Сервер

Микротик l2tp сервер: Настройка MikroTik RouterBoard RB951G-2HnD (MikroTik+L2TP Beeline) / Прямые руки / Howitmake.ru

Содержание

Настройка Mikrotik Beeline L2TP – пошаговая инструкция для самостоятельного подключения

MikroTik Beeline L2TP, настройка которого может оказаться сложной для неопытного пользователя, — роутер, рассчитанный на работу в сети Beeline. Он имеет встроенные модуль Wi-Fi и брандмауэр, поддержку протоколов IGMP, uPNP.

Подготовительные мероприятия перед настройкой MikroTik Beeline L2TP

WinBox первое подключение.

Перед настройкой роутера следует проверить целостность интернет-кабеля, входящего в помещение. Если ранее на ПК или ноутбуке было настроено VPN-подключение, то его следует удалить, иначе доступ к конфигуратору будет невозможен. После этого в параметрах сетевой карты нужно установить автоматическое получение адресов IP и DNS.

На следующем этапе подготовки надо сбросить настройки роутера MikroTik и обновить прошивку, воспользовавшись фирменным приложением WinBox (mikrotik.com / download), позволяющим взаимодействовать со встроенной операционной системой RouterOS. Один конец кабеля вставляют во второй, третий или четвертый порт, а другой — в компьютер.

Когда ОС роутера появится в приложении WinBox, следует щелкнуть на строке с названием, чтобы появился МАК-адрес устройства в расположенном сверху поле.

При запросе логина потребуется написать admin. Когда подключение установится — перейти в меню системных параметров и выбрать пункт, отвечающий за сброс настроек.

В появившемся окне снимают галочки, позволяющие сделать резервную копию параметров, а также отключить стандартную конфигурацию. Когда сброс настроек выполнится, роутер отобразится в приложении без IP-адреса.

MikroTik сброс конфигураций.

Следующий этап подготовки — это добавление пользователя с повышенными привилегиями. Для этого переходят в соответствующее меню, выбирают специальную группу и задают имя и пароль.

Затем возвращаются в главное окно WinBox и выполняют авторизацию под новыми данными. Для повышения безопасности старого пользователя удаляют.

Пошаговая инструкция

Особенность пошаговой настройки роутера MikroTik заключается в том, что устройство имеет 5 ethernet-портов, каждый из которых может быть назначен в качестве основного, используемого для подключения к провайдеру. Кроме того, следует организовать 2 сетевых моста, назначить IP-адрес и сконфигурировать брандмауэр.

Порты и мосты

Для облегчения настройки роутера следует организовать несколько интерфейсов. Все операции выполняются через приложение WinBox. Вначале через список интерфейсов отключают пятый порт. Это защитит устройство от вредоносных атак.

После этого в настроенное гнездо вставляют кабель от провайдера. Затем через меню управления мостами добавляют 2 записи — WAN (к интернету) и LAN (к локальной сети).

Добавляем WAN.

На следующем шаге переходят к созданию портов. Для этого потребуется перейти на вторую вкладку в окне управления мостами. Новая запись в операционной системе RouterOS создается по нажатии клавиши с плюсом.

В открывшемся окне из раскрывающегося списка выбирают интерфейс ether1, соответствующий первому порту на корпусе устройства, привязывают его к созданному ранее LAN-мосту и нажимают на ОК.

Операцию повторяют для остальных 4 портов. Интерфейс ether5, к которому присоединен кабель от Билайна, добавляют в мост WAN.

После этого закрывают окно по настройке мостов, выводят на экран меню управления интерфейсами и переходят во вкладку со списками последних. По нажатии на кнопку «плюс» создают новую запись, добавляя мост локальной сети в список.

Настраиваем порты.

Локальная сеть

Вначале прописывают IP-адрес роутера MikroTik в локальной сети, используя соответствующую системную оснастку. Из списка интерфейсов выбирают мост LAN.

Затем настраивают сервер DHCP, перейдя в соответствующее окно через меню IP. Для упрощения конфигурации запустится мастер, в котором все параметры рекомендуется оставить без изменений. Привязка выполняется также к мосту локальной сети.

Переименовываем DHCP-сервер.

Подключение L2TP на MikroTik

Чтобы роутер MikroTik мог подключиться к домашнему интернету от Билайна, следует выполнить правильную предварительную настройку протокола L2TP, но вначале записать особые параметры.

Для этого открывают вкладку опций DHCP-клиента и добавляют новую запись, состоящую из 3 атрибутов:

  • имени — parameter_request_list;
  • кода — 55;
  • шестнадцатеричного значения — 0x010306212A79F9.

Добавляем новую запись.

После прописывания параметра возвращаются во вкладку DHCP-клиента и добавляют новый элемент в соответствующий список. Привязка выполняется к мосту WAN. Кроме того, следует разрешить использование специального бесклассового маршрута.

На вкладке дополнительных сведений потребуется указать следующие опции:

  • дистанцию по умолчанию — 10;
  • опции DHCP — добавить значения clientid и hostname.

Добавление подключения к Билайну осуществляется в меню PPP в окне добавления нового интерфейса. На первой вкладке следует установить для MTU (максимальной единицы передачи) значение 1460, а для MRU — 1500.

Затем прописываются основные параметры подключения:

  • адрес точки доступа — tp.internet.beeline.ru;
  • логин и пароль, представленные в договоре;
  • основной маршрут (путем проставления галочки).

Отключаются методы шифрования PAP и MS-CHAP версии 1.

Остальные данные следует оставить без изменений.

Добавление значений DHCP Options.

Firewall

Перед включением брандмауэра создают новый список, в который включают интерфейсы WAN и созданный ранее L2TP. Затем переходят в меню IP — Firewall и выбирают вкладку Address List. Здесь создают еще один список, в который добавляют IP-адрес роутера, заданный на этапе конфигурации локальной сети.

Затем следует настроить правила фильтрации. Они вводятся в окне терминала в приложении WinBox. Основные правила брандмауэра на роутере MikroTik разрешают соединение с интернетом через настроенный WAN-порт и запрещают внешние входящие запросы. Кроме того, обеспечивается защита от нарушения таблицы NAT.

После завершения настройки брандмауэра следует включить интерфейс ether5, отвечающий за подключение к интернету, и проверить соединение, используя встроенный в терминал инструмент ping.

Если все параметры заданы правильно, то ответ на запрос с любого адреса должен прийти без ошибок. Чтобы интернет заработал на компьютерах, входящих в локальную сеть, потребуется добавить правило в таблицу трансляции сетевых адресов.

Использование инструмента ping.

IPTV

Если нужно использовать роутер с ТВ-приставкой Билайна, задают дополнительные параметры.

Для подключения можно использовать свободный порт:

  1. Перейти в окно управления мостами.
  2. Щелкнуть по вкладке для работы с портами.
  3. Открыть параметры интерфейса, выбранного для присоединения приставки.
  4. Удалить порт из LAN-моста и добавить его в WAN-мост с помощью соответствующего списка.

Если после внесения этих изменений IPTV не работает, то нужно включить отслеживание протокола IGMP для LAN-моста, а в настройках прокси-сервера IGMP установить интервал запроса на 30 секунд, время ожидания — на 20.

Кроме того, в брандмауэр добавляют дополнительные правила, разрешающие входящие подключения по указанному протоколу. Эти инструкции надо поставить над запретами по списку.

Правила Firewall для IPTV.

Последние необходимые изменения

На последнем этапе настройки роутера MikroTik потребуется отключить службы Telnet, FTP и API, которые редко используются. Кроме того, через соответствующее меню отключают обнаружение устройства за пределами локальной сети.

Если надо использовать торрент-клиенты и другие приложения и устройства, требующие протокола uPNP, включают его поддержку и добавляют оба моста в соответствующий список интерфейсов.

Настройка L2TP+IPsec и PPtP сервера на MikroTik

Не было печали как Apple решила выпилить поддержку PPtP из macOS Sierra и iOS 10. Пользователи сайта начали активно интересоваться настройкой L2TP и время написать инструкции пришло. Кроме того я решил написать о настройке смешаной сети: PPtP, L2TP+ipSec для обеспечения максимальной совместимости со всеми системами. Это так-же позволит упростить настройку клиентского оборудования с Windows. Статья не решает вопрос о настройке максимально защищённой системы. Мы строим максимально простую систему. Задача: обеспечить подключение к локальной сети предприятия по VPN и получать доступ к внутренним ресурсам. Подключения должны настраиваться пользователями с минимально возможными отклонениями от настроек по умолчанию. Уже полно разных сложных инструкций в интернете, но всё на самом деле очень просто.

 

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

 

Для тех кто не хочет тратить своё дорогое время на изучение данного мануала предлагаем нашу платную помощь.

 Настраивать будем на примере Router OS v6.38.7 (bagfix) и hAP AC lite

Для простоты будем использовать настройки роутера по умолчанию. Локальная сеть 192.168.88.0/24 внешний IP роутер получает по DHCP.

 Шлюз в VPN соединении (local adress 192.168.88.2). Пул раздаваемых адресов для VPN клиентов (Remote adress): default-dhcp (192.168.88.10-192.168. 88.254). Бриджуем соединение с основной локальной сетью (bridge).

Переходим на вкладку Protocols где включаем шифрование. (Упростит настройку клиентов под Windows):

 Настроим акаунты клиентов: Выбираем наш профиль l2tp+pptp, создаём пароли и логины для пользователей.

 Нажмём кнопочку L2TP Server и настроим его:

IPsec Secret — так называемый общий (предварительный — windows) ключ (Shared Key — macOS) потребуется при настройке клиентов.

Настроим PPtP сервер: Активируем его поставив галочку Enable и выберем профиль l2tp+pptp

Настроим бридж:

Осталось открыть порты и проколы для подключения с внешки:

gre(47) и TCP 1723 для PPtP

l2tp(115) и UDP 1701 для L2TP

IPsec-esp(50), IPsec-ah(51) и UDP 500, 4500 для работы IPsec

Для этих портов надо добавить разрешающие правила (accept) в цепочке input

Для тестирования можно временно выключить запрещающее правило в цепочке input Firewall

 Всё можно подключать ваши iPhone MacBook и ПК к VPN серверу. Настройки по умолчанию подходят. Введите только ваши пароли верно.

 

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

MikroTik L2TP/IPsec сервер не отправляет маршрут клиенту

После двух дней мучений, готов признать что хвалёный MikroTik не справился с простой задачей, которая на Keenetic Ultra II решается в пару кликов. Возможно, это вовсе не связано с недоработками в RouterOS, а у меня просто не хватило терпения или знании, чтобы заставить L2TP/IPsec на «микротике» добавлять маршрут клиенту при соединении.

Полазив по тематическим форумам и wiki, посвященных настройке оборудования MikroTik, найти решения так и не удалось. Собственно, в чём суть проблемы? При подключении к L2TP/IPsec серверу, клиент не видит компьютеры локальной сети за ним, впрочем как и самого роутера. Пинги дальше виртуальной сети не проходят.

Решение 1: Отправлять весь трафик клиента через VPN

Если в настройке соединения на клиенте указать что следует «Отправлять весь трафик через VPN», локальная сеть за роутером прекрасно видится. Но в этом случае мы гоним весь собственный трафик, вместе торрентами и прочим барахлом через удалённый офис, где запущен L2TP/IPsec сервер. Зачем это всё, если нам требуется просто получить доступ к терминальному серверу в удалённой сети?

Windows 10 по умолчанию заворачивает весь трафик в VPN канал при создании подключения. Проверить это можно открыв свойства протокола IP версии 4 (TCP/IPv4) и в дополнительных параметрах TCP/IP будет активирован пункт «Использовать основной шлюз удаленной сети».

Решение 2: Прописать дополнительный статический маршрут на клиенте

Странно, но по всей видимости, MikroTik не умеет самостоятельно отправлять дополнительный маршрут клиенту при подключении к L2TP/IPsec серверу. Замечу, что Keenetic Ultra II прекрасно справляется с аналогичной задачей и поднять на нём L2TP/IPsec сервер может обычный пользователь. Лишний раз убеждаюсь, что «микроты» придуманы, чтобы наполнять жизнь упоротых любителей копания в настройках смыслом.

Раз не получилось сотворить задуманное в настройках L2TP сервера, придётся добавить требуемый маршрут к удалённой сети на клиенте ручками. Для примера, пусть локальная сеть за MikroTik будет 192.168.88.0/24 и local-address L2TP/IPsec сервера 10.8.0.10:

sudo route -n add 192.168.88.0/24 10.8.0.10

Как ни крути, но такое решение тоже «костыль». И как бы не утверждали на одном из форумов по настройке «микротов», что заворачивать весь клиентский трафик в VPN канал благо, я с этим не согласен. Потому буду рад, если кто напишет как заставить MikroTik самостоятельно назначать маршруты клиентам вместе с выдачей IP.

Подписывайтесь на канал Яндекс.Дзен и узнавайте первыми о новых материалах, опубликованных на сайте.

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

Пошаговая инструкция по объединению сетей с помощью L2TP и L2TP/IPSec на Mikrotik

На сегодняшний день бизнес-процессы, даже в самых небольших компаниях, обретают все черты, характерные для глобального мира. Предприниматели, следуя принципу близости к потребителю, открывают филиалы предприятий в разных регионах страны, Европы, а то и мира.

Вопросы качественного и надежного обмена данными в информационную эпоху становятся краеугольными в обеспечении конкурентного преимущества. Поэтому очень важно создать такую систему обмена данными и доступа к ним, которая, с одной стороны, обеспечивала бы информационную безопасность, а с другой стороны – отвечала выполняемым задачам с финансовой точки зрения. Иными словами, применение дорогостоящих решений для работы небольших удаленных офисов или даже системы коворкинга не представляется разумным.

Задачу можно разделить на две составляющие. Первая – это совместная работа в сети одного провайдера. Такая постановка вопроса существенно облегчает ее решение.

 

Вторая составляющая, наиболее часто встречающаяся, состоит в том, территориальное разделение подразделений организации преимущественно тянет за собой необходимость безопасного объединения информационных потоков в сетях различных, нескольких провайдеров. Для решения этой проблемы применяют технологию создания защищенных информационных туннелей, более известных как VPN-каналы.

 

Существует несколько технологий туннелирования, которые предполагают различные уровни защиты данных. Наиболее известными являются такие протоколы, как PPTP, L2TP, OpenVPN, SSTP, SafeVPN и некоторые другие. Проблема их использования заключается в том, что протокол РРТР на сегодняшний день является устаревшим, а использование OpenVPN, SSTP, SafeVPN и других требует соответствующего оборудования и платформ маршрутизации.

 

Поэтому наиболее оптимальным мы считаем применение технологии L2TP (Layer 2 Tunnel Protocol) – одного из самых популярных протоколов создания туннелей VPN. К его преимуществам можно отнести относительную простоту настройки и универсальность. С ним может работать как простое, недорогое, так и сложное оборудование. Недостатком L2TP можно считать относительную уязвимость в вопросе защиты данных в сравнении с другими протоколами, однако он исправляется применением технологии двойной инкапсуляции IPSec, которая резко повышает устойчивость туннеля к попыткам несанкционированного доступа. Обратная сторона медали такой схемы – дополнительная нагрузка на процессоры и, как следствие, падение скорости передачи данных, однако для небольших систем с невысокими требованиями это обстоятельство не будет критично. Особенно если учесть, что стоимость оборудования для использования шифрования L2TP/ IPSec доступна даже для домашнего использования.

 

Рассмотрим пошаговое применение указанной схемы, где в качестве сервера выступает маршрутизатор RB2011UiAS-RM, а клиента — hAP lite (RB941-2n), оба производства Mikrotik. Продукция компании широко известна во всем мире благодаря высокому качеству, оригинальному программному обеспечению и доступной цене, что как нельзя лучше отвечает условиям поставленной нами задачи.

 

В приведенном примере маршрутизатор RB2011UiAS-RM  Mikrotik будет выдавать IP в подсети 192.168.106.0/24, однако в реальных условиях адрес на интерфейсах, конечно же, будет отличаться.

 

Итак, для создания безопасного канала VPN в сетях разных провайдеров на основе протокола L2TP/IPSec с использованием в качестве провайдера маршрутизатора RB2011UiAS-RM и конечного клиента hAP lite (RB941-2n) производства Mikrotik мы должны сделать следующие шаги:

 

  • Настроить сервер;
  • Создать профили;
  • Создать интерфейс;
  • Настроить файервол;
  • Настроить клиента;
  • Настройки на сервере L2TP/IPSec;
  • Настроить клиента L2TP/IPSec;
  • Проверить производительность L2TP/IPSec.

 

Настройка сервера

 

Важно, чтобы главный сервер имел статический белый внешний IP-адрес, у нас это 192.168.106.246. Он не должен меняться, иначе придётся прибегать к лишним действиям и использовать DNS-имя.

 

Создание профилей

 

  1. В разделе PPP открываем вкладку Profiles и создаем профиль, который будет применяться к VPN-подключениям. Отмечаем опции Change TCP MSS, Use Compression, Use Encryption. По-умолчанию, будет использоваться протокол шифрования MPPE 128 bit.
  1. Переходим на вкладку Interface.
  1. Нажимаем L2TP Server, активируем его галочкой Enabled и выбираем профиль по-умолчанию, который мы создали ранее. Тип аутентификации можно оставить как есть, либо выбрать только MS-CHAP v2.

 

  1. Опцию IPSec пока что оставляем отключенной.
  1. Переходим в Secrets, здесь необходимо создать нового пользователя VPN. В качестве Service указываем L2TP, здесь же указываем используемый профиль.
  1. Локальный адрес устанавливаем 10.50.0.10, удаленный – 10.50.0.11. При необходимости создаём нужно количество пользователей. Локальный IP-адрес каждого пользователя будет одинаковым, удалённый IP нужно увеличить на единицу (т.е. 10.50.0.12, 10.50.0.13 и т.д.). Можно прибегнуть к использованию пула адресов, но со статикой проще писать маршруты.

Создание интерфейса

 

Для каждого пользователя нужно создать свой интерфейс.

Для этого нужно открыть раздел интерфейсов и нажать знак «плюс», в выпадающем меню выбрать L2TP Server Binding, указать отображаемое название и имя пользователя. При подключении пользователя здесь будет отображаться текущая информация о нем.

Настройки файервола

Для работы VPN необходимо открыть UDP-порт 1701 (chain input, protocol 17(udp), dst-port 1701, accept). После этого следует поднять приоритет правила, переместив его выше.

Далее в NAT’е добавить  маскарадинг для VPN (chain srcnat, out interface all ppp, action masquerade), таким образом мы сделаем компьютеры за роутером видимыми друг для друга.

 

Добавление маршрутов

 

Прописываем маршрут в удалённую подсеть, в которой находится удаленный клиент. Конечная подсеть 192.168.2.0/24, в качестве шлюза выступает IP клиента внутри виртуальной сети, в нашем случае это 10.50.0.11, target scope выставляем единицу, Pref. Source – локальный IP сервера внутри виртуальной сети, 10.50.0.10.

На этом настройка сервера завершена, можно приступать к настройкам клиентского подключения на втором устройстве.

 

Настройка клиента

 

Для настройки удаленного клиента нужно войти в раздел интерфейсов и добавить новый L2TP Client, указать IP-адрес сервера и свои учётные данные.По-умолчанию выбрать профиль с шифрованием и деактивировать дефолтный маршрут, сняв с него галочку.

Нажимаем «Применить», если мы нигде не сделали ошибку, соединение должно быть установлено.

При попытке пинговать 192.168.1.1… положительного ответа не будет. Для его получения нужно добавить новый статический маршрут – удаленную подсеть 192.168.1.0/24 в качестве шлюза IP-сервера в виртуальной сети, Pref. Source – наш IP-адрес в виртуальной сети. Таким образом, при настройке клиента все адреса проставляются наоборот.

Повторное пингование 192.168.1.1 дает положительный результат.

 

Для того, чтобы компьютеры за роутером увидели удалённую сеть, нужно создать для них маскарадинг, точно так же, как это было сделано на сервере.. В качестве выходного интерфейса указываем созданное VPN-подключение.

 Ping пошел, значит, всё работает.

Таким образом, создан туннель, однако в нем не была применена двойная инкапсуляция IPSec для обеспечения безопасности. Пропускная способностью созданного канала составила около 50 Мбит/сек.

На этом базовая настройка соединения L2TP завершена.

Чтобы добавить новых пользователей, необходимо прописать соответствующие маршруты на устройствах, которые должны видеть друг друга за роутером. При пробросе маршрута между Client1 и Client2 на самом сервере ничего делать не нужно. Достаточно прописать маршруты на клиентах, в качестве шлюза будет выступать IP оппонента в виртуальной сети.

 

Настройка L2TP/ IPSec

 

Иногда на практике нужно обеспечить должный уровень безопасности. При использовании L2TP целесообразно прибегать к использованию IPSec. В качестве примера используется сеть, настроенная по вышеизложенной инструкции. Обратите внимание! IPSec создаётся внутри туннеля L2TP между виртуальными адресами 10.50.0.X. Такая реализация позволяет не зависеть от IP клиента. Если же вы хотите создать IPSec-туннель между WAN сервера и WAN клиента, необходимо, чтобы у клиента был белый внешний IP. Если IP будет динамичным, вам потребуется также использовать разные скрипты для изменения политик IPSec. К тому же, в случае IPSec между внешними IP, необходимость в L2TP вовсе отпадает.

 

Настройка сервера

 

  1. Зайти в NAT и отключить маскарадинг для PPPдля шифрования пакетов данных.
  2. Перезагрузить маршрутизатор.
  3. Зайти в раздел IP – IPSec, открыть вкладку Proposals. Указать тип шифрования и аутентификации. В качестве алгоритма аутентификации выбрать sha1, для шифрования оптимальным будет использовать алгоритм AES 128-бит. При необходимости можно также указать 3DES (Triple DES), он является алгоритмом по-умолчанию для L2TP/IPSec в Windows 7, в то время, как для мобильных ОС целесообразным может быть применение AES 256-бит.
  4. Во вкладке Peers добавить новый пир с адресом 0.0.0.0/0, что разрешит маршрутизатору принимать все подключения. По-умолчанию используется 500-й порт. Выбрать метод аутентификации pre shared key, указав желаемый пароль. Exchange Mode следует указать main l2tp. Отметить опции Send Initial Contact и NAT Traversal. Значение Generate policy выбрать port strict. Остальные опции указаны на рисунке.
  1. Создать политику, открыв вкладку Policies. Политику, установленную по-умолчанию, отключить. Создать новую политику, где указать наши две локальные сети. Src. Adress (source) – наша локальная подсеть 192.168.1.0/24, Dst. Adress (destination) – удаленная подсеть 192.168.2.0/24. В закладке Action необходимо указать применяемое действие: action – encrypt, level – require. В качестве протокола выбрать ESP и поставить галочку Tunnel. SA Src. Adress – наш локальный адрес в виртуальной сети (10.50.0.10), SA Dst. Adress – адрес удаленного клиента в виртуальной сети.
  1.  Зайти в Firewall и добавить правила для используемых портов. Порт UDP 1701 используется для начальной инициализации и конфигурации. UDP 500 используется в L2TP/IPSec для инициализации обмена ключами. Протокол 50 – IPSec ESP, который используется для шифрования данных. Иногда необходимо также открывать порт UDP 4500 для обхода NAT.

 

Настройка клиента

 

В первую очередь, следует добавить правила файервола и отключить маскарадинг для созданного ранее VPN-канала.

В разделе IP – IPSec необходимо настроить Proposal аналогично тому, как это сделано на сервере. В качестве пира будет выступать 10.50.0.10, т.е. адрес сервера в виртуальной сети. Все остальные настройки должны соответствовать тем, которые были при настройке сервера.

При создании политики, все адреса и подсети указываются обратно тому, как они указаны на сервере, т.е. у клиента всё наоборот.

Если нигде не была допущена ошибка, во вкладке Remote Peers отобразится список пиров и используемые порты. Теперь необходимо открыть вкладку Installed SAs и обратить особое внимание на значение Current Bytes – если оно равно нулю, значит, пакеты не шифруются.

В файерволе можно посмотреть движение трафика. При тестировании заметно, что применение двойной инкапсуляции  L2TP/IPSec  снизило скорость в туннеле с 50 Мбит/с до 15-17Мбит/с. В принципе, можно попытаться добиться некоторого увеличения пропускной способности, увеличив количество потоков, однако эта мера вряд ли даст заметный ее прирост. Неизбежное падение скорости при использовании  IPSec – это и есть плата за безопасность, о которой было сказано в начале статьи.

Для создания надежного и производительного VPN-канала можно рассмотреть вариант использования маршрутизатора, собранного на базе персонального компьютера с использованием программного обеспечения Mikrotik – RouterOS. Наличие аппаратного блока шифрования существенно увеличивает производительность туннеля.

Настройка Mikrotik и создание L2TP-подключения | Полезная информация


Подключение и обновление.


Если роутер новый, подключаем блок питания в соответствующий разъем, интернет кабель включаем в первый порт, компьютер, с которого будет производиться настройка, подключаемся в любой оставшийся порт.


Включаем роутер в розетку и ждем около минуты. После проверяем состояние сети:


IP: 192.168.88.2


Mask: 255.255.255.0


GW: 192.168.88.1


DNS: 192.168.88.1


После этого заходим на Web-интерфейс роутера по адресу 192.168.88.1


Вводим логин admin, а пароль оставляем пустым.


Нажимаем на кнопку WinBox.

На компьютер скачивается программа, не требующая установки.

Запускаем Winbox.exe

В поле «Connect To» нажимаем кнопку с тремя точками, в списке появившихся устройств видим наш роутер:

Жмем по Mac Adress’у и он автоматически будет добавлен в строку Connect To.

Login: admin \ Password: (оставляем пустой)

Keep Password — Сохраняет пароль

Secure Mode — включает подключение в защищенном режиме.

Load Previous Session — загружает положение объектов с предыдущей сессии пользователя.

Жмем «Connect To» и ждем подключения. При первой загрузке роутера вы увидите такое сообщение:

в котором нам сообщают, что на данный момент имеется установленная конфигурация перечисленных модулей.

Нам это ненужно, поэтому сбрасываем настройки нажатием кнопки «Remove Configuration».

Устройство перезагрузится. Подключаемся снова.

Обновление необязательно, но желательно, поэтому, если есть возможность, нужно обновить прошивку. Если нет- переходим к Базовой настройке.

Для обновления прошивки, её желательно скачать с официального сайта https://www.mikrotik.com/download. Файл будет с расширением .npk

После скачивания, нужно перетащить скаченный файл в окно File List. И перезагрузить роутер перейдя в пункт System => Reboot.

Базовая настройка

Прежде чет притупить к созданию подключения, необходимо провести ряд дополнительных настроек.

Сначала объединяем все порты роутера в единый мост, чтобы можно было использовать локальную сеть.

Для этого открываем Winbox и идем во вкладку Bridge:

Во вкладке «Bridge» жмем по плюсу. Откроется окно, в котором нам нужно указать имя для создаваемого подключения. Я назвал его LAN:

Жмем ОК и переходим во вкладку «Ports». Здесь нам нужно так же нажать на плюс. В ответ мы увидим вот такое окно:

В Interface выбираем ether2, в Bridge созданный нами мост и жмем ОК. Тоже самое нужно проделать для всех остальных портов. Ether1 мы не трогаем, т.к через него будет идти подключение к интернету. В итоге должно получиться примерно так:

Таким образом мы объединили все порты в единый коммутируемый свитч мост.

Теперь нам нужно настроить DHCP, чтобы получать IP адреса внутри локальной сети.

Для этого заходим в IP => Addresses, жмем на плюс и добавляем подсеть для нашего моста LAN и жмем ОК:

Теперь заходим во вкладку Addresses => DNS и в открывшемся окне ставим галочку напротив «Allow Remote Requests».

Теперь нужно поднять DHCP сервер. Для этого идем в IP => DHCP Server и в открывшемся окне жмем «DHCP Setup».

В следующих семи шагах нужно будет ввести данные для сервера:

После завершения установки, окно DHCP Sersers у Вас должно выглядеть примерно так:

С DHCP разобрались, теперь нужно настроить NAT для того, чтобы все поключенные пользователи могли пользоваться интернетом. Для этого заходим в IP =>Firewall и открываем вкладку NAT. У Вас она сейчас будет пустая.

Жмем на плюс и создаем следующее правило:

Во вкладке Action выбираем «masquerade»:

Теперь осталось только настроить автоматическое подключение адреса от провайдера. Для этого идем в IP => DHCP Client, жмем плюс и добавляем интерфейс для получения адреса:

Указываем порт, в котором подключен кабель провайдера. На этом этапе должна заработать сеть провайдера.

Теперь можно преступать к настройке подключения.

Создание подключения L2TP.

Выбираем меню PPP, в открывшемся окне, во вкладке Interface жмем на плюс и выбираем L2TP Client:

В открывшемся окне можно поменять название подключения:

Переходим во вкладку «Dial Out».

И вводим данные подключения.

В правом нижнем углу можно увидеть статус подключения:

Добавим еще одно правило в IP => Firewall =>NAT:

В Out Interface выбираем созданное l2tp подключение, а во вкладке Action — «masquerade»:

На этом подключение должно быть установлено.

L2TP\PPTP\SSTP\OVPN\PPPoE Server Binding в Mikrotik.

  Для настройки VPN-сервера в Mikrotik достаточно открыть доступ по порту для прохождения пакетов на роутер, включить галочку в сервере VPN, завести аккаунты выбрав и настроив нужный профиль.

  После этого будут создавать динамические интерфейсы при подключении клиента впн.

  

  Но, для того, что-бы оперировать с этими интерфейсами нужно создать Server Binding интерфейс. Это статический интерфейс для определенного имени пользователя VPN-подключения. С помощью его можно создавать правила в firewall (например правило маскарадинга), указывать маршруты и т.д. В отличие от динамического интерфейса он не создается каждый раз заново при подключении, а это значит что маршруты и правила в фаерволе, которые с ним оперируют, при подключенном VPN клиента обязательно сработают. Если вы сделаете правило или маршрут на динамический интерфейс (который создается автоматически при подключении, если не указывать Server Binding), то при разрыве и новом подключении ваш интерфейс в правиле будет неактивен.

 Значит для нашего клиента добавляем Server Binding

  Теперь с интерфейсом «pptp-23q» можно оперировать свободно.

  Единственное что-бы я хотел подчеркнуть, что при быстром переподключении клиента VPN (например роутер клиента VPN перегрузился), не всегда быстро разрывается VPN соединение на нашем сервере Mikrotik, и при повторном подключении наш Binding получается уже подключен, и создается новый динамический интерфейс.

  При этом правила и маршруты становятся неактивные

  Но этот «баг» можно исправить, изменив время Keepalive Timeout в настройках PPTP-сервер, с 30 сек на 5 сек.

  Теперь, даже если разрыв VPN происходит совсем на небольшое время — интерфейс строится красиво, и маршрут активен.

    Ради правды стоит сказать, что даже если останется большее время таймаута — по его истечению «неправильный» динамический интерфейс пропадет и заработает интерфейс Server Binding, но так все-же будет более правильно.

Подписаться на новые статьи.

L2TP — RouterOS — Документация MikroTik

  • Перейти к содержанию
  • Перейти к панировке
  • Перейти к меню заголовка
  • Перейти к меню действий
  • Перейти к быстрому поиску

Связанные приложения

Загрузка …

  • Пространства

  • Нажмите Enter для поиска

  • Помогите

    • Онлайн помощь

    • Горячие клавиши

    • Feed Builder

    • Какие новости

    • Доступные гаджеты

    • О Confluence

  • Авторизоваться

RouterOS

  • Страницы
  • Блог

Дерево страниц

    Просмотр страниц

    Инструменты ConfigureSpace

      • А т тахеометры (3)

      • История страницы

      • Люди, которые могут просматривать

      • Информация о странице

      • Решенные комментарии

      • Просмотреть в иерархии

      • Просмотреть исходный код

      • Экспорт в PDF

      • Экспор

    Mikrotik — PPTP

    gregory78

    : 15.02.2015
    №: 155,689
    : 157

    : 22, 2017 12:24: Mikrotik — PPTP

    : gregory78 (22, 2017 13:33), 3 ()

    !

    avelor
    [+]

    : 12.02.2007
    #: 51,483
    : 10639
    :

    : 115

    vertex4
    Гуру сетей

    : 13.08.2016
    #: 162,658
    : 1915

    : 24

    : 22, 2017 12:29:


    _________________
    Можжевельник.// ..
    gregory78

    : 15.02.2015
    #: 155,689
    : 157

    : 22, 2017 13:25:

    ArcticFox
    системные администраторы

    : 17.05.2011
    #: 131 148
    : 6574
    :

    : 31

    : 22, 2017 16:18:


    _________________
    .

    :

    Можжевельник: JNCIA,

    Mikrotik: MTCNA, MTCRE, MTCTCE, консультант MTCINE

    Звездочка: dCAA

    ITIL v4.0 Foundation

    :, мс

    VMware / vCloud / NSX
    gregory78

    : 15.02.2015
    №: 155,689
    : 157

    : 22, 2017 18:08:

    :
    : 95,11 КБ
    : 13732 ()
    gregory78

    : 15.02.2015
    №: 155,689
    : 157

    : 22, 2017 18:23:

    :
    (120 1) : экспорт compact.txt
    : 10,88 КБ
    : 54 ()
    avelor
    [+]

    : 12.02.2007
    #: 51,483
    : 10639
    :

    : 115

    gregory78

    : 15.02.2015
    #: 155,689
    : 157

    : 22, 2017 18:40:

    :
    (120 1) : Клиент.txt
    : 5,61 КБ
    : 52 ()
    gregory78

    : 15.02.2015
    #: 155,689
    : 157

    : 22, 2017 18:41:

    !
    .
    optimism.ru

    Как настроить Mikrotik L2TP-сервер через IPSec — Techonia

    В этой статье показано, как настроить сервер L2TP Mikrotik через IPSec.

    С выпуском macOS 10.12 Sierra и iOS 10 Apple удалила клиент PPTP в этих операционных системах по соображениям безопасности. Поэтому, если вы ранее использовали PPTP-клиент для подключения к своему офису в локальной сети, вы больше не сможете этого сделать в macOS 10.12 и iOS 10.

    Однако не беспокойтесь, к счастью, есть лучшее решение, использующее L2TP поверх IPSec, которое предлагает более безопасное соединение, чем PPTP.В этой статье показано, как настроить Mikrotik в качестве L2TP-сервера. С этим настроенным сервером L2TP вы можете позже подключить свой Mac, iPhone, Android, Windows или Linux в качестве клиентов L2TP.

    В этом примере конфигурации я использую Mikrotik CCR под управлением RouterOS версии 6.23. Используйте Winbox для удаленного подключения к роутеру Mikrotik.

    Назначить IP-адрес для сети VPN

    Я использую IP-адрес 172.30.19.0/28. Конечно, вы можете назначить IP-адрес по своему усмотрению.

     / IP-адрес
    добавить адрес = 172.30.19.1 / 28 интерфейс = vlan-19-Access-VPN сеть = 172.30.19.0 

    Включить L2TP-сервер

    По умолчанию сервер L2TP отключен, вы должны включить его вручную, как показано ниже

     / интерфейс l2tp-server server
    установить профиль по умолчанию = по умолчанию включен = да 

    Создать пул IP

    Пользователям, которые подключаются к серверу VPN, необходимо назначить IP-адреса. Хотя вы можете статически назначать IP-адреса пользователям по одному, но более эффективно назначать его динамически с помощью IP Pool.Этот пул IP-адресов будет динамически назначаться подключенным пользователям.

     / ip бассейн
    добавить name = vpn-pool range = 172.30.19.2-172.30.19.14 

    Создать профиль PPP

    Чтобы упростить назначение IP-адресов, создайте профиль PPP для подключенных пользователей.

     / PPP профиль
    добавить dns-server = 8.8.8.8,8.8.4.4 local-address = 172.30.19.1 name = vpn-profile \
    удаленный-адрес = vpn-пул использование-шифрование = да 

    Создать учетную запись PPP для каждого пользователя

    Пользователям должны быть назначены имя пользователя и пароль, чтобы иметь возможность подключаться к серверу L2TP

     / ppp секрет
    добавить имя = fuad пароль = ваш пароль профиль = vpn-профиль 

    Создать узел IPSec

    Это то, что отличает PPTP-сервер.В L2TP через IPSec мы должны создать одноранговый узел IPSec, как показано ниже:

     / ipsec одноранговый узел
    добавить dpd-maximum-failures = 2 enc-algorithm = 3des, aes-128, aes-256 exchange-mode = main-l2tp \
    generate-policy = port-override local-address = 172.30.19.1 секрет = 1234567890 

    С конфигурацией выше Mikrotik должен быть готов принимать L2TP-запросы от клиентов. Надеюсь, этот пост будет полезен для вас, кто ищет конфигурацию L2TP на Mikrotik.

    MikroTik 6 L2TP VPN Setup Tutorial

    Его руководство было сделано на 6.40.5 версия MikroTik RouterOS. Пожалуйста, убедитесь, что на вашем маршрутизаторе установлена ​​эта или более новая версия, прежде чем выполнять следующие действия.

    Информация по умолчанию:

    IP-адрес маршрутизатора по умолчанию: 192.168.88.1
    Имя пользователя: admin
    Пароль не требуется, оставьте это поле пустым.


    Шаг 1

    Подключитесь к маршрутизатору MikroTik с помощью кабеля Ethernet, компьютер должен быть подключен к порту LAN маршрутизатора VPN.Рекомендуется не использовать порт LAN1.

    Откройте свой веб-браузер, введите в адресной строке 192.168.88.1 и нажмите Enter.
    Вам будет предложено ввести имя пользователя / пароль. Значения по умолчанию: admin (имя пользователя) с пустым паролем (оставьте поле пустым).

    Обратите внимание: если вы не можете получить доступ к веб-интерфейсу MikroTik, вам следует загрузить приложение WinBox с веб-сайта MikroTik mikrotik.com .
    Там вы можете найти его в разделе « Software »> « Downloads »> « Полезные инструменты и утилиты ».
    Он работает в системе Windows, а также в macOS и Linux с использованием эмулятора Wine.

    После входа в систему перейдите к опции « PPP » в левом меню.
    Должна открыться вкладка « Интерфейс ».
    Нажмите кнопку « + » и выберите « L2TP-клиент ».


    Шаг 2

    На вкладке « Общие » заполните поле « Имя ». Он может быть любым, рекомендуем StrongVPN L2TP .


    Шаг 3

    Выберите вкладку « Dial Out ».
    Введите полный адрес сервера в поле « Connect To ». Адрес сервера — это ваши учетные данные, которые вы получаете в Зоне клиентов в начале этого руководства. Если вы не знаете, где его взять, прокрутите страницу вверх, там вы найдете инструкции.
    Ваш сервер — это не str-XXXXXX.reliablehosting.com, это просто пример.

    Введите поля « Пользователь » и « Пароль ».
    Это не ваш адрес электронной почты и пароль от нас, которые вы используете для входа в Зону клиента, также не используйте «sXXXXXX» и «XXXXXXXXXX», это всего лишь примеры.
    « User » и « Password » — это ваши учетные данные, которые вы уже получили из Зоны клиентов.
    Установите флажок « Использовать IPsec » и введите « Секрет IPsec ».
    Ваш секрет для IPSec — это ваши учетные данные, которые вы получили ранее в Зоне клиента.

    Убедитесь, что у вас установлен флажок « mschap2 » в разделе « Разрешить ».
    Нажмите кнопку « Применить ».


    Шаг 4

    Теперь в левом меню выберите опцию « IP » и в подменю выберите « Firewall ».


    Шаг 5

    На вкладке « NAT » нажмите кнопку « + », чтобы добавить новое правило NAT.


    Шаг 6

    На вкладке « Общие » выберите « srcnat » в поле « Chain ».
    для « Out. Интерфейс »выберите StrongVPN L2TP , имя вашего VPN-соединения, которое вы создали ранее.


    Шаг 7

    Выберите вкладку « Action ».Выберите « masquerade » из раскрывающегося списка для поля « Action ».
    Щелкните « OK ».


    Шаг 8

    Теперь вы вернетесь в окно « Firewall », выберите вкладку « Mangle » и нажмите кнопку « + ».


    Шаг 9

    На вкладке « Общие » для поля « Цепочка » выберите « предварительная трассировка ».
    В « Src. Адрес »введите либо IP-адрес, либо диапазон IP-адресов, которые вы хотите маршрутизировать через VPN-соединение.
    Здесь мы используем адрес источника для идентификации пакетов, которые должны маршрутизироваться через VPN.

    Обратите внимание: Этот диапазон IP-адресов (192.168.88.2-192.168.88.254) является примером. Это диапазон IP-адресов по умолчанию, который MikroTik назначает устройствам, подключенным к его локальной и беспроводной сети. Если вы изменили этот диапазон IP-адресов или вам нужно маршрутизировать только некоторые IP-адреса через VPN-туннель, вам следует изменить это поле. Вы также можете использовать другие средства идентификации или комбинацию идентификаторов, например порт назначения и адрес источника.
    Имейте в виду, что вам необходимо убедиться, что трафик, исходящий от маршрутизатора MikroTik, исключен из этой маркировки, иначе он попытается связаться с VPN-сервером через сам VPN, что приведет к разрыву соединения.


    Шаг 10

    Перейдите на вкладку « Action ». Выберите « mark routing » для « Action ».
    « New Routing Mark » может быть любым, например « strongvpn_routing_mark ».
    Щелкните « OK ».


    Шаг 11

    Перейдите к « IP » (левое меню) и в подменю выберите « Routes ».


    Шаг 12

    На вкладке « Routes » нажмите кнопку « + ».


    Шаг 13

    В поле « Dst.Address » введите « 0.0.0.0/0 ».
    Выберите « StrongVPN L2TP » (ваш VPN-интерфейс, который вы создали на шагах , этапы 2, и 3, ) для « Gateway ».
    Для « Routing Mark » выберите имя маршрута, которое вы создали на шаге 10 .
    Щелкните « OK ».


    Шаг 14

    Теперь вы вернетесь в окно « Route List ». Найдите свое VPN-соединение, щелкните его правой кнопкой мыши и выберите « Включить ».


    Шаг 15

    Перейдите к « IP » (левое меню) и в подменю выберите « DNS ».


    Шаг 16

    В настройках DNS введите « 8.8.8.8 »в качестве первого DNS-сервера и« 8.8.4.4 »в качестве второго DNS-сервера. (Если у вас есть только одно белое поле в поле «Серверы», щелкните стрелку вниз, и появится другое белое поле).
    Щелкните « OK ».


    Шаг 17

    Если MikroTik действует как DHCP-клиент, вы должны убедиться, что настройки DHCP не перезаписывают введенный вручную DNS.
    Перейдите к « IP » (левое меню) и в подменю выберите « DHCP-клиент ».


    Шаг 18

    На вкладке « DHCP-клиент » дважды щелкните запись DHCP-клиента.


    Шаг 19

    На вкладке « DHCP » снимите флажок « Использовать одноранговый DNS » и нажмите « OK ».


    Шаг 20

    Чтобы убедиться, что вы успешно подключились, посетите strongvpn.com в своем веб-браузере и проверьте свой IP-адрес вверху страницы.

    Если вы хотите увидеть статус подключения на интерфейсе маршрутизатора, перейдите к « Интерфейсы » (левое меню), найдите и дважды щелкните свое VPN-соединение и выберите вкладку « Статус ». В правом нижнем углу вы увидите «Статус : подключен ».


    Подключение L2TP на MikroTik 6

    1. Войдите в интерфейс маршрутизатора MikroTik с помощью веб-браузера или приложения WinBox, IP-адрес маршрутизатора — 192.168.88.1 по умолчанию, логин: admin с без пароля , если не меняли ранее.
    2. Перейдите в « Интерфейсы » (меню слева) и найдите VPN-соединение.
    3. Щелкните его правой кнопкой мыши и выберите « Включить ».

    Отключение L2TP на MikroTik

    1. Войдите в интерфейс маршрутизатора MikroTik с помощью веб-браузера или приложения WinBox, IP-адрес маршрутизатора по умолчанию 192.168.88.1 , логин admin с без пароля , если ранее не менялись.
    2. Перейдите в « Интерфейсы » (меню слева) и найдите VPN-соединение.
    3. Щелкните его правой кнопкой мыши и выберите « Отключить ».

    MikroTik Secure VPN Part 1 MikroTik to MikroTik — блог LinITX

    Это часть 1 инструкции по VPN, которая поможет в настройке безопасных VPN-сервисов на устройствах Mikrotik. В части 1 я сосредоточусь на базовой настройке и безопасном VPN-подключении MikroTik к MikroTik. Здесь можно найти часть 1.5, в которой основное внимание уделяется Mikrotik — Mikrotik IPsec VPN.Часть 2 будет посвящена настройке защищенного VPN с IPSec на MikroTik с мобильного IOS или Android и компьютера с операционными системами на базе Windows / OSX / Ubuntu.

    В части 1 этого практического руководства я буду использовать CRS 125-24G-1S в качестве домашнего маршрутизатора и VPN-сервера и mAP в качестве удаленного маршрутизатора MikroTik. Целью этого практического руководства является установка БЕЗОПАСНОГО подключения дома (или в office), чтобы получить доступ к ресурсам / службам дома / офиса, а также обойти ограничения и уязвимости, которые могут быть вызваны незнакомыми интернет-подключениями.(все инструкции и изображения в этом практическом руководстве взяты из RouterOS версии 6.19)

    Сторона сервера

    Давайте начнем со стороны сервера (CRS 125-24G-1S), здесь нам нужно настроить его для L2TP-соединений вместе с настройкой брандмауэра, чтобы разрешить такие соединения, а также нам нужно настроить сервер для обеспечения VPN с действительные IP-адреса (при необходимости можно установить одну статическую запись). Шаг первый — создать набор (пул) используемых IP-адресов для любых входящих VPN-подключений, после входа в систему через Winbox перейдите к IP, а затем к пулу.В этом новом окне вы должны увидеть свой существующий пул DHCP, нам нужно создать полностью отдельный пул в другой подсети , чтобы отделить внутренний трафик от трафика VPN. Щелкните значок плюса, дайте новому пулу понятное имя и введите новый диапазон адресов, например 192.168.5.2-192.168.5.20.

    Затем нам нужно создать профиль для использования L2TP-соединения, цель профиля — правильно настроить входящие и аутентифицированные VPN-соединения с правильными деталями, такими как назначенный IP-адрес / локальный адрес / детали DNS, а также шифрование или требуется сжатие.Вкладку профилей соединений можно найти в меню PPP, 2 профиля по умолчанию можно отредактировать в соответствии с нашими потребностями, но для целей этого руководства я создам новый профиль. Щелкните значок плюса и дайте новому профилю осмысленное имя, например Профиль L2TP / IPSec, локальный адрес будет первым IP-адресом подсети, используемой в пуле IP-адресов VPN, в моем примере это 192.168.5.1 (этот адрес не должен быть в пуле IP-адресов). Удаленный адрес должен быть настроен на использование пула IP-адресов, который мы создали ранее, раскрывающееся меню можно использовать для доступа ко всем пулам IP-адресов.Последнее поле, которое необходимо заполнить на DNS-сервере, должно совпадать с локальным адресом, например. 192.168.5.1 (этот адрес будет идентифицирован как собственный адрес маршрутизатора после установки VPN). Наконец, выберите вкладку «Протоколы» и убедитесь, что в разделе «Использовать шифрование» выбран необходимый параметр.

    Теперь у нас настроен профиль. Следующим шагом будет включение опции L2TP-сервера. Это можно сделать в меню PPP на вкладке «Интерфейсы», просто нажав кнопку «L2TP Server».Убедитесь, что в окне L2TP-сервера выбран параметр «Включено», а в качестве профиля по умолчанию задан профиль, который мы только что создали, и что «mschap2» выбран в качестве параметра аутентификации (наиболее безопасный из доступных вариантов). точка, поскольку 2 Mikrotiks будут шифровать соединение с использованием 256-битного AES (IPSec будет представлен в следующем блоге о VPN).

    Прежде чем мы сможем настроить клиентскую сторону для подключения, нам нужно создать учетную запись пользователя VPN, для этого перейдите к «Секретам» в меню PPP и нажмите +, чтобы создать нового пользователя.Для целей этого, как мой пользователь будет иметь имя VPN с профилем, установленным на профиль, который мы создали ранее, и сервис, установленный на L2TP, для пользователя также необходимо будет ввести пароль.

    Теперь у сервера есть вся информация, необходимая для аутентификации и назначения соединения с соответствующими данными IP, но нам не хватает одного последнего компонента, чтобы это соединение работало должным образом, и это наш брандмауэр. Брандмауэр необходимо настроить так, чтобы он принимал порты, связанные с L2TP-соединением, и имел возможность NAT для входящего соединения для совместного использования в Интернете.Основное правило брандмауэра для разрешения L2TP-соединения будет установлено для входной цепочки с установленным UDP и номером порта 1701, действие будет принято. Необходимое правило Nat — это простое правило srcnat для маскировки всех IP-адресов в подсети пула VPN, в моей конфигурации адрес src ’будет 192.168.5.0/24, что означает, что любые адреса с 192.168.5, x будут замаскированы.

    Теперь серверная часть готова.

    Клиентская сторона

    Настройка на стороне клиента очень проста, я предполагаю, что ваш клиент Mikrotik полностью работает и имеет доступ в Интернет. Первым и последним шагом в настройке клиентской части для VPN-подключения к серверу является ввод сведений о подключении в клиентский интерфейс L2TP. На клиенте MikroTik, в данном случае mAP, выберите PPP в меню, а затем нажмите + на вкладке интерфейсов, теперь отобразится список возможных интерфейсов, выберите «L2TP Client».Откроется новое окно, вы можете ввести осмысленное имя для подключения на вкладке «Общие», в поле «Исходящий звонок» введите данные своей учетной записи (настроены в секрете на стороне сервера) в поле «Пользователь и пароль». и убедитесь, что выбран «mschap2». Раздел «Подключиться к:» необходимо заполнить общедоступным IP-адресом на стороне сервера или понятным DNS-именем (на изображении ниже оно было пусто из соображений безопасности. Чтобы найти свой общедоступный IP-адрес, нажмите эту ссылку, находясь на на стороне сервера (MyIP).

    После нажатия кнопки «Применить» VPN должен сработать и подключиться, это можно проверить, щелкнув вкладку состояния во вновь созданном интерфейсе. Вы также можете увидеть, установлено ли соединение, войдя на сервер Mikrotik и загрузив меню PPP, вы увидите интерфейс с типом «L2TP Server Binding», который показывает активное L2TP-соединение.

    Сервер Mikrotik, используемый в этом руководстве, можно найти здесь, а также карту mAP, которую можно найти здесь.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *