Проброс l2tp портов: Как сделать проброс портов l2tp+ipsec через mikrotik? — Хабр Q&A

Содержание

Проброс портов в Микротике — ликбез для начинающих / Хабр

Находя в сети различные инструкции по работе с Mikrotik RouterOS, я обратил внимание, что большинство из них малоинформативны — в лучшем случае они представлены в виде скриншотов Winbox со скудными комментариями, в худшем — просто груда строк для командной строки, из которых что-либо понять вообще нет никакой возможности.
Поэтому я решил написать небольшой набор инструкций, в которых буду объяснять, не только ЧТО нужно выполнить, но и ЗАЧЕМ и ПОЧЕМУ.

Итак, начнём с самого простого и, в тоже время, нужного — проброс порта из внутренней сети «наружу».

Любую сеть можно схематично представить вот в таком виде:

Посмотрим немного подробнее, на примере роутера Mikrotik RB951-2n. У него 5 портов, плюс модуль WiFi.
Подключаемся через web-интерфейс или Winbox’ом к роутеру(по умолчанию логин admin, без пароля), заходим в список интерфейсов, это второй пункт в меню, Interfaces.

Тут мы видим все интерфейсы, доступные нашему роутеру(интерфейс — это, грубо говоря, канал связи роутера с другим компьютером/компьютерами)

Первым идёт bridge-local — «локальный мост». В данном случае он служит для установки моста между локальной сетью и беспроводными подключениями по WiFi (В Микротике для соединения вместе нескольких интерфейсов можно или объединить их в свитч, или соединить мостом(бриджем). У каждого из этих двух вариантов есть свои сильные и слабые стороны. Но это тема для отдельной статьи).

Далее, ether1-gateway. Ether1 — это первый RJ45 разъём на лицевой панели роутера. По умолчанию считается, что в него воткнут кабель с интернетом, приходящий от провайдера. Поэтому он называется Gateway — «Ворота» (В принципе, это не обязательно должен быть первый порт, при желании можно назначить gateway’ем любой другой порт, и даже несколько портов одновременно, при наличии подключений от нескольких провайдеров).
Затем идут 4 порта локальной сети. Они объединены в свитч, начиная со второго RJ45 разъёма, он называется ether2-master-local, остальные 3 — неполиткорректно называются
slave-local
. Тут логика простая: в параметрах портов 3, 4 и 5 прописано, что главным у них является порт №2 — соответственно, все четыре порта автоматически объединяются в виртуальный свитч. А этот виртуальный свитч внутренней сети объединен с беспроводной сетью посредством бриджа из первой строки.

Между внешним интернетом и внутренней сетью находится NAT — Network Address Translation, дословно «Трансляция сетевых адресов». Механизм, позволяющий компьютерам, находящимся в локальной сети, иметь внутренние адреса своей сети, и при этом нормально общаться со всеми другими компьютерами и серверами в интернете (при этом для внешнего сервера все компьютеры внутри сети представляются одним адресом — внешним адресом роутера). Вкратце, это работает таким образом: при обращении из внутренней сети куда-нибудь в интернет, роутер подменяет внутренний адрес компьютера своим адресом, принимает ответ от сервера в интернете, и переадресовывает на локальный адрес компьютера, сделавшего исходный запрос. Это называется Masquerade — «Маскарад»: данные от машины в локальной сети как-бы «надевают маску» и для внешнего сервера это выглядит так, будто они исходят от самого роутера. Точно так же, при подключении из внешней сети, нам нужно где-то задать правило, какой именно компьютер в локальной сети должен отвечать на попытки подключиться к какому-то порту на роутере. Поясню на примере:

Мы хотим, чтобы при подключении к нашей сети в лице роутера на порты 110 и 51413 — подключение переадресовывалось на компьютер PC1, а при подключении к порту 3189 — на машину PC2.
Для этого и нужен NAT.
В Микротике управление NAT’ом находится в разделе IP->Firewall->NAT:

Тут мы видим, что одно правило уже есть. Оно автоматически создаётся конфигурацией по-умолчанию — это тот самый «Маскарад», он необходим для того, чтобы компьютеры во внутренней сети могли нормально обращаться к серверам в интернете.

Нам же нужно ровно наоборот — добавить правило для подключения извне к одной из машин в локальной сети. Например, для эффективной работы торрент-клиента мы хотим сделать доступным порт 51413 на машине с именем nas.
Нажимаем синий плюсик

В появившемся окне нового правила нам нужно всего несколько опций

Первое — это Chain (Цепочка). Тут может быть всего два варианта — srcnat и dstnat. Цепочка — это, грубо говоря, направление потока данных. Srcnat — из внутренней сети во внешнюю, dstnat — соответственно, из внешней во внутреннюю. Как легко догадаться, в нашем случае требуется выбрать dstnat.
Далее идут Src. Address

(исходный адрес) и Dst. Address (адрес назначения). Для подключения извне исходный адрес будет адресом одного из миллиардов компьютеров в интернете, а адрес назначения — всегда внешний адрес роутера. Эти пункты ставить смысла нет.
Потом пункт Protocol (протокол). Здесь значение надо выбрать обязательно, иначе мы не сможем указать номер порта. Для торрентов выбираем тут tcp.
Src. Port (исходящий порт) — это тот порт, из которого удалённая машина инициирует соединение с нашим роутером. Нам это абсолютно без разницы, тут ничего не ставим.
Dst. Port (порт назначения) — а это как раз тот порт, на который мы хотим принимать соединение. В моём торрент-клиенте это 51413.
Затем идёт забавный пункт Any. Port (любой порт) — так и есть, это объединение двух предыдущих пунктов, тут можно указать значение, которое будет работать и как исходный порт, так и как порт назначения. В целом, нам это не требуется.
Теперь очень важный момент:
In. interface (входящий интерфейс) — это, грубо говоря, тот интерфейс, на котором «слушается» указанный порт. Если не указан это параметр, то этот порт перестанет так же быть доступен из внутренней сети, даже несмотря на то, что цепочка у нас dstnat. Поэтому, выбираем тут интерфейс, через который мы подключены к интернету, в нашем случае — ether1-gateway.
Out. interface (исходящий интерфейс) — интерфейс, к которому подключена та машина, на которую мы делаем переадресацию. Тут что-либо ставить не имеет смысла.
Далее идут узкоспециализированные параметры, я сейчас не буду на них останавливаться.
В итоге, получается вот такая картина:

Вкладки Advanced (Продвинутый) и Extra (Дополнительный) содержат различные параметры тонкой настройки, нам они без надобности, идём сразу в

Action (Действие)

Тут из списка Action нужно выбрать конкретное действие, которое следует выполнить с подключением на указанный ранее порт. Выбрать есть из чего:
accept — Просто принимает пакет;
add-dst-to-address-list — Добавляет адрес назначения в указанный список адресов;
add-src-to-address-list — Аналогично предыдущему, но для исходного адреса;
dst-nat — Переадресовывает данные, пришедшие из внешней сети, во внутреннюю;
jump — Позволяет применить для данных правила из другой цепочки. Например, для цепочки srcnat — применить правила цепочки dstnat;
log — Просто добавляет информацию о пакете в лог роутера;
masquerade — Тот самый «Маскарад»: подмена внутреннего адреса машины из локальной сети на адрес роутера;
netmap — Отображение одного адреса на другой. Фактически, развитие dst-nat;

passthrough — Пропуск текущего пункта правил и переход к следующему. Используется в основном для статистики;
redirect — Перенаправляет данные на другой порт в пределах роутера;
return — Возвращает управление обратно, если в эту цепочку выполнялся прыжок правилом jump;
same — применяется в очень редких случаях, когда нужно применять одни и те-же правила для группы адресов;
src-nat — Обратная dst-nat операция: перенаправление данных из внутренней сети во внешнюю.
Для наших целей подходит dst-nat и netmap. Последнее является более новым и улучшенным вариантом первого, логично использовать его:

В поле To Addresses нужно указать адрес машины, на которую мы хотим переадресовать порт, в поле To Ports — соответственно, сам порт.
Чтобы не заморачиваться, вместо адреса пишу имя комьютера, и указываю порт:

И нажимаю кнопку Apply, роутер сам находит адрес машины:

Напоследок имеет смысл нажать Comment и указать комментарий для правила, чтобы в дальнейшем не приходилось вспоминать, что это за правило и зачем

Всё, нажимаем в окошке ввода комментария и ОК в окне ввода правила:

Правило создано, всё работает.

Обратите внимание — дополнительно «открывать» порт не требуется!

Инструкция актуальна для версий прошивки 5 и 6. До версии 7 вряд-ли что-либо изменится.

Проброс портов на роутерах Asus, D-Link, TP-Link, Zyxel

 Проброс портов — это технология, которая позволяет обращаться из Интернет к компьютеру во внутренней сети за маршрутизатором/ роутером, использующим NAT (NAPT). Доступ осуществляется при помощи перенаправления трафика определенных портов с внешнего адреса маршрутизатора на адрес выбранного компьютера/ сетевого устройства в локальной сети. Такое перенаправление нужно если вы, к примеру, хотите организовать

доступа к IP камере через Интернет или такое перенаправление иногда требуется для многопользовательских игр.

Проброс портов на роутерах D-link.

 Подключитесь к веб интерфейсу роутера D-Link и нажмите клавишу «Расширенные настройки».

Выберите «Виртуальные серверы» в разделе «Межсетевой экран».

В открывшемся окне нажмите «Добавить».

В открывшемся окне задайте необходимые параметры виртуального сервера. И нажмите кнопку «Изменить».

Шаблон — В  раскрывающемся  списке  выберите  один  из  шести приведенных  шаблонов  виртуальных  серверов  или  выберите значение  Custom  (пользовательский),  чтобы  самостоятельно определить параметры виртуального сервера.
Имя — Название  виртуального  сервера  для  удобной  идентификации. Может быть произвольным.

Интерфейс — Соединение,  к  которому  будет  привязан  создаваемый виртуальный сервер.
Протокол — Протокол,  который  будет  использовать  создаваемый виртуальный  сервер.  Выберите  необходимое  значение  из раскрывающегося списка.
Внешний порт (начальный)/ Внешний порт (конечный) — Порт  маршрутизатора,  трафик  с  которого  будет переадресовываться  на  IP-адрес,  определяемый  в  поле Внутренний  IP.  Задайте  начальное  и  конечное  значения диапазона портов. Если необходимо указать только один порт, задайте  его  в  поле  Внешний  порт  (начальный) и  не заполняйте поле Внешний порт (конечный).
Внутренний порт (начальный)/ Внутренний порт (конечный) — Порт IP-адреса, задаваемого в поле Внутренний IP, на который будет  переадресовываться  трафик  с  порта  маршрутизатора, задаваемого  в  поле  Внешний  порт.  Задайте  начальное  и конечное значения диапазона портов. Если необходимо указать только  один  порт,  задайте  его  в  поле  Внутренний  порт (начальный) и  не  заполняйте  поле Внутренний  порт (конечный).
Внутренний IP — IP-адрес сервера, находящегося в локальной сети.  Вы можете выбрать  устройство,  подключенное  к  локальной  сети маршрутизатора в данный момент. Для этого в раскрывающемся списке  выберите  соответствующий  IP-адрес  (при  этом  поле заполнится автоматически).
Удаленный IP — IP-адрес сервера, находящегося во внешней сети (в большинстве случаев данное поле необходимо оставить пустым).

Чтобы задать другие параметры для существующего сервера,  выделите соответствующий сервер в таблице. На открывшейся странице измените необходимые параметры и нажмите кнопку «Изменить».

Чтобы  сохранить существующее правило, нажмите на кнопку «Система» и затем «Сохранить».

Проброс портов на роутерах TP-link.

Зайдите на веб интерфейс роутера TP-Link. Перейдите в меню «Переадресация» — «Виртуальные серверы». Нажмите кнопку «Добавить новую».

Заполните поля:
Порт сервиса — Сетевой порт, по которому пользователи будут заходить на ваш сервис.
Внутренний порт — Внутренний порт, по которому доступен ваш сервис (внутри вашей локальной сети).
Примечание: Порт сервиса и Внутренний порт могут быть разными.
IP-адрес — Локальный IP-адрес вашего сервиса, выданный маршрутизатором.

Сохраните настройку, нажав кнопку «Сохранить».

Проброс портов на роутерах ASUS.

Зайдите на веб интерфейс роутера Asus, выберите в меню «Интернет» — вкладка «Переадресация портов», в самом низу страницы заполните поля.

Имя службы— произвольное имя службы.

Диапазон портов— укажите порты с которых роутер будет перенаправлять входящие соединения, например диапазон портов 1000:1050 или отдельные порты 1000, 1010 или смешанный 1000:1050, 1100.

Локальный адрес— адрес на который будет переадресовывать роутер.

Локальный порт— номер порта на машине с IP <Local IP> на который роутер будет перенаправлять соединения;

Протокол— соединения какого типа следует отлавливать роутеру.

После указания всех настроек нажмите «Плюс», что бы добавить правило, после этого сохраните настройки и нажмите кнопку «Применить».

Проброс портов на роутерах Zyxel.

Зайдите на веб интерфейс роутера Zyxel. Зайдите в меню «Безопасность» — «Трансляция сетевых адресов (NAT)». Нажмите «Добавить правило».
В новом диалоговом окне заполните следующие пункты.

Внимание! Необходимо правильно указать значение поля Интерфейс. В зависимости от того, использует ли ваш провайдер авторизацию (PPPoE, L2TP или PPTP), значение этого поля может быть различным. Если авторизация у провайдера не используется, следует всегда выбирать интерфейс Broadband connection (ISP). Если провайдер использует PPPoE для доступа в Интернет, то следует выбирать соответствующий интерфейс PPPoE.
Если вам предоставляется одновременный доступ в локальную сеть провайдера и Интернет (Link Duo), для проброса порта из локальной сети нужно выбирать интерфейс Broadband connection (ISP), а для проброса порта из Интернета — интерфейс туннеля (PPPoE, PPTP или L2TP).

Пакеты на адрес – данное поле активно, когда не выбран никакой интерфейс. Вы можете указать внешний IP-адрес интернет-центра, на который будут приходить пакеты. В подавляющем большинстве случаев данный пункт вам не пригодится.


В поле Протокол можно указать протокол из списка предустановленных, который будет использован при пробросе порта (в нашем примере используется TCP/21 – Передача файлов (FTP)). При выборе в поле Протокол значения TCP или UDP вы можете в полях Порты TCP/UDP указать номер порта или диапазон портов.

В поле Перенаправить на адрес укажите IP-адрес устройства в локальной сети, на который осуществляется проброс порта (в нашем примере это 192.168.1.33).

Новый номер порта назначения – используется для «подмены порта» (для маппинга порта, например с 2121 на 21). Позволяет транслировать обращения на другой порт. Обычно не используется.

После заполнения нужных полей нажмите кнопку Сохранить.
В данном случае, указаны правила для перенаправления порта 4000 по TCP и UDP протоколу.

В результате, в настройках «Безопасность» должно появиться окно с правилами переадресации для tcp/4000 и udp/4000.

Я очень надеюсь, моя статья помогла Вам! Просьба поделиться ссылкой с друзьями:


Как пробросить порты для RDP через внешний сервер L2TP/IPsec VPN или напрямую? — Хабр Q&A

Добрый день товарищи, прошу помощи.

На данный момент есть следующая конфигурация микротика:

spoiler
# aug/28/2019 19:04:05 by RouterOS 6.43.13
#
# model = RB4011iGS+

/interface l2tp-client
add add-default-route=yes connect-to=XX.XX.XX.XX disabled=no ipsec-secret=XXXXXXXXXX name=l2tp-vpn password=XXXXXXX use-ipsec=yes user=XXXX

/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=192.168.1.0
add address=1.1.1.10/24 interface=wan1 network=1.1.1.0

/ip firewall filter
add action=drop chain=forward comment="Deny access to internet without VPN" out-interface=wan1 src-address=192.168.1.0/24
add action=accept chain=forward comment="Allow access to internet over VPN" out-interface=l2tp-vpn src-address=192.168.1.0/24
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="Send packets through VPN to internet" out-interface=l2tp-vpn

/ip route
add distance=2 gateway=194.183.171.1

Сеть выглядит следующим образом:
Интернет со статическим (белым) айпи адресом от провайдера: 1.1.1.10 (шлюз 1.1.1.1)
IP-адрес микротика: 192.168.1.1;
Локальная сеть: 192.168.1.0/24;
Поднят L2TP/IPsec-VPN, микротик подключается как клиент и получает адрес: 192.168.12.10, шлюз 192.168.12.1;
В настройках VPN указано Add Default Route.

Настроено таким образом, что пользователи из локальной сети выходят в интернет только через VPN. Если VPN-соединение по какой-то причине разорвалось, то пользователи не выходят в интернет вообще никак. За эту реализацию отвечают следующие правила:

add action=drop chain=forward comment="Deny access to internet without VPN" out-interface=wan1 src-address=192.168.1.0/24
add action=accept chain=forward comment="Allow access to internet over VPN" out-interface=l2tp-vpn src-address=192.168.1.0/24

add action=masquerade chain=srcnat comment="Send packets through VPN to internet" out-interface=l2tp-vpn

Есть необходимость пробросить порты для доступа извне к нескольким ПК из локальной сети для подключения по RDP. Бился 4 часа, ничего не получается, в сетях слаб, простите.

Сначала хотел сделать таким образом, чтобы все пользователи из локальной сети выходили в интернет ТОЛЬКО через VPN, но при этом была возможность подключится по RDP через статический адрес провайдера (1.1.1.10). Не получилось, не знаю возможно ли вообще так сделать в такой ситуации. Пошёл другим путём.

Решил пробросить трафик с сервера где установлен VPN до компьютеров из локальной сети. То есть, указав статический IP-адрес сервера VPN в настройках подключения — попасть по RDP на машину. Не получилось.

Хотелось бы конечно пробросить напрямую через IP от провайдера, но ума не приложу, как организовать правила фаервола/nat’a/mangle.

Если подключаться через сервер VPN, то путь пакета выглядит следующим образом:

| внешний ip сервера vpn (интерфейс ens16, 2.2.2.2) | —> | шлюз l2tp (ppp0, 192.168.12.1) | —> | ip микротика от vpn (192.168.12.10) | —> и тут дальше либо через сам микротик (192.168.1.1), либо напрямую к машине с RDP (192.168.1.43).

Также, на VPN-сервере попробовал добавить маршрут, чтобы видеть напрямую машины из локальной сети:

ip route add 192.168.1.0/24 via 192.168.12.1 dev ppp0

и ещё какое-то правило настройках NAT на микротике для маскарадинга icmp (для теста) — пинги пошли, пробовал пробросить порты различным/подобным образом — не получилось.

Как юный специалист очень прошу у Вас помощи, какие всё-таки правила необходимо указать и как организовать?

Как открыть порт на Keenetic — проброс портов

За последнее время мне неоднократно приходили просьбы от читателей показать как открыть порт на роутере Keenetic. Учитывая, что на всех моделях используется полностью идентичный софт, то инструкция будет одинаково актуальна для моделей Keenetic Start, Lite, Omni, Viva, Giga, Extra и т.п. Хочу отметить, что проброс портов на Кинетике с прошивкой 3.X несколько отличается от того, как это было реализовано на прошивках 2.Х, когда ещё производством этих девайсов занималась компания Zyxel под своим брендом. Это одна из первых сложностей, с которыми сталкиваются пользователи, ведь большинство инструкций в Интернете написаны именно для старой версии программного обеспечения.

Что такое проброс портов и зачем это нужно?!

На WiFi-роутерах Keenetic, как собственно и на большинстве подобных современных устройств, изначально политикой безопасности запрещены все входящие подключения из внешней сети. То есть устройства в локальной сети недоступны из Интернета напрямую. Всеми их подключениями управляет специальный механизм — NAT. Так же, на Кинетиках по умолчанию активирована служба UPnP, благодаря которой любая программа на подключенном к маршрутизатору компьютере, может сама открыть себе порт через NAT благодаря автоматическому созданию правил. Но не во всех случаях UPnP подходит. Например, когда нужно сделать доступным из Интернета видеорегистратор, камеру наблюдения или игровую приставку.

В этом случае нужно открыть порт на Keentic вручную, через веб-интерфейс или консоль WiFi-маршрутизатора. Сам процесс прописывания порта в правилах NAT роутера и называется Проброс портов. После этого, зная внешний IP и номер открытого порта можно получить прямой доступ к устройству в локальной сети, «спрятанному» за роутером.

Открываем порт на Кинетике

Начинаем с того, что заходим в веб-интерфейс роутера, используя IP-адрес 192.168.1.1 или хостнейм my.keenetic.net. Имя пользователя по умолчанию — admin. Пароль для входа на Кинетике по умолчанию задаётся при первоначальной настройке устройства. Если Вы его не знаете, то читаем вот эту инструкцию.

После этого, как Вы зашли в веб-интерфейс роутера, в главном меню слева откройте раздел «Сетевые правила» -> «Переадресация».

Откроется страничка «Переадресация портов». Здесь изначально нет ни одного правила для проброса портов. Если какая-то программа использует UPnP, то эти правила отображаются в нижней части окна.

Чтобы открыть порт на Keenetic — нажмите кнопку «Добавить правило».

Откроется окно создания правил переадресации портов на роутере. Ставим галочку «Включить правило» и заполняем поля в форме ниже:

  • В поле «Описание» надо прописать название правила. Например, мы делаем проброс порта для торрента — пишем название torrent.
  • В списке «Вход» надо выбрать внешние подключение к Интернет. У меня PPPoE-соединение — я его и указываю. Если у Вас тип подключения Динамический IP — выбираем «IPoE».
  • В списке «Выход» будут отображены все зарегистрированные в локальной сети устройства. Можно выбрать из списка то устройство, для которого надо на Кинетике открыть порт, либо поставить значение «Другое устройство» и в поле ниже прописать его IP-адрес в локальной сети.
  • Следующим шагом указывается протокол. Обычно это TCP или UDP.
  • Тип правила выбираем или «Одиночный порт» если делаем проброс для одного порта, либо «Диапазон портов», если надо открыть подряд сразу несколько портов на роутере.
  • В поле «Порт назначения» надо указать номер нужного порта.

Остаётся только проверить чтобы в расписании стояло значение «Работает постоянно» и нажать на кнопку «Сохранить».  Результатом будет строчка созданного правила переадресации:

Хочу отметить тот момент, что при создании правила одновременно указать два протокола — например, TCP и UDP — нельзя. Надо делать проброс по очереди для каждого из них.

Внимание! После того, как вам удалось открыть порт на Keenetiс и Вы начинаете проверять его доступность из вне, не забывайте учитывать следующие условия. Устройство, для которого создано правило, должно быть включено в момент проверки. Если у него есть свой брандмауэр (firewall), то у него так же должно быть создано разрешающее правило, иначе при проверке будет всё равно показывать, что порт закрыт.

Пошаговая инструкция по объединению сетей разных провайдеров с помощью L2TP и L2TP/IPSec на оборудовании Mikrotik

 

В эпоху тотальной информатизации всех бизнес-процессов, всё более остро постаёт вопрос объединения удалённых офисов и филиалов между собой в единую информационную сеть. Довольно часто немаловажную роль играет возможность предоставления удаленного доступа для сотрудников из дома, либо любой точки земного шара, где есть доступ в Интернет.

Объединение сетей мы будем рассматривать на примере оборудования компании Mikrotik. В качестве тестового сервера используется маршрутизатор RB2011UiAS-RM, который является отличным выбором для небольших офисов и компаний, ограниченных в бюджете. В качестве конечного клиента используется одно из самых доступных решений – Mikrotik hAP lite (RB941-2n).

Благодаря своей невысокой, hAP lite можно с легкостью применять в домашних условиях, для подключения сотрудников, работающих удалённо. Хороший показатель производительности позволяет использовать этого «малыша» даже в малых офисах, где нет высоких требований.

Бывают ситуации, когда офис и филиалы находятся в локальной сети одного и того же провайдера, что существенно упрощает процесс объединения сетей. Тем не менее, чаще всего филиалы территориально разграничены и могут находиться на большом удалении друг от друга.

Одной из самых популярных технологий для таких целей можно считать VPN – Virtual Private Network. Для реализации VPN, можно прибегнуть к нескольким вариантам: PPTP, L2TP, OpenVPN, SSTP и т.д. PPTP морально устарел, а OpenVPN и SSTP поддерживаются далеко не на всех устройствах.

По этим причинам, а также благодаря простоте настройки и доступности на устройствах, работающих под управлением разных ОС, протокол L2TP (Layer 2 Tunnel Protocol) является одним из самых популярных протоколов туннелирования. Проблемы могут возникать в случае нахождения клиента за NAT, когда Firewall блокирует пакеты. Однако даже в этом случае есть решения по обходу блокировки. Один из недостатков L2TP – безопасность, которая решается применением IPSec. Второй и, пожалуй, самый значимый недостаток – производительность. При использовании IPSec происходит двойная инкапсуляция, что снижает производительность – это именно та цена, которую придется заплатить за безопасность передаваемых данных.

Тестовый стенд

Для лучшего понимания настроек, ниже приведена иллюстрация, которая показывает структуру сети.


В качестве интернет-провайдера выступает маршрутизатор RB951Ui-2HnD, который выдает устройствам IP в подсети 192.168.106.0/24. В реальности же у вас будут другие IP-адреса на WAN-интерфейсах.

Настройка сервера

Итак, на главном сервер должен быть статический белый внешний IP-адрес, в качестве примера у нас это 192.168.106.246. Наличие статики важно т.к. адрес не должен меняться, в противном случае придётся прибегать к лишним действиям и использовать DNS-имя.


Создание профилей

Заходим в раздел PPP, открываем вкладку Profiles, здесь необходимо создать профиль, который будет применяться к VPN-подключениям. Отметьте опции Change TCP MSS, Use Compression, Use Encryption. По-умолчанию, будет использоваться шифрования MPPE 128 bit.



Переходим на вкладку Interface. Нажимаем L2TP Server, в появившемся окошке ставим галочку Enabled и выбираем профиль по-умолчанию, который мы создали ранее. Тип аутентификации, по желанию – оставить как есть, либо выбрать только MS-CHAP v2.

Опцию IPsec оставляем отключенной.


Переходим в Secrets, здесь необходимо создать нового пользователя VPN. В качестве Service указываем L2TP, тут же можно указать используемый профиль.


Локальный адрес указываем 10.50.0.10, удаленный – 10.50.0.11. При необходимости создаём нужно количество пользователей. Для каждого пользователя локальный IP будет одинаковым, удалённый IP увеличиваем на единицу (т.е. 10.50.0.12, 10.50.0.13 и т.д.). Можно конечно прибегнуть к использованию пула адресов, но со статикой вам проще будет писать маршруты.


Создание интерфейса

Для каждого пользователя создаём свой интерфейс. Открываем раздел интерфейсов и нажимаем плюс, в выпадающем меню выбираем L2TP Server Binding, указываем отображаемое название и имя пользователя. При подключении пользователя здесь будет отображаться вся информация.



Настройки файрволла



Для работы VPN необходимо открыть UDP-порт 1701 (chain input, protocol 17(udp), dst-port 1701, accept). После чего необходимо поднять приоритет правила, перемещаем его выше.



Далее заходим в NAT и добавляем маскарадинг для VPN (chain srcnat, out interface all ppp, action masquerade), это необходимо делать для того, чтобы компьютеры за роутером видели друг друга.




Добавление маршрутов

Прописываем маршрут в удалённую подсеть. Конечная подсеть 192.168.2.0/24, в качестве шлюза выступает IP клиента внутри виртуальной сети, в нашем случае это 10.50.0.11, target scope выставляем единицу, Pref. Source – локальный IP сервера внутри виртуальной сети, 10.50.0.10.


На этом настройка сервера завершена, приступаем к настройке клиентского подключения на втором устройстве.

Настройка клиента


Открываем раздел интерфейсов и добавляем новый L2TP Client, указываем IP-адрес сервера и свои учётные данные, по-умолчанию выбираем профиль с шифрованием и снимаем галочку с дефолтного маршрута.




Применяем, если всё сделано правильно – соединение должно быть установлено.


Пробуем пинговать 192.168.1.1… и он, конечно же, отвечать не будет. Добавляем новый статический маршрут – удаленная подсеть 192.168.1.0/24, в качестве шлюза IP сервера в виртуальной сети, Pref. Source – наш IP в виртуальной сети. Т.е. на клиенте все адреса проставляются наоборот.



Пробуем повторно выполнить ping 192.168.1.1 – есть.


Но компьютеры за роутером ещё не видят удалённую сеть.


Создаем для них маскарадинг, аналогичный тому, что создан на сервере. В качестве выходного интерфейса указываем наше VPN-подключение.

Поможем тем, к

Настройка VPN маршрутизатора TP-Link TL-ER6020 для работы с 3CX Phone System

Беспроводные маршрутизаторы компании TP-Link получили заслуженное признание, особенно у домашних пользователей и небольших компаний. Однако TP-Link производит также линейку мощных и довольно функциональных маршрутизаторов и точек доступа уровня предприятия. В частности, маршрутизатор бизнес класса TL-ER6020 при весьма доступной цене обладает рядом интересных возможностей:
  • 2 гигабитных порта WAN с возможностью резервного переключения, 2 гигабитных порта LAN, 1 гигабитный порт LAN/DMZ и 1 консольный порт
  • Поддержка нескольких протоколов VPN, включая серверы IPsec/PPTP/L2TP
  • Поддержка до 50 IPsec VPN туннелей с помощью аппаратного VPN обработчика
  • Расширенные функции защиты, включающие в себя инспекцию ARP-пакетов, защиту от DoS-атак, фильтрацию по URL и ключевому слову доменного имени, и контроль доступа

Подробное описание возможностей и настройки TL-ER6020 доступно здесь. В данной статье мы ограничимся описанием настройки маршрутизатора TP-Link TL-ER6020 для работы с 3CX Phone System.

Схема сети предусматривает расположение сервера 3CX на NAT маршрутизатора в сети 192.168.0.0 / 24. IP адрес маршрутизатора 192.168.0.1, а IP адрес сервера 3CX 192.168.0.2

Подготовка маршрутизатора


Прежде всего необходимо обновить прошивку TL-ER6020, поскольку, как оказалось, даже самая последняя прошивка с официального сайта TP-Link имеет ошибку, которая не позволяет отключать SIP ALG. Отключение SIP ALG критически необходимо для корректной работы различных SIP операторов с 3CX.
  1. Зайдите в интерфейс маршрутизатора по адресу 192.168.0.1 (адрес по умолчанию) с именем пользователя и паролем admin / admin
  2. Загрузите прошивку и обновите маршрутизатор
  3. После обновления рекомендуется сбросить устройство в настройки по умолчанию

Настройка маршрутизатора


Настройка маршрутизатора состоит из трех этапов:
  1. Подключение хотя бы одного WAN порта к сети Интернет
  2. Отключение сервиса SIP ALG
  3. Публикация сервисов (проброс портов) через NAT, необходимых для полноценной работы 3CX Phone System
  4. Дополнительная настройка сетевого экрана для повышения безопасности
  5. Тестирование правильности настройки TL-ER6020 входящим и исходящим SIP вызовом

Подключение маршрутизатора к Интернет


Подключение одного (или обоих) WAN портов к Интернет делается в разделе Network – WAN. В нижней части интерфейса можно проверить статус подключения. В данном примере используется подключение PPPoE.

Отключение сервиса SIP ALG


Отключите SIP ALG в разделе Advanced – NAT – ALG.

Публикация сервисов (проброс портов) через NAT


Для корректной работы внешних SIP транков необходимо опубликовать ряд портов сервера 3CX Phone System:
  • 5060 TCP/UDP – SIP
  • 5090 TCP/UDP – 3CX Tunnel
  • 5000, 5001 (для веб сервера Abyss) или 80 и 443 (для сервера IIS) TCP – расширенное управление 3CXPhone и автонастройка IP телефонов
  • 9000-9500 UDP – RTP и WebRTC медиапоток

Публикация сервисов производится в разделе Advanced – NAT – Virtual Server. Начнем с SIP сервера.

После публикации всех сервисов, интерфейс должен иметь примерно такой вид.

Настройка сетевого экрана для повышения безопасности


Публикация сервисов так, как она реализована в TL-ER6020, вызывает справедливые опасения: мы открываем SIP порт 5060, который так любят хакеры, фактически, для всего мира. В интерфейсе публикации нет никакой возможности указать, для каких IP адресов следует открывать SIP порт сервера 3CX.

Наша настоятельная рекомендация: открывать порт 5060 только для SIP адресов операторов связи / SIP провайдеров, с которыми работает ваша система.

В нашем примере система работает с российским оператором Мегафон (услуга Мультифон) и украинским оператором Киевстар, при этом Мегафон использует разные IP адреса для SIP сервера и SIP прокси, а Киевстар – единственный SIP сервер.

Сперва определим сервисы / диапазоны портов, доступ к которым следует ограничить в разделе Firewall – Access Control – Service.

Здесь мы определили только SIP порт 5060 и RTP порты 9000-9255. Поскольку остальные сервисы 3CX должны быть доступны для любого IP адреса в Интернет и ограничивать к ним доступ нет необходимости.

В разделе Firewall – Access Control – Access Rules добавим правила сетевого экрана, разрешающие доступ к определенным сервисам 3CX только с определенных SIP адресов.

Также необходимо добавить одно общее запрещающее правило, ограничивающее доступ к указанным портам всем адресам Интернет. Обратите внимание – это правило должно стоять последним в списке. Окончательный список правил должен выглядеть таким образом.

Вторая часть списка с общим запрещающим правилом.


Тестирование настройки


Чтобы проверить правильность работы сетевого экрана сделайте исходящий и входящий вызовы. Вызов должен проходить успешно, слышимость должна быть двухсторонней и не должно происходить обрыва связи через 32 секунды.

Заключение


Настройка VPN маршрутизатора TP-Link TL-ER6020 для работы с 3CX Phone System – достаточно несложный процесс, однако требует учета некоторых особенностей, с которыми нам пришлось столкнуться. Также желательно иметь понятие об основных принципов работы VoIP технологий.

В этом руководстве мы не рассмотрели такую интересную возможность TL-ER6020, как резервирование WAN канала. Эта возможность позволяет обеспечить бесперебойную VoIP связь даже в случае “падения” основного интернет – подключения.

Однако имейте ввиду, что такое резервирование предъявляет определенные требования к используемым SIP подключениям:

  • Рекомендуется использовать SIP подключения с авторизацией по имени пользователя и паролю. В этом случае, при отключении основного интернет-канала, SIP подключение автоматически перерегистрируется через второго оператора.
  • Если вы используете SIP линию с авторизацией по IP адресу (SIP транк), попросите оператора авторизовать IP адрес резервного интернет-подключения. После этого оператор сможет принимать и направлять вызовы через это подключение.

Дополнительная информация


Проброс TCP порта к компьютеру через систему VPN соединений

Проброс TCP порта в вашу домашнюю сеть

Вы получаете возможность «выставить» в Интернет один порт своего домашнего устройства, тем самым, сделав его доступным из любой точки мира, не имея при этом белого IP адреса.

Для этого:

  • у вас должен быть установлен как минимум один VPN-туннель к нашей системе и настроена маршрутизация. См. здесь.
  • установлено соответствие внутреннего IP адреса и его порта внешнему порту нашего адреса msk.vpnki.ru (84.201.157.2584.201.157.2584.201.157.2584). Процедура установления соответствия осуществляется на специальной странице нашей системы. Используйте доменное имя, так как IP адрес может измениться.

 

Примеры использования

1. Допустим, что в вашей домашней сети есть видео-регистратор, имеющий адрес 192.168.1.2, однако так получилось, что он вещает видеопоток с порта 8010 и этот поток передается не с использованием протокола http, а каким-либо иным способом. Ваше специализированное клиентское программное обеспечение имеет доступ к регистратору и просматривает это поток, обращаясь внутри домашней сети по 192.168.1.2:8010

Используя нашу услугу «Публикация URL» вы бы могли просматривать этот поток, если бы его вещание осуществлялось средствами протоколов http/https, но здесь вещание может использовать иные протоколы. Для достижения цели просмотра видеопотока вне домашней сети, проброс TCP порта может решить проблему удаленного доступа.

Важно! Вы должны успешно выполнитиь пинг со страницы «Инструменты» до вашего устройства. Это подтвердит, что правила маршрутизации установлены корректно.

Также вы можете осуществить запрос TCP порта со страницы «Инструменты». Это подтвердит, что ваше устройство «слушает» на  указанном вами порту и адресе.

 

2. Вы хотите получить доступ к своему домашнему устройству с использованием протоколов RDP или VNC. Вы могли бы использовать доступ через HTTP или SOCKS5 прокси с авторизацией, но ваше программное обеспечение не может использовать авторизацию в прокси соединениях. В этом случае, вы можете воспользоваться пробросом нужного TCP порта.

 

3. Ваше устройство (например, GPS навигатор или часы) «умеет» пересылать данные на внешний хост лишь при помощи собственного протокола, не используя при этом HTTP/HTTPS, прокси и прочие стандартные средства коммуникаций.

Во всех этих случаях вы можете попробовать использовать нашу возможность «Проброс TCP порта» из сети Интернет на домашнее устройство.

Сделать это несложно, достаточно заполнить таблицу по примеру, представленному на картинке.

Здесь вы указываете IP адрес устройства в домашней сети и нужный порт TCP этого устройства, а затем нажимаете кнопку «Сохранить». Для этого соединения будет автоматически назначен внешний порт, который будет доступен из Интернет по адресу msk.vpnki.ru:XXXXX  (84.201.157.25:XXXXX)

Приоритетным способом обращения к вашему порту является указание доменного имени msk.vpnki.ru:XXXXX, однако не все приложения могут корректно работать с таким типом указываемого адреса. В этом случае указывайте адрес 84.201.157.25:XXXXX. Однако убедитесь, что именно этот адрес актуален и ведет к msk.vpnki.ru

 

С 1 декабря 2018 года мы запустили в режиме тестирования функцию «Белый список» для TCP порта, которая разрешает внешние соединения к вашему TCP порту только с определенных IP адресов сети Интернет.
Эта функция позволит вам ограничить любителей подключаться к чужим ресурсам.
Пока в качестве разрешающего списка вы можете указать одну сеть, размер которой описывается маской.

Например,


К порту, указанному в первой строке, доступ будет не ограничен (сеть и маска 0.0.0.0 / 0.0.0.0)


К порту, указанному во второй строке, доступ будет возможен только с адресов сети 87.232.0.0 / 255.255.0.0 (это где-то в Ирландии)

 

ВАЖНО!

Для поиска неисправностей проверьте что:

1. Туннель установлен

2. Со страницы Инструменты пингуется адрес VPNKI , выданный вашему устройству (172.16.xxx.xxx)

3. Со страницы Инструменты пингуется адрес внутри вашей сети, расположенный за маршрутизатором (например, 192.168.xxx.xxx) на котором расположен ресурс, который вы хотите опубликовать

4. Со страницы Инстрмуенты успешно запрашивается порт устройства внутри вашей сети (например, адрес 192.168.1.10 порт 8080)

 

Особенности на период тестирования

На период тестирования мы даем возможность пользователям протестировать данный вид удаленного доступа в течении 7 дней.

 

Безопасность

Мы предоставлям возможность проброса TCP порта только после согласия с условиями, где вы обязуетесь не размещать таким образом в Интернете незаконного содержимого. Стоит отметить, что это Согласие одинаково для «Публикации URL» и «Проброса TCP порта» — приняв его в одном месте, второе его принятие не требуется.
Также следует учесть, что информационная безопасность ваших ресуресов, доступных из Интернет при использовании нашей системы, является вашей зоной ответственности и претензии к нам неприменимы.

 

Технические ограничения

У этой услуги есть некоторые технические ограничения, которые могут не позволить Вам ее использовать. Работа системы базируется на функциональности «обратный прокси», то фактически, вы будете иметь не прямой доступ из Интернет к своему домашнему устройству и его порту, а к серверу, который выступив прокси сервером, получит поток данных с домашнего устройства и передаст его вам во внешнюю сеть. В этой связи, есть вероятность того, что не все клиентские приложения смогут устойчиво работать при такой организации удаленного доступа.

Дополнительно следует учесть, что введенные вами на странице настройки будут применены не моментально (!), а через некоторое время (около 5 минут), о чем вам будет сообщено на странице настройки «Проброса TCP порта».

 

Период тестирования услуги

Мы планируем что период тестирования услуги обратный прокси займет несколько месяцев, в течение этого срока вы можете использовать однократно одну запись соответствия внешнего и внутреннего TCP порта. Вы можете менять соответствия для этого порта и публиковать различные ресурсы — модем, камеру, сервер и т.д. но обладать при этом лишь одной такой записью в течении период тестирования, ограниченного 7 днями.

 

Отказ от услуги

Вы можете в любой момент отказаться от услуги. В этом случае введенные вами соответствия портов будут удалены.

Установка и настройка IPSEC L2TP VPN сервера — Geek Notes

Руководство по настройке VPN сервера IPSEC L2TP

  • Установка осуществляется на сервер под управлением CentOS 6
  • В качестве клиентов могут выступать операционные системы поддерживающие IPsec / L2tp ( Mac OS, Android, Windows, Ubuntu )
  • Используемые порты, которые следует открыть на файрволе 1701 / TCP , 4500 / UDP и 500 / UDP

Перед началом установки немного разъясняет том, почему я выбрал стек IPSec / L2TP и для чего нам понадобится xl2tpd и ppp .

IPSec шифрует пакеты для шифрования и аутентификации, чтобы никто не смог расшифровать или подделать данные между клиентами и сервером.
L2TP обеспечивает туннель для передачи данных, он ни в коем случае не защищает шифрование и аутентификацию.
xl2tpd используется как демон L2TP и ppp для обеспечения аутентификации соединения.

Установка Epel

Установка необходимых компонентов

Теперь установим зависимые пакеты, openswan ipsec , xl2tpd для l2tp и ppp для аутентификации.

 yum install openswan xl2tpd ppp lsof 

в формате OpenSwan из EPEL 6.8 существует баг, то нам необходимо выполнить дарейд пакет или установить вручную.

Скачиваем необходимые пакеты: i686, x86_64

 об / мин -Uvh openswan-2.6.32-16.el6.x86_64.rpm 

или

 об / мин -Uvh openswan-2.6.32-16.el6.i686.rpm 

Настройка файрвола и роутинга

 iptables --table nat --append POSTROUTING --jump MASQUERADE 

В sysctl.conf добавим следующие строчки

 net.ipv4.ip_forward = 1 
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
 для vpn в / proc / sys / net / ipv4 / conf / *; сделать echo 0> $ vpn / accept_redirects; эхо 0> $ vpn / send_redirects; done 

Чтобы убедиться, что это продолжает работать при загрузке, добавим следующее в / etc / rc.местный

 для vpn в / proc / sys / net / ipv4 / conf / *; сделать echo 0> $ vpn / accept_redirects; эхо 0> $ vpn / send_redirects; done 
iptables -t nat -A POSTROUTING -j SNAT --to-source% SERVERIP%

% SERVERIP% — IP-адрес VPN сервера.
Вышеуказанные строчки необходимо добавить до строки выход 0

Конфигурация Openswan (IPSEC)

 версия 2 

config setup
dumpdir = / var / run / pluto /


nat_traversal = yes


virtual_private =% v4: 10.0.0.0 / 8,% v4: 192.168.0.0/16,%v4: 172.16.0.0/12,%v6: fd00 :: / 8,% v6: fe80 :: / 10


protostack = netkey


force_keepalive = yes
keep_alive = 60


conn L2TP-PSK-noNAT
authby = secret


pfs = no


auto = add


keyingtries = 3


ikelifetime = 8h
keylife = 1h

ike = aes256-sha1; modp1024!
phase2alg = aes256-sha1; modp1024


type = transport


left =% SERVERIP%


leftprotoport = 17/1701
right =% any
rightprotoport = 17 /% any

dpddelay = 10

dpdtimeout = 20

dpdaction = clear

Общий пароль

Общий пароль находится в файле / etc / ipsec.Секреты .
Убедитесь в его надежности, также не забудьте изменить IP-адрес на свой.

% SERVERIP%% any: PSK "357xCT1h3QY8 + 059k2eHZdaL3eogoTM8jHyzCF2kQxr6Zn4 + PGmvuEILJMW8fP63" 

Проверка

Запускаем проверка

 Проверка вашей системы на соответствие IPsec 
.

Пошаговая инструкция по объединению сетей разных провайдеров с помощью L2TP и L2TP / IPSec на оборудовании Mikrotik

.

В эпоху тотальной информатизации всех бизнес-процессов, всё более остро постаёт вопрос объединения удалённых офисов и филиалов между собой в единую информационную сеть. Довольно часто немаловажную роль играет возможность предоставления удаленного доступа для сотрудников из дома, либо в любой точке земного шара, где есть доступ в Интернет.

Объединение сетей мы будем рассматривать на примере оборудования компании Mikrotik. В качестве тестового сервера используется маршрутизатор RB2011UiAS-RM, который является отличным выбором для небольших офисов и компаний, ограниченных в бюджете. В качестве клиента используется одно из самых доступных решений — Mikrotik hAP lite (RB941-2n).

Благодаря своей невысокой, hAP ​​lite можно с легкостью применять в домашних условиях, для подключения сотрудников, работающих удалённо.Хороший показатель производительности позволяет использовать этого «малыша» даже в малых офисах, где нет требований.

Когда офис и филиалы находятся в локальной сети одного и того же провайдера. Тем не менее, чаще всего филиалы территориально разграничены и могут находиться на большом удалении друг от друга.

Одной из самых популярных технологий для таких целей можно считать VPN — виртуальная частная сеть.Для реализации VPN можно прибегнуть к нескольким вариантам: PPTP, L2TP, OpenVPN, SSTP и т.д. PPTP морально устарел, а OpenVPN и SSTP поддерживаются далеко не на всех устройствах.

По этим причинам, а также благодаря простоте использования устройств, работающих под управлением разных ОС, протокол L2TP (туннельный протокол уровня 2) является одним из самых популярных протоколов туннелирования. Проблемы могут возникнуть в случае нахождения клиента за NAT, когда Firewall блокирует пакеты.Однако даже в этом случае есть решения по обходу блокировки. Один из недостатков L2TP — безопасность, которая решает применение IPSec. Второй и, пожалуй, самый значимый недостаток — производительность. При использовании IPSec происходит двойная инкапсуляция, что снижает производительность — это та цена, которую нужно заплатить за безопасность передаваемых данных.

Тестовый стенд

Для лучшего понимания настроек ниже приведена иллюстрация, которая показывает структуру сети.


В качестве интернет-провайдера выступает маршрутизатор RB951Ui-2HnD, который выдает устройства IP в подсети 192.168.106.0/24. В реальности же у вас будут другие IP-адреса в WAN-интерфейсах.

Настройка сервера

Итак, на главном сервере должен быть статический белый IP-адрес, в качестве примера у нас это 192.168.106.246. Наличие статики важно т.к. адрес не должен меняться, в противном случае придётся прибегать к лишним действиям и использовать DNS-имя.


Создание профилей

Заходим в раздел PPP, открываем вкладку Профили, здесь необходимо создать профиль, который будет работать к VPN-подключениям. Отметьте опции Изменить TCP MSS, Использовать сжатие, Использовать шифрование. По-умолчанию, будет Установка шифрования MPPE 128 bit.



Переходим на вкладку Интерфейс. Нажимаем L2TP-сервер, в появившемся окошке ставим галочку Включено и выбираем профиль по-умолчанию, который мы создали ранее.Тип аутентификации, по желанию — оставить как есть, либо выбрать только MS-CHAP v2.

Опцию IPsec оставляем отключенной.


Переходим в Secrets, здесь необходимо создать нового пользователя VPN. В качестве сервиса указываем L2TP, тут же можно использовать профиль.


Локальный адрес указываем 10.50.0.10, удаленный — 10.50.0.11. При необходимости создаём нужно количество пользователей. Для каждого пользователя локальный IP будет одинаковым, удалённый IP увеличиваем на единицу (т.е. 10.50.0.12, 10.50.0.13 и т.д.). Можно конечно прибегнуть к использованию пула адресов, но со статикой вам проще будет писать маршруты.


Создание интерфейса

Для каждого пользователя создаём свой интерфейс. Открываем раздел интерфейса и нажимаем плюс, в выпадающем меню выбираем привязку к серверу L2TP, указываем отображаемое название и имя пользователя. При подключении пользователя здесь будет вся информация.



Настройки файрволла



Для работы VPN необходимо открыть UDP-порт 1701 (вход по цепочке, протокол 17 (udp), dst-порт 1701, прием).После чего необходимо поднять правила, перемещаем его выше.



Далее заходим в NAT и добавляем маскарадинг для VPN (цепочка srcnat, out interface all ppp, action masquerade), это необходимо для компьютеров за роутером видели друг друга.




Добавление маршрутов

Прописываем маршрут в удалённую подсеть.Конечная подсеть 192.168.2.0/24, в качестве шлюза выступает IP клиента внутри сети, в нашем случае это 10.50.0.11, целевая область выставляем единицу, Pref. Источник — локальный IP сервера внутри сети, 10.50.0.10.


На этом настройка сервера завершена, приступаем к настройке клиентского подключения на втором устройстве.

Настройка клиента


Открываем раздел интерфейса и добавляем новый клиент L2TP, указываем IP-адрес сервера и свои учётные данные, по умолчанию выбираем профиль шифрованием и снимаем галочку с дефолтного маршрута.




Применяем, если всё сделано правильно — соединение должно быть установлено.


Пробуем пинговать 192.168.1.1… и он, конечно же, отвечать не будет. Добавляем новый статический маршрут — удаленная подсеть 192.168.1.0/24, в качестве шлюза IP сервера в сети, прив. Источник — наш IP в сети. Т.е. на клиенте все адреса проставляются наоборот.



Пробуем повторно выполнить ping 192.168.1.1 — есть.


Но компьютеры за роутером ещё не видят удалённую сеть.


Создаем для них маскарадинг, аналогичный тому, что создан на сервере. В качестве выходного интерфейса указываем наше VPN-подключение.

Поможем тем,

.

DFL-260E в роли L2TP сервера + Mikrotik в роли L2TP клиента / Песочница / Хабр

Потребовалось по работе объединить две локальные сети. Конечно другой вариант GRE + Ipsec. Но к сожалению сеть сидит на 4G модеме и внешнего статического IP нет. Было решено соединить сеть по системе Сервер-Клиент. Сеть А (192.168.100.0/24) и Сеть B (192.168.65.0/24). Перерыв весь интернет, нормальную инструкцию не нашел, пришлось самому искать ответы.

Настройка Mikrotik


Параметры микротика:

IP — внутренний IP — 192.168.65.1, сеть, которую он раздает — 192.168.65.0/24.

Настроим микротик в качестве L2TP-клиента

10.0.0.102 — внешний IP-адрес DFL-260E.
  / интерфейс l2tp-client
добавить allow = mschap2 connect-to = 10.0.0.102 disabled = no max-mru = 1418 max-mtu = 1418 name = l2tp-to-m1 user = osp_mrad пароль = secret1 profile = default
  

Пропишем маршруты
  / ip route
добавить комментарий = "Mikrotik office" расстояние = 1 dst-адрес = 192.168.100.0 / 24 шлюз = 192.168.99,1
  

На этом настройка микротика завершена.

Настройка DFL


Сначала создадим списки адресов IP в Объекты раскрываем адресную книгу, нужные значения я обвел цветом.

  • IP-адрес сервера L2TP (L2TP_server_inter) — 192.168.99.1
  • Сеть, которая выделена под L2TP клиентов (L2TP_net) — 192.168.99.0/24
  • Пулл L2TP клиентов (l2tp_osp) — 192.168.99.100-192.168.99.200
  • Ip l2tp клиент, который получит наш микротик (osp_mrad_ip_vpn) — 192.168.99.100

Создадим учетную запись для L2tp-клиента

Сначала создадим папку для уделенных пользователей. Кликните по знаку «+» рядом с папкой Аутентификация пользователя и выберите локальные базы данных пользователей. Кликните по «Добавить» из выпадающего меню База данных локальных пользователей. Введите выбранное имя (в этом примере PPTP_Users) и кликните по OK. Добавляем пользователя osp_mrad

ВАЖНО !!! ТУТ ГЛАВНОЕ ВЫБРАТЬ СЕТЬ, КОТОРАЯ НАХОДИТСЯ ЗА КЛИЕНТОМ (в данном случае 192.168.65.0 / 24)

Следующий шаг: настройка L2TP-сервера

Кликните по знаку «+» рядом с папкой Интерфейсы и выберите серверы PPTP / L2TP. Нажмите на ссылку «Добавьте и выберите серверы PPTP / L2TP».

  • Выбираем тип сервера — L2TP / PPTP / SSL VPN
  • Выбираем базу авторизации — Локальная (Локальная)
  • Интерфейс — VPN_L2TP_Server (мы создали его ранее)
  • IP-адрес отправителя — all-nets (0.0.0.0/0) — любая сеть
  • IP-адрес терминатора — wan_ip (внешний IP-адрес DFL)

На вкладке Параметры PPP — выбираем пул — L2tp_osp (192.168.99.100-192.168.99.200):

На вкладке Add Route — выбираем Allowed Networks — all-nets (0.0.0.0/0). Прокси ARP — lan (192.168.100.0/24).

Зайдите во вкладку Параметры аутентификации и выберите PPTP_users (созданную ранее) из выпадающего меню Local User DB. Кликните по ОК.

Далее необходимо создать два правила в фаэрволе. Для этого необходимо зайти в папку Rules и выберить IP Rules.

Применяем настройки, микротик должен подключиться, сети — пинговаться.

.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *