profile
add change-tcp-mss=yes local-address=192.168.254.1 name=l2tp remote-address=l2tp-pool

3. Заводим PPP-аккаунт для клиента

/ppp secret
add name=client1 password=secret1 profile=l2tp service=l2tp

3. Настраиваем и включаем L2TP-сервер

/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes keepalive-timeout=15 max-mru=1418 max-mtu=1418

Настраиваем и включаем L2TP-клиент

/interface l2tp-client
add allow=mschap2 connect-to=10.0.0.102 disabled=no max-mru=1418 max-mtu=1418 name=l2tp-to-m1 user=client1 password=secret1 profile=default

ПРИМЕЧАНИЕ: 1. Значение MTU 1418 — максимальное значение, при котором не будет фрагментации с использованием IPsec с алгоритмами SHA1 для подписи и AES-128 для шифрования. При использовании других алгоритмов значение MTU будет другим. Если используется механизм обхода NAT IPsec, следует понизить MTU на 28.
2. На этом этапе следует проверить работоспособность L2TP-подключения.

1. Настройка IPsec-пира, IPsec политика будет создаваться автоматически, при подключении клиента (с динамическим созданием политики, роутер может принимать подключения от множества VPN-клиентов без донастройки. В данном случае VPN-канал поднимается между двумя роутерами и можно настроить статическую политику, как на втором роутере). Пароль, который будет использоваться при аутентификации и генерации секрета для шифрования соединения, задается в параметре secret

/ip ipsec peer
add address=0.0.0.0/0 port=500 auth-method=pre-shared-key hash-algorithm=md5 enc-algorithm=aes-256 generate-policy=port-strict exchange-mode=main nat-traversal=no secret=»ipsec-secret» send-initial-contact=no dpd-interval=15s dpd-maximum-failures=2

2. Настройка алгоритмов для шифрования и подписи соединения

/ip ipsec proposal
set defaul auth-algorithms=sha1 enc-algorithms=aes-128 name=default

ПРИМЕЧАНИЕ: 1. Если не указать значение address=0.0.0.0/0 для peer, оно будет подставлено автоматически, но работать IPsec не будет — баг RouterOS.
2. nat-traversal=yes для peer следует указывать, только если часть клиентов будет подключаться из-за NAT.

1. Настройка IPsec-пира

/ip ipsec peer
add address=10.0.0.101/32 port=500 auth-method=pre-shared-key hash-algorithm=md5 enc-algorithm=aes-256 exchange-mode=main nat-traversal=no secret=»ipsec-secret» send-initial-contact=yes dpd-interval=15s dpd-maximum-failures=2

2. Настройка политики IPsec

/ip ipsec policy
add action=encrypt ipsec-protocols=esp level=require proposal=default protocol=udp sa-src-address=10.0.0.102 src-address=10.0.0.102/32 src-port=any sa-dst-address=10.0.0.101 dst-address=10.0.0.101/32 dst-port=any tunnel=no

2. Настройка алгоритмов для шифрования и подписи соединения

/ip ipsec proposal
set defaul auth-algorithms=sha1 enc-algorithms=aes-128 name=default

Сервер должен принимать:
UDP:1701 — L2TP, но только по IPsec
UDP:500 — IPsec, установление соединения
UDP:4500 — IPsec, для обхода NAT
IP протокол 50 — IPsec ESP

Отмечаем ESP пакеты, L2TP будем принимать только в них

/ip firewall mangle
add action=mark-packet chain=input new-packet-mark=esp protocol=ipsec-esp

/ip firewall filter
add chain=input comment=L2TP dst-port=1701 packet-mark=esp protocol=udp src-address=10.0.0.102
add chain=input comment=IPSEC-NAT dst-port=4500 protocol=udp src-address=10.0.0.102
add chain=input comment=IPSEC dst-port=500 protocol=udp src-address=10.0.0.102
add chain=input comment=IPSEC protocol=ipsec-esp src-address=10.0.0.102

Клиенту достаточно принимать пакеты в состоянии established

Скрипт взят здесь http://gregsowell.com/?p=1290. Данный скрипт проверяет IP-адрес WAN-интерфейса и меняет IP-адреса в политике IPsec, если они не совпадают с IP-адресами, указанными в политике IPsec.
У политики IPsec должен быть комментарий «dynamic ip» для работы скрипта.

:local WANip [/ip address get [find interface=»ether1″] address]
:local shortWANip ( [:pick «$WANip» 0 [:find «$WANip» «/» -1]] )
:set WANip ( $shortWANip . «/32» )

:local IPSECip [/ip ipsec policy get [find comment=»dynamic ip»] sa-src-address]

if ($shortWANip != $IPSECip) do={
/ip ipsec policy set [find comment=»dynamic ip»] sa-src-address=$shortWANip src-address=$WANip
}

Ставим скрипт на выполнение раз в две минуты

/system scheduler
add disabled=no interval=2m name=check-wan-for-ipsec on-event=ipsec-wan-addr policy=read,write

Устройство Mikrotik в качестве клиента L2TP / IPSec

В предыдущем посте мы показали маршрутизатор Mikrotik как сервер L2TP / IPSec. В этом сценарии мы используем клиенты Windows или мобильные устройства на базе операционных систем Android или Apple iOS. Вот новый сценарий — нам может потребоваться использовать другое устройство Mikrotik в качестве VPN-клиента.

Наиболее распространенный сценарий — вы хотите соединить удаленную сеть с основной сетью. Используя L2TP / IPSec VPN-соединение, вы будете иметь в то же время маршрутизируемый туннель и полную мощность шифрования IPSec.

Мы видим преимущества этой комбинации. Использование туннеля маршрутизации означает, что мы можем назначить ему IP-адрес и использовать его как любой другой сетевой интерфейс. С другой стороны, часть IPSec будет защищать наш туннель с помощью надежного шифрования. Кроме того, нам нужно использовать очень простые политики IPSec, поскольку мы используем туннель IPSec в транспортном режиме.

В моем блоге вы можете найти следующие руководства, связанные с VPN-клиентами L2TP / IPSec:

Наш сценарий

В сегодняшнем сценарии мы добавим еще два устройства в нашу виртуальную сеть.

Эти два устройства Mikrotik будут использовать тот же механизм, что и клиенты Windows, для подключения к сети. На первом этапе оба маршрутизатора Mikrotik устанавливают соединение PPPoE. На втором этапе они будут использовать эту ссылку для установления VPN-подключения к маршрутизатору Contoso.

Процедура настройки зависит от версии Mikrotik RouterOS. Поэтому мы покажем здесь настройку для одного устройства RouterOS 6.36.3 и одного устройства 5.26.

Устройства Mikrotik с RouterOS v6.х

На устройствах Mikrotik под управлением RouterOS версии 6.x вы можете установить L2TP / IPSec VPN-соединение за минуту. Все можно сделать в одном окне или с помощью единой командной строки.

Щелкните пункт меню PPP . Откроется новое окно. Вот все соединения PPP на устройстве. Нажмите кнопку [+], и вы увидите раскрывающееся меню со всеми доступными интерфейсами PPP.

Выберите из списка вариант L2TP-клиент .Откроется новое окно. Вам следует настроить все эти параметры, напечатанные синим цветом и заключенные в красную рамку.

Нам нужно ввести IP-адрес VPN-сервера и учетные данные для доступа. Также нам нужно выбрать протокол аутентификации. Настоятельно рекомендуется использовать эти протоколы, отмеченные на скриншоте.

В качестве последней части мы установим флажок рядом с меткой Use IPSec и введем предварительный общий ключ IPSec в поле с именем IPSec Secret .

Щелкните по кнопке [Применить]. Mikrotik создаст новое соединение VPN, включая часть IPSec. Через некоторое время Mikrotik обновит статус подключения.

Поздравляем! Вы только что успешно установили VPN-соединение.

Мы можем проверить параметры IPSec. Мы откроем IP> IPSec и выберем вкладку с именем Peers . У нас есть динамически определенный одноранговый узел с адресом маршрутизатора Contoso.

Выберите вкладку Политики и проверьте динамическую политику для транспортного режима.

На стороне Contoso подключен пользователь L2TP.

В то же время у нас есть активная динамическая политика IPSec.

Нет никакой разницы между устройством Mikrotik и любым другим клиентом в процессе подключения.

Устройства Mikrotik с RouterOS v5.26 и более ранними версиями

Наше второе устройство Mikrotik использует RouterOS v5.26. На всех версиях RouterOS до 5.26 мы можем установить соединение L2TP / IPSec, но нам нужно сделать еще несколько шагов.

Я открою тебе секрет. Нам нужно сделать часть IPSec вручную. Это очень похоже на этот сценарий, когда одна сторона находится за NAT. Но вы увидите.

Первый шаг такой же. Откройте меню PPP . Мы увидим окно PPP, в котором мы можем выбрать раскрывающееся меню со списком доступных интерфейсов PPP. Мы снова выберем L2TP-клиент .

Недавно открывшееся окно выглядит знакомо, так как очень похоже на окно в RouterOS v6.Разница в том, что у нас нет раздела IPSec.

Заполните все необходимые поля и нажмите кнопку [Применить]. Mikrotik создаст новый интерфейс VPN, и вскоре мы увидим обновление статуса подключения.

Еще раз поздравляю! Вы успешно создали туннель L2TP. Увы, у нас есть туннель без шифрования.

Однако шифрование для нас не проблема. Мы знали, как настроить туннель IPSec. Поэтому мы настроим его за минуту.Кроме того, не забудьте записать все необходимые параметры. Лучше всего заполнить один документ о вашей конфигурации IPSec.

Нам нужно определить IPSec peer . Самым большим изменением здесь является то, что режим работы IPSec — main l2tp .

Следующим шагом является политика IPSec. Нам тоже нужно сделать это вручную. Это вид транспорта. Следовательно, адрес источника будет таким же, как адрес источника SA.

На вкладке Action мы должны ввести те же IP-адреса, что и на вкладке General .Кроме того, нам нужно не ставить галочку в поле Tunnel .

Обратите внимание, что здесь вы будете использовать предложение Default . Вам следует проверить его настройки, так как старые и новые настройки могут отличаться. Более новые версии по умолчанию используют алгоритм аутентификации SHA1, тогда как более старые версии используют 3DES.

Перейдем на вкладку Installed SAs и увидим, что туннель установлен.

Мы еще раз проверим сторону Contoso. Наш новый роутер подключен по протоколу IPSec.

Основное отличие состоит в том, что этот туннель не ограничен только портом 1701 UDP, используемым для туннелирования L2TP. При желании вы можете указать номер порта на вкладке «Общие» клиентского маршрутизатора. Тогда наш туннель IPSec будет защищать только трафик L2TP.

Мы также можем увидеть SA для этого соединения на вкладке Установленные SA . Мы оставили настройки предложения IPSec по умолчанию на стороне клиента, а алгоритм шифрования — древний 3DES.

Несколько слов о сетевых портах

В конце статьи мы сделаем краткий анализ сетевых портов, используемых для этих сетевых подключений. Поэтому мы откроем IP> Firewall и выберем вкладку Connections .

Каждое клиентское соединение состоит из трех соединений — три соединения составляют один туннель.

Я не буду слишком углубляться в объяснение протоколов TCP / IP.Короче говоря, TCP / IP — это набор протоколов. У каждого протокола есть свой номер. Два хорошо известных протокола, TCP и IP, имеют номера 6 и 17 соответственно.

Нам нужен протокол UDP для туннеля L2TP. Это соединение будет использовать порт 1701 для связи. Кроме того, обе стороны используют один и тот же номер порта.

Затем нам понадобится протокол UDP и порт 500 для установления первой фазы IPSec. Это второй канал связи. Опять же, обе стороны используют один и тот же номер порта. В качестве альтернативы, если трафик IPSec проходит через устройство NAT, мы можем увидеть порт UDP 4500.

И третий канал связи — между устройствами, обменивающимися трафиком IPSec. В нашем случае эти устройства сами по себе являются маршрутизаторами. Не связанный с туннельным режимом IPSec, этот третий канал будет использовать один из двух конкретных протоколов.

Туннель IPSec может использовать протокол ESP (номер 50) или протокол AH (номер 51). В большинстве случаев мы будем использовать протоколы ESP, так как можем зашифровать полезную нагрузку.

На нашем снимке экрана мы видим, что канал L2TP, канал фазы I IPSec и канал ESP IPSec вместе образуют одно соединение L2TP / IPSec.

Если у вас возникла проблема с установкой L2TP / IPSec-соединения, первым шагом является повторная проверка настроек VPN, а вторым — проверка настроек Firewall . Убедитесь, что эти порты и протоколы разрешены для ввода в устройство. Если они явно не включены в правилах брандмауэра, ваш маршрутизатор заблокирует их.

У нас есть тема для другой статьи — Mikrotik Firewall.

(Редактировать 26.09.2018.) Теперь, когда вы видите, насколько легко настроить это соединение, вам следует подумать о замене старых PPTP VPN и замене их современным и более мощным туннелем L2TP / IPSec VPN.

Следите за обновлениями.

Нравится:

Нравится Загрузка …

Связанные

.

Mikrotik L2TP / IPsec VPN-сервер Пошаговая настройка с включенным Fasttrack!

В этом руководстве предполагается, что WAN-интерфейс маршрутизатора Mikrotik имеет общедоступный IP-адрес, и что ваш интернет-провайдер не блокирует порты ipsec. Разобравшись с этим, давайте начнем.

Первый шаг — создать профиль PPP на mikrotik. Мы будем использовать 192.168.102.1 для локального адреса (шлюза VPN), предполагая, что он еще не используется. Нам также нужно добавить DNS-сервер

Профиль

 / ppp добавить имя = ipsec_vpn local-address = 192.168.102.1 dns-server = 1.1.1.1 

Далее мы добавляем интерфейс сервера l2tp-server и устанавливаем разрешенные методы аутентификации, mschap1 и mschap2.

 / interface l2tp-server набор серверов включен = да default-profile = ipsec_vpn authentication = mschap1, mschap2 

Затем нам нужно определить пиринг IPSec, а также политику IPsec по умолчанию. Мы также установим секрет общего ключа в процессе.

 / ip ipsec policy set [find default = yes] src-address = 0.0.0.0 / 0 dst-address = 0.0.0.0 / 0 протокол = все предложения = шаблон по умолчанию = да 

Для Router OS 6.39 и ниже используйте

 / ipsec peer add address = 0.0.0.0 / 0 port = 500 auth-method = pre-shared-key secret = " STRONG_SECRET_HERE " exchange-mode = main-l2tp send-initial-contact = no generate-policy = переопределение порта 

Для Router OS 6.44 и выше используйте:

  / ip ipsec peer добавить exchange-mode = main passive = yes name = l2tpserver  
  / ip ipsec identity add generate-policy = port-override auth-method = pre-shared-key secret = " STRONG_SECRET_HERE " peer = l2tpserver  
 

Далее мы устанавливаем алгоритмы шифрования по умолчанию

Предложение

 / ipsec установить по умолчанию auth-алгоритмы = sha1 enc-алгоритмы = 3des pfs-group = modp1024 

Теперь мы добавляем пользователя и назначаем IP-адрес

 / ppp secret add name = " USERNAME " password = " STRONG PASSWORD " service = l2tp profile = ipsec_vpn remote-address = 192.168.102.2 

Наконец, нам нужно открыть порты IPSec из WAN

  / ip firewall filter add chain = input action = accept protocol = udp port = 1701,500,4500  
  / ip firewall filter add chain = input action = accept protocol = ipsec-esp  

Обратите внимание, что эти два правила необходимо добавить в верхнюю часть списка перед любыми другими правилами, чтобы разрешить соединения через интерфейс WAN. Либо используйте команду «переместить» через интерфейс командной строки, чтобы переместить их в начало списка, либо используйте графический интерфейс.Окончательный результат должен выглядеть примерно так:

.

MikroTik L2TP / IPsec Конфигурация VPN (подключение удаленного клиента)

VPN ( V irtual P rivate N etwork) — это технология, которая обеспечивает безопасный и зашифрованный туннель через общедоступную сеть с использованием этого VPN-туннеля Пользователь частной сети может отправлять и получать данные в любую удаленную частную сеть, как если бы его / ее сетевое устройство было напрямую подключено к этой частной сети.

L2TP-сервер MikroTik — один из самых популярных VPN-сервисов.Он обеспечивает безопасный и зашифрованный туннель через общедоступную сеть для передачи IP-трафика с использованием PPP. L2TP / IPsec более безопасен, чем VPN-сервер MikroTik PPTP. MikroTik L2TP Server можно использовать двумя способами.

• Подключение удаленной рабочей станции / клиента: В этом методе операционная система, поддерживаемая L2TP-клиентом, такая как Windows, может связываться с L2TP-сервером MikroTik через L2TP-туннель, когда это необходимо, и может получить доступ к удаленной частной сети, как если бы она была напрямую подключена к удаленному частная сеть.
• Site-to-Site L2TP: Этот метод также известен как VPN между маршрутизаторами. В этом методе поддерживаемый клиентом L2TP маршрутизатор всегда устанавливает туннель L2TP с сервером L2TP MikroTik. Таким образом, частные сети этих маршрутизаторов могут взаимодействовать друг с другом, как если бы они были напрямую подключены к одному и тому же маршрутизатору.

Целью данной статьи является подключение удаленной клиентской операционной системы с помощью туннеля L2TP через общедоступную сеть. Итак, в этой статье я покажу только, как настроить L2TP / IPsec VPN-сервер в MikroTik Router для подключения удаленной рабочей станции / клиента.

Сетевая диаграмма

Чтобы настроить L2TP-туннель для подключения удаленной рабочей станции / клиента в MikroTik Router, я следую сети, как показано на диаграмме ниже.

Сеть L2TP / IPsec для удаленного клиента

В этой сети MikroTik Router подключен к Интернету через интерфейс ether1 с IP-адресом 192.168.30.2/30. В вашей реальной сети этот IP-адрес следует заменить публичным IP-адресом. Интерфейс ether2 MikroTik Router подключен к локальной сети с IP-сетью 10.10.11.0 / 24. Мы настроим сервер L2TP / IPsec в этом маршрутизаторе, и после настройки L2TP маршрутизатор создаст виртуальный интерфейс (туннель L2TP) в общедоступной сети, IP-адрес которого будет 10.10.11.1. С другой стороны, удаленный ноутбук (рабочая станция / клиент) подключен к Интернету и хочет подключиться к нашему серверу L2TP / IPsec для доступа к ресурсам локальной сети. Мы настроим клиент L2TP / IPsec на этом ноутбуке, и после создания туннеля L2TP в общедоступной сети этот ноутбук получит локальный IP 10 маршрутизатора MikroTik.10.11.10 и получит доступ к частной сети MikroTik Router.

MikroTik L2TP / IPsec Конфигурация VPN

MikroTik L2TP можно использовать так же, как и любой другой протокол туннелирования, но стандарт L2TP говорит, что наиболее безопасным способом шифрования данных является использование L2TP поверх IPsec. Поэтому, если ваш маршрутизатор поддерживает, лучше использовать L2TP-сервер через IPsec. L2TP / IPsec требует дополнительной настройки как на сервере L2TP, так и на клиенте L2TP. Полную настройку L2TP / IPsec VPN можно разделить на четыре этапа.

• Базовая конфигурация MikroTik Router
• Включение L2TP-сервера
• Создание секретов PPP для L2TP-сервера
• Включение proxy-arp на интерфейсе LAN

Шаг 1. Базовая конфигурация MikroTik Router

На первом этапе мы назначим WAN , LAN и DNS IP и выполните настройку NAT и маршрута. Следующие шаги покажут, как сделать эти темы в вашей RouterOS.

• Войдите в MikroTik RouterOS с помощью winbox и перейдите в IP> Адреса.В окне списка адресов нажмите ЗНАК ПЛЮС (+). В окне «Новый адрес» введите IP-адрес WAN (192.168.30.2/30) в поле ввода адреса, выберите «Интерфейс WAN (ether1)» в раскрывающемся меню «Интерфейс» и нажмите кнопку «Применить» и «ОК». Снова нажмите «PLUS SIGN» и введите IP-адрес LAN (10.10.11.1/24) в поле ввода адреса, выберите «Интерфейс LAN (ether2)» в раскрывающемся меню «Интерфейс» и нажмите кнопку «Применить» и «ОК».
• Перейдите в IP> DNS и введите IP-адрес DNS-серверов (8.8.8.8 или 8.8.4.4) в поле ввода «Серверы» и нажмите кнопку «Применить» и «ОК».
• Перейдите в IP> Брандмауэр и щелкните вкладку NAT, а затем щелкните ЗНАК ПЛЮС (+). На вкладке «Общие» выберите srcnat из раскрывающегося меню «Цепочка», щелкните вкладку «Действие» и затем выберите masquerade из раскрывающегося меню «Действие». Нажмите кнопку Применить и ОК.
• Перейдите в IP> Маршруты и нажмите ЗНАК ПЛЮС (+). В окне «Новый маршрут» щелкните поле ввода шлюза и введите адрес шлюза WAN (192.168.30.1) в поле ввода шлюза и нажмите кнопку «Применить» и «ОК».

Базовая настройка RouterOS завершена. Пришло время включить L2TP-сервер в нашем маршрутизаторе MikroTik.

Шаг 2: Включение L2TP-сервера

Теперь мы включим L2TP-сервер в нашем Mik

.