Настройка l2tp сервера mikrotik: VPN L2TP IPSec Mikrotik » RouteWorld. . .
Настройка MikroTik VPN сервера L2TP — Mysysadmin
Компьютеры, та и вся техника смогут обмениваться информацией вне зависимости от географического расположения.
Для VPN клиентов лучше создать отдельную подсеть, это добавит больше возможностей в ограничении доступа между VPN клиентами и локальной сетью, а также в самой маршрутизации.
Добавление новой подсети
Настройка находится IP->Pool
/ip pool add name=LAN-Ip-Pool ranges=192.168.10.100-192.168.10.150
Настройка VPN сервера L2TP(на сервере)
Настройка находится PPP->Profile
Предварительно нужно задать сетевые параметры для VPN клиентов
/ppp profile add change-tcp-mss=yes dns-server=192.168.10.1 local-address=\ 192.168.10.1 name=l2tp remote-address=pool-1 use-encryption=yes
Активация VPN сервера L2TP
Настройка находится PPP->Interface->L2TP Server
/interface l2tp-server server set authentication=mschap2 default-profile=l2tp enabled=yes \ ipsec-secret=mikrotik-config.ukr use-ipsec=required
Use-ipsec=required принудит vpn клиента к обязательному использованию IpSec;
Use-ipsec=yes(по умолчанию) проставляет выбор vpn клиенту в использовании IpSec, т.е. может не использоваться.
Создание учётной записи для VPN клиента
Этой учётной записью будет пользоваться VPN клиент для удаленного подключения к VPN серверу.
Настройка находится PPP->Interface->Secrets
/ppp secret add name=user1 password=user1 profile=l2tp
Разрешение FireWall для подключения VPN клиентов
Настройка находится IP->Firewall
/ip firewall filter add action=accept chain=input comment="Port Access" dst-port=500,1701,4500 \ in-interface=WAN-ether1 protocol=udp
VPN подключение L2TP между двумя MikroTik-ами, объединение офисов
В этой настройке будут участвовать два роутера MikroTik, один в качества сервера, другой в качестве клиента. На этапе создание такого подключения стоит обратить внимание на модель MikroTik, т.к. от неё зависит количество VPN подключений, а также возможность обрабатывать такие потоки данных. Для консультации по этому вопросу обращайтесь в Настройка-Микротик.укр через контактную форму.
Для объединения двух офисов и работы маршрутизации данную настройку лучше разбить на два блока:
- Настройка клиент-серверной части;
- Добавление статических маршрутов для прохождения трафика.
Серверная часть была описана ваше, но требует корректировки в виде статических адресов для VPN клиента
Настройка находится PPP->Interface->Secrets
/ppp secret add local-address=192.168.10.1 name=user2 password=user2 profile=l2tp \ remote-address=192.168.10.2
а клиентская часть состоит из настройки L2TP клиента.
Настройки L2TP клиента(на клиенте)
Настройка находится PPP->Interface->+L2TP Client
/interface l2tp-client add connect-to=90.200.100.99 disabled=no ipsec-secret=TopNet_Pass use-ipsec=yes name=\ l2tp-out1 password=user2 user=user2
Настройка маршрутизации со стороны VPN сервера
Это правило укажет роутеру MikroTik куда направлять трафик.
Настройка находится IP->Routes
/ip route add distance=1 dst-address=192.168.88.0/24 gateway=192.168.10.2
Настройка маршрутизации со стороны VPN клиента
Настройка находится IP->Routes
/ip route add distance=1 dst-address=192.168.0.0/24 gateway=192.168.10.1
Создание VPN подключения L2TP Windows
ОС семейства Windows имеют штатный VPN клиент, который отлично подходит под эту роль. Для его настройки нужно перейти
Панель управления\Сеть и Интернет\Центр управления сетями и общим доступом
создание Windows VPN клиента
выбор нового подключения
использовать текущее подключение к интернету
указать адрес VPN сервера
настройка VPN клиента Windows
указать ключ IpSec
подключение Windows VPN
статус подключения Windows VPN
Мы живем в Питере
Все команды, которые приводятся ниже, должны выполняться из командной строки. В Linux — это окно терминала, в Windows — командная строка (cmd.exe) с переходом в папку установки PostgreSQL.
Создание резервных копий
Базовая команда
Синтаксис:
pg_dump <параметры> <имя базы> > <файл, куда сохранить дамп>
Пример:
pg_dump users > /tmp/users.dump
Пользователь и пароль
Если резервная копия выполняется не от учетной записи postgres, необходимо добавить опцию -U с указанием пользователя:
pg_dump -U dmosk -W users > /tmp/users.dump
* где dmosk — имя учетной записи; опция W потребует ввода пароля.
Сжатие данных
Для экономии дискового пространства или более быстрой передачи по сети можно сжать наш архив:
pg_dump users | gzip > users.dump.gz
Скрипт для автоматического резервного копирования
Рассмотрим 2 варианта написания скрипта для резервирования баз PostgreSQL. Первый вариант — запуск скрипта от пользователя root для резервирования одной базы. Второй — запуск от пользователя postgres для резервирования всех баз, созданных в СУБД.5].*» -o -name «*-[023]?.*» \) -ctime +61 -delete
for dbname in `echo «SELECT datname FROM pg_database;» | psql | tail -n +3 | head -n -2 | egrep -v ‘template0|template1|postgres’`; do
pg_dump $dbname | gzip > $pathB/$dbname-$(date «+%Y-%m-%d»).sql.gz
done;
* где /backup — каталог, в котором будут храниться резервные копии; pathB — путь до каталога, где будут храниться резервные копии.
* данный скрипт сначала удалит все резервные копии, старше 61 дня, но оставит от 15-о числа как длительный архив. После найдет все созданные в СУБД базы, кроме служебных и при помощи утилиты pg_dump будет выполнено резервирование каждой найденной базы. Пароль нам не нужен, так как по умолчанию, пользователь postgres имеет возможность подключаться к базе без пароля.
Зададим в качестве владельца файла, пользователя postgres:
chown postgres:postgres /scripts/postgresql_dump.sh
Для запуска резервного копирования по расписанию, сохраняем скрипт в файл, например, /scripts/postgresql_dump.sh и создаем задание в планировщике:
* мы откроем на редактирование cron для пользователя postgres.
3 0 * * * /scripts/postgresql_dump.sh
* наш скрипт будет запускаться каждый день в 03:00.
Права и запуск
Разрешаем запуск скрипта, как исполняемого файла:
chmod +x /scripts/postgresql_dump.sh
Единоразово можно запустить задание на выполнение резервной копии:
/scripts/postgresql_dump.sh
На удаленном сервере
Если сервер баз данных находится на другом сервере, просто добавляем опцию -h:
pg_dump -h 192.168.0.15 users > /tmp/users.dump
* необходимо убедиться, что сама СУБД разрешает удаленное подключение.
Дамп определенной таблицы
Запускается с опцией -t <table> или —table=<table>:
pg_dump -t students users > /tmp/students.dump
* где students — таблица; users — база данных.
Размещение каждой таблицы в отдельный файл
Также называется резервированием в каталог. Данный способ удобен при больших размерах базы или необходимости восстанавливать отдельные таблицы. Выполняется с ипользованием ключа -d:
pg_dump -d customers > /tmp/folder
* где /tmp/folder — путь до каталога, в котором разместяться файлы дампа для каждой таблицы.
Только схемы
Для резервного копирования без данных (только таблицы и их структуры):
pg_dump —schema-only users > /tmp/users.schema.dump
Только данные
pg_dump —data-only users > /tmp/users.data.dump
Использование pgAdmin
Данный метод хорошо подойдет для компьютеров с Windows и для быстрого создания резервных копий из графического интерфейса.
Запускаем pgAdmin — подключаемся к серверу — кликаем правой кнопкой мыши по базе, для которой хотим сделать дамп — выбираем Резервная копия:
В открывшемся окне выбираем путь для сохранения данных и настраиваемый формат:
При желании, можно изучить дополнительные параметры для резервного копирования:
После нажимаем Резервная копия — ждем окончания процесса и кликаем по Завершено.
Не текстовые форматы дампа
Другие форматы позволяют делать частичное восстановление, работать в несколько потоков и сжимать данные.
Бинарный с компрессией:
pg_dump -Fc users > users.bak
Тарбол:
pg_dump -Ft users > users.tar
Directory-формат:
pg_dump -Fd users > users.dir
Использование pg_basebackup
pg_basebackup позволяет создать резервную копию для кластера PostgreSQL.
pg_basebackup -h node1 -D /backup
* в данном примере создается резервная копия для сервера node1 с сохранением в каталог /backup.
pg_dumpall
Данная утилита делает выгрузку всех баз данных, в том числе системных. На выходе получаем файл для восстановления в формате скрипта.
Утилиту удобно использовать с ключом -g (—globals-only) — выгрузка только глобальных объектов (ролей и табличных пространств).
Для создание резервного копирования со сжатием:
pg_dumpall | gzip > cluster.tar.gz
Восстановление
Может понадобиться создать базу данных. Это можно сделать SQL-запросом:
=# CREATE DATABASE users WITH ENCODING=’UTF-8′;
* где users — имя базы; UTF-8 — используемая кодировка.
Базовая команда
Синтаксис:
psql <имя базы> < <файл с дампом>
Пример:
psql users < /tmp/users.dump
С авторизацией
При необходимости авторизоваться при подключении к базе вводим:
psql -U dmosk -W users < /tmp/users.dump
* где dmosk — имя учетной записи; опция W потребует ввода пароля.
Из файла gz
Сначала распаковываем файл, затем запускаем восстановление:
psql users < users.dump
Или одной командой:
zcat users.dump.gz | psql users
Определенную базу
Если резервная копия делалась для определенной базы, запускаем восстановление:
psql users < /tmp/database.dump
Если делался полный дамп (всех баз), восстановить определенную можно при помощи утилиты pg_restore с параметром -d:
pg_restore -d users cluster.bak
Определенную таблицу
Если резервная копия делалась для определенной таблицы, можно просто запустить восстановление:
psql users < /tmp/students.dump
Если делался полный дамп, восстановить определенную таблицу можно при помощи утилиты pg_restore с параметром -t:
pg_restore -a -t students users.dump
С помощью pgAdmin
Запускаем pgAdmin — подключаемся к серверу — кликаем правой кнопкой мыши по базе, для которой хотим восстановить данные — выбираем Восстановить:
Выбираем наш файл с дампом:
И кликаем по Восстановить:
Использование pg_restore
Данная утилита предназначена для восстановления данных не текстового формата (в одном из примеров создания копий мы тоже делали резервную копию не текстового формата).
Из бинарника:
Из тарбола:
pg_restore -Ft users.tar
С создание новой базы:
pg_restore -Ft -C users.tar
Возможные ошибки
Input file appears to be a text format dump. please use psql.
Причина: дамп сделан в текстовом формате, поэтому нельзя использовать утилиту pg_restore.
Решение: восстановить данные можно командой psql <имя базы> < <файл с дампом> или выполнив SQL, открыв файл, скопировав его содержимое и вставив в SQL-редактор.
No matching tables were found
Причина: Таблица, для которой создается дамп не существует. Утилита pg_dump чувствительна к лишним пробелам, порядку ключей и регистру.
Решение: проверьте, что правильно написано название таблицы и нет лишних пробелов.
Too many command-line arguments
Причина: Утилита pg_dump чувствительна к лишним пробелам.
Решение: проверьте, что нет лишних пробелов.
Aborting because of server version mismatch
Причина: несовместимая версия сервера и утилиты pg_dump. Может возникнуть после обновления или при выполнении резервного копирования с удаленной консоли.
Решение: нужная версия утилиты хранится в каталоге /usr/lib/postgresql/<version>/bin/. Необходимо найти нужный каталог, если их несколько и запускать нужную версию. При отсутствии последней, установить.
No password supplied
Причина: нет системной переменной PGPASSWORD или она пустая.
Решение: либо настройте сервер для предоставление доступа без пароля в файле pg_hba.conf либо экспортируйте переменную PGPASSWORD (export PGPASSWORD или set PGPASSWORD).
На этом всё. Спасибо за внимание.
Настройка VPN через MikroTik | DEPS
VPN – (Virtual Private Network) виртуальная частная сеть. Даная технология позволяет обеспечить максимальную безопасность при подключении к удаленным сетям и использования их ресурсов словно вы подключены к сети напрямую, а не через сеть Интернет.
Сегодня использования VPN уже не является привилегией большой бизнеса. Даже простой домашний пользователь может воспользоваться данной технологией, для посещения различный сайтов, доступ к которым закрыт по региональному признаку, при этом не оставив и следа о своем перебивании на данном ресурсе.
В данной статье будет рассмотрен пример построения VPN-тунеля для подключения к домашней сети на базе маршрутизатора производства MikroTik. Также будет рассмотри один из наиболее популярного типа VPN подключения, а именно L2TP. (популярный он потому, что клиент L2TP уже предустановленный в операционной системе Microsoft Windows).
Управление домашней сетью через интернет
Управлять своей домашней сетью находясь при этом на роботе или в отпуске можно без проблем, когда ваш домашний маршрутизатор имеет реальный IP адрес*.
Что такое реальный IP адрес
При подключении к сети Интернет компьютер или маршрутизатор получает IP адрес через который он взаимодействует с сетью. Это адрес может быть назначен из локальной сети провайдера, что позволяет скрыть ваше оборудование от открытого доступа из вне. Или может быть назначен реальный IP адрес, что позволяет вашему оборудования напрямую взаимодействовать с сетью Интернет, что в свою очередь делает ваше оборудование доступным из внешней сети.
Ну, а если возможности получить реальный IP адрес нет, а доступ к домашней сети необходим?
Эту проблему можно решить несколькими способами, конечно же если домашний маршрутизатор — MikroTik. В данной статье будет рассмотрено два варианта подключений, первый рассчитан на пользователей, которые уже имеют небольшой навык работы с RouterOS. Если вам нет времени на изучение этого вопроса и вам нужно быстро и без лишних хлопот построить VPN туннель, то смело листайте вниз до варианта №2.
Вариант №1. Используем маршрутизатор в качестве vpn клиента, а в качестве сервера будет использоваться сервер на работе или маршрутизатор с реальный IP адресом:
Вкладка PPP – Interface жмем «+» и выбираем L2TP Client
В открывшемся окне переходим на кладку General и даем название вашему соединению. Далее переходим во вкладку Dial Out, здесь мы настраиваем основные параметры подключения к удаленному серверу:
Connect to: указываем IP адрес удаленного сервера (IP адрес должен быть реальный)
USER: Имя пользователя
Password: Пароль
Для дополнительной защиты VPN соединение можно зашифровав его IPsec. Ставим галочку и назначаем пароль. ВАЖНО: при использовании дополнительного шифрование IPsec будет корректно работать между двумя маршрутизаторами MikroTik. При построении VPN –тунеля с маршрутизатором других производителей или в случае использования встроенного клиента Microsoft Windows дополнительное шифрование следует отключить во избежание ошибок подключения.
VPN клиент настроен, переходим к настройке VPN сервера.
В качестве VPN сервера будет использоваться маршрутизатор Mikrotik.
Вкладка PPP – Interface, жмем кнопку L2TP Server, ставим галочку Enable. Повышаем безопасность добавляя IPsec шифрование, в поле Use IPsec в меню выбираем Yes , а ниже в поле IPsec Secret вводим пароль. И жмем ОК.
Сервер включен, осталось добавить пользователя логин и пароль которого мы создали на стороне клиента.
Переходим во вкладку Secrets, жмем «+» и создаем пользователя и выбираем тип VPN туннеля.
Настройки закончены, теперь сидя на работе и открыв Winbox* вы получите доступ к домашнему маршрутизатору.
Winbox – программа позволяющая получить доступ к настройкам и управлению оборудованию MikroTik при помощи веб интерфейса.
К сожалению, данный метод подключения не всегда удобный. Особенно когда нужно попасть на домашнюю сеть с любой точки земного шара где есть доступ к сети интернет, а реальный IP адрес получить так и не удалось. В таком случае можно воспользоваться технологией DDNS. Но надежные ресурсы представление услуг будут платными, а бесплатные имеют тенденцию не работать в нужный момент или вовсе пропадать. Для решения данной проблемы компания MikroTik развернула собственное облако (cloud.mikrotik.com) с предоставлением услуги DDNS. А настроить доступ к своему маршрутизатору можно за несколько секунд.
Вариант №2. Настройка удаленного доступа в один клик
Жмем Quick Set и в окне быстрых настроек включаем VPN в правом нижнем углу.
Включаем VPN и единственное, что нам надо ввести это пароль (пароль должен быть не из простых, подобрав пароль посторонний человек сможет попасть на ваш маршрутизатор)
12345679.sn.mynetname.net – этот адрес и есть внешний адрес домашней сети (где вместо цифр 123456789 будет серийный номер вашего маршрутизатора). Используя этот адрес можно с легкостью настроить VPN доступ к домашней сети.
Окончив с настройками VPN сервера переходим к подключению в виде клиента.
VPN подключение к сети при помощи встроенного клиента Microsoft Windows
Пуск-панель управления – Центр управления сетями и общим доступом
Выбираем пункт Настройка нового подключения – Подключение к рабочему месту – Подключение к VPN.
Далее вводим IP-адрес VPN сервера к которому будет осуществляться подключение и дадим этому подключение имя.
Вводим имя пользователя и пароль и подключаемся к удалённом VPN серверу.
Mikrotik IPSEC L2TP for Android · GitHub
Mikrotik IPSEC L2TP for Android · GitHub
Instantly share code, notes, and snippets.
Mikrotik IPSEC L2TP for Android
| Title: Настройка сервера VPN L2TP/IPSec на Mikrotik RoutersOS | |
| Date: 2013-05-31 17:25 | |
| Category: Mikrotik | |
| Tags: mikrotik, vpn | |
| Slug: mikrotik-lt2p-vpn | |
| Summary: Краткое описание настройки сервера VPN L2TP/IPSec на Mikrotik RoutersOS c возможностью подключения с помощью встроенных VPN клиентов Windows 7, Mac OS X и IOS. | |
|  | |
| **Замечение:** Если несколько клиентов находятся за NAT, то только одно L2TP/IPSec соединение может быть установлено. | |
| ## Базовая настройка | |
| «` | |
| /ip address | |
| add address=91.219.55.10/24 interface=ether1 | |
| add address=10.20.0.1/24 interface=ether2 | |
| /ip route | |
| add gateway=91.219.55.1 | |
| /ip firewall nat | |
| add chain=srcnat action=masquerade out-interface=ether1 | |
| /ip dns | |
| set allow-remote-requests=yes servers=91.219.55.1,8.8.8.8 | |
| /ip pool | |
| add name=lan_dhcp ranges=10.20.0.100-10.20.0.199 | |
| /ip dhcp-server | |
| add name=lan_dhcp address-pool=lan_dhcp interface=ether2 disabled=no | |
| /ip dhcp-server network | |
| add address=10.20.0.0/24 dns-server=10.20.0.1 gateway=10.20.0.1 | |
| «` | |
| ## Настройка L2TP | |
| Создадим еще один пул IP адресов из той-же подсети, который будет использоваться для VPN клиентов: | |
| «` | |
| /ip pool add name=lan_vpn ranges=10.20.0.200-10.20.0.254 | |
| «` | |
| Создайте новый PPP профиль: | |
| «` | |
| /ppp profile add name=l2tp-vpn-lan local-address=10.20.0.1 \ | |
| remote-address=lan-vpn dns-server=10.20.0.1 | |
| «` | |
| Включите L2TP сервер. Для наших целей достаточно только метода аутентификации *mschap2*. | |
| «` | |
| /interface l2tp-server server set enabled=yes authentication=mschap2 \ | |
| default-profile=l2tp-vpn-lan | |
| «` | |
| Создайте пользователя: | |
| «` | |
| /ppp secret add name=userlogin password=userpassword service=l2tp \ | |
| profile=l2tp-vpn-lan | |
| «` | |
| ## Настройка IPSec | |
| Созадем ipsec peer: | |
| «` | |
| /ip ipsec peer add address=0.0.0.0/0 port=500 auth-method=pre-shared-key \ | |
| secret=»shared_password_key» exchange-mode=main-l2tp send-initial-contact=yes \ | |
| nat-traversal=yes proposal-check=obey hash-algorithm=sha1 \ | |
| enc-algorithm=3des dh-group=modp1024 generate-policy=yes \ | |
| lifetime=»1d 00:00:00″ dpd-interval=120 dpd-maximum-failures=5 | |
| «` | |
| Некоторые разъяснения: | |
| * «address=0.0.0.0/0« — разрешаем подключение с любого IP адреса; | |
| * «auth-method=pre-shared-key« — аутентификация компьютера с помощью общего ключа; | |
| * «secret=»shared_password_key»« — пароль общего ключа; | |
| Созадем ipsec proposal | |
| «` | |
| /ip ipsec proposal set default auth-algorithms=sha1 \ | |
| enc-algorithms=3des,aes-256 lifetime=30m pfs-group= | |
| «` | |
| ## Включение Proxy-ARP | |
| Поскольку компьютеры в локальной сети и удаленные клиенты используют IP адреса из одной и той же подсети, необходимо включить proxy-arp на интерфейсе подключенном к локальной сети. В нашем примере это «ether2«: | |
| «` | |
| /interface ethernet | |
| set ether2 arp=proxy-arp | |
| «` |
You can’t perform that action at this time.
You signed in with another tab or window. Reload to refresh your session.
You signed out in another tab or window. Reload to refresh your session.
Настройка L2TP/IPsec vpn-сервера на маршрутизаторе Mikrotik
На сегодняшний день, использование L2TP/IPSec в качестве Client-to-Server VPN, является предпочитаемым на маршрутизаторах Mikrotik. Почему? Отвечаем. Большинство маршрутизаторов производства компании Mikrotik поддерживают аппаратное шифрование IPSec. А туннельный протокол L2TP, на текущий момент, поддерживается всеми современными операционными системами, такими как Windows, Android, MacOS. Ну и, кроме того, простота настройки, делает этот тип vpn-сервера универсальным стандартом для маршрутизатора Mikrotik.
Схема подключения выглядит следующим образом:
Создаем пул адресов для клиентов. Размер пула выбирайте исходя из того, сколько у Вас будет удаленных клиентов:
1. Открываем меню IP.
2. Выбираем Pool.
3. В появившемся окне нажимаем кнопку Add (+).
4. В поле Name: прописываем название пула: pool-l2tp.
5. В поле Addresses: прописываем диапазон ip-адресов: 192.168.50.10-192.168.50.50.
6. Нажимаем кнопку OK для сохранения настроек.
То же самое в командной строке:
>/ip pool >add name=pool-l2tp ranges=192.168.50.10-192.168.50.50
Создаем профиль для клиентов:
1. Открываем меню PPP.
2. Переходим на вкладку Profiles.
3. Нажимаем кнопку Add (+).
Настраиваем основные параметры:
1. В поле Name указываем название профиля.
2. В поле Local Address указываем локальный адрес vpn-сервера (в нашем случае — это будет 192.168.50.1).
3. В списке Remote Address выбираем созданный нами пул.
4. Значение Change TCP MSS меняем на yes.
5. Значение Use UPnP меняем на no.
6. Переходим на вкладку Protocols.
1. Значение USE MPLS меняем на no.
2. Значение USE Compression меняем на no.
3. Значение USE Encryption меняем на no.
4. Переходим на вкладку Limits.
1. Значение Only One меняем на yes.
2. Нажимаем кнопку OK для сохранения настроек.
То же самое используя командную строку:
>/ppp profile >add change-tcp-mss=yes local-address=192.168.50.1 name=l2tp-ipsec only-one=yes remote-address=pool-l2tp use-compression=no use-encryption=no use-mpls=no use-upnp=no
Создаем учетные записи пользователей, которые будут подключаться к vpn-серверу:
1. Переходим на вкладку Secrets.
2. Нажимаем кнопку Add (+).
1. В поле Name указываем имя пользователя.
2. В поле Password вводим пароль пользователя.
3. В списке Service выбираем протокол l2tp.
4. В списке Profile выбираем созданный нами профиль l2tp-ipsec.
5. Нажимаем кнопку OK для сохранения настроек.
В командной строке:
> /ppp secret > add name=user1 password=test1 profile=l2tp-ipsec service=l2tp
Запускаем сервер L2TP:
1. Переходим на вкладку Interface.
2. Нажимаем кнопку L2TP Server.
3. Включаем сервер — галочка Enabled.
4. В списке Default Profile выбираем наш профиль.
5. Отключаем протокол mschap1.
6. Отключаем протокол pap.
7. В списке Use IPsec выбираем Yes.
8. В поле IPsec Secret указываем пароль к IPsec.
9. Нажимаем кнопку OK для сохранения настроек.
В командной строке:
>/interface l2tp-server server >set authentication=chap,mschap2 default-profile=l2tp-ipsec enabled=yes use-ipsec=yes ipsec-secret=secret
Если планируется использование vpn-клиентов на старых операционных системах, таких как Windows 7, необходимо выполнить несколько дополнительных действий, а именно:
1. Открываем меню IP.
2. Выбираем IPsec.
3. Переходим на вкладку Proposals и открываем настройки по-умолчанию.
4. В алгоритмах шифрования добавляем протокол 3des.
5. Нажимаем кнопку OK для сохранения настроек.
Переходим на закладку Profiles, открываем настройки по-умолчанию и выполняем то же самое:
На этом настройка l2tp/IPsec на маршрутизаторе mikrotik окончена.
Компания «Инфотек» занимается комплексным обслуживанием коммерческих и бюджетных организаций и с удовольствием выполнит для Вас настройку L2tp/IPsec на оборудовании Mikrotik и еще много-много других работ. Обращайтесь.
Mikrotik: Настройка VPN-Сервера — Trust Me I`m an Engineer
Mikrotik — Латвийская компания выпускающая довольно умные сетевые железяки, на борту которых стоит RouterOS — операционная система созданная ими же. Ниже показаны примеры настройки разных типов vpn-серверов в RouterOS.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
1. PPTP VPN:
Выбираем диапазон адресов которые будут раздаваться клиентам:
IP -> Pool -> добавить.
Создаем новый PPP профиль:
PPP -> Profiles -> Добавить.
Создаем нового пользователя.
PPP -> Secrets -> Добавить.
Включаем PPTP сервер:
PPP -> Interface -> PPTP Server.
Настраиваем firewall:
Открываем порт для подключения:
IP -> Firewall -> Filter Rules -> Добавить.
Разрешаем GRE протокол:
IP -> Firewall -> Filter Rules -> Добавить.
Поднимаем правила выше всех запрещающих, иначе работать не будет.
2. L2TP IPSec VPN:
Выбираем диапазон адресов которые будут раздаваться клиентам:
IP -> Pool -> добавить.
Создаем новый PPP профиль:
PPP -> Profiles -> Добавить.
Создаем нового пользователя.
PPP -> Secrets -> Добавить.
Включаем L2TP сервер:
PPP -> Interface -> L2TP Server.
Настраиваем firewall:
IP -> Firewall -> Filter Rules -> Добавить.
Поднимаем правило выше всех запрещающих, иначе работать не будет.
3. Open VPN:
3.1 Генерация сертификатов.
Скачиваем vpn-клиент с офсайта или отсюда. При установке ставим галкb openSSL uitlites и OpenVPN RSA Certificate Managements Scripts.
В папке с установленным клиентом есть папка easy-rsa в ней редактируем файл vars.bat.sample под себя. Пример:
set KEY_COUNTRY=RU
set KEY_PROVINCE=Moscow
set KEY_CITY=Moscow
set KEY_ORG=OpenVPN
set KEY_EMAIL=Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
set KEY_CN=server
set KEY_NAME=server
set KEY_OU=changeme
set PKCS11_MODULE_PATH=changeme
set PKCS11_PIN=1234
Сохраняем файл под именем vars.bat.
Запускаем командную строку от имени администратора.
Переходим в каталог easy-rsa:
cd «C:\Program Files\OpenVPN\easy-rsa»
Генерируем корневой сертификат:
На все вопросы жмем Enter.
Генерируем серверный сертификат:
на вопросы «Sign the certificate?» и «1 out of 1 certificate requests certified, commit?» отвечаем y, на остальные жмем Enter.
Генерируем сертификат клиента:
ответ на вопрос common name должен быть уникальным и не совпадать с другими сертификатами. (например client)
на вопросы «Sign the certificate?» и «1 out of 1 certificate requests certified, commit?» отвечаем y, на остальные жмем Enter.
3.2. Настройка Mikrotik.
Копируем файлы ca.crt, server.crt, server.key из папки keys на Mikrotik.
Импортируем сертификаты в последовательности ca.crt -> server.crt -> server.key:
System — Certificates — выбор сертификата — кнопка Import.
Выбираем диапазон адресов которые будут раздаваться клиентам:
IP -> Pool -> добавить.
Создаем новый PPP профиль:
PPP -> Profiles -> Добавить.
Включаем OVPN Сервер.
PPP -> Interface ->OVPN Server.
Настраиваем Firewall.
IP -> Firewall -> Filter Rules -> Добавить.
Поднимаем правило выше всех запрещающих, иначе работать не будет.
3.3. Настраиваем клиент.
Пример конфигурации клиента:
proto tcp-client
remote X.X.X.X # здесь внешний адрес нашего роутера
dev tap
nobind
persist-key
tls-client
ca ca.crt #указываем имя CA сертификата
cert client.crt #указываем имя сертификата клиента
key client.key # указываем имя файла-ключа для клиента
ping 10
verb 3 # уровень логирования
ns-cert-type server
cipher AES-256-CBC
auth SHA1
pull
auth-user-pass auth.cfg
route 192.168.1.0 255.255.255.0 192.168.110.1 # эта строка задает маршрут, здесь 192.168.110.1 — адрес микротика из PPP-профиля, а 192.168.1.0 255.255.255.0 — сеть и маска сети.
В файле auth.cfg пишем логин пароль который вводили в Secrets. Например:
User1
pass0987654321
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Настройка L2TP-сервера на CentOS с подключением клиента на примере роутера Mikrotik. VoxLink.
Исходные данные:
Головной офис:
XXX.XXX.XXX.XXX — внешний статический ip-адрес
192.168.15.0/24 — локальная сеть
192.168.15.254 — ip-адрес сервера Asterisk
172.10.20.0/24 — подсеть адресов, выдаваемая клиентам l2tp
172.10.20.1 — ip сервера в l2tp
Филиал:
192.168.30.0/24 — локальная сеть филиала
Оптимальный вариант со стороны филиала поставить роутер микротик в базовой настройке (о ней рассказано в статье: /kb/voip-devices-configuration/mikrotik-config/).
Сервер L2TP можно настроить на сервере с Asterisk’ом.
Сначала необходимо установить на сервере все требуемые пакеты и зависимости.
Если не подключен репозиторий EPEL, то желательно его подключить.
В CentOS 6 это делается командой:
yum install epel-release
В качетве l2tp используется утилита xl2tpd, также потребуется установка ppp, так как l2tp будет устанавливать соединение протоколом ppp, и и пакета утилит bind. Все это можно установить в одну команду:
yum install -y ppp xl2tpd bind-utils
Далее настраивается l2tp.
Необходимо править файл /etc/xl2tpd/xl2tpd.conf — предварительно можно сделать бэкап оригинального файла: mv /etc/xl2tpd/xl2tpd.conf /etc/xl2tpd/xl2tpd.conf.bak
vim /etc/xl2tpd/xl2tpd.conf
Необходимо привести файл к виду указанному ниже (в комментариях указано за что отвечает тот или иной параметр)
[global]
port = 1701 #порт на котором работает туннель
[lns l2tpd] #l2tpd — имя можно указать любое
ip range = 172.10.20.10-172.10.20.250 #диапазон ip-алресов, выдаваемых сервером клиентам
local ip = 172.10.20.1 #адрес сервера в туннеле биндится на интерфейс ppp
require chap = yes #требование аутентификации ppp по протоколу chap
refuse pap = yes #отказ в аутентификации ppp по протоколу pap
require authentication = yes #требование к клиентам проходить обязательную аутентификацию
name = l2tpd #имя
pppoptfile = /etc/ppp/options.xl2tpd #файл содержащий описание опций ppp
length bit = yes #использование бита длины, указывающего полезную нагрузку пакета
Прописать необходимые опции ppp
vim /etc/ppp/options.xl2tpd
ms-dns 8.8.8.8 #указывает DNS-серверы, выдаваемые клиентам
ms-dns 8.8.4.4
noccp
auth #запрос клиенту на аутентификацию до установления обмена сетевыми пакетами
crtscts
idle 1800
mtu 1280
mru 1280
lock #создание lock файла для сохранения эксклюзивного доступа к устройству
lcp-echo-failure 10 # количество неудачных echo запросов до того как провести отключение клиента
lcp-echo-interval 60 #интервал echo запросов
connect-delay 5000
logfile /var/log/ppp/ppp.log #логировние
Далее прописать пользователей в файле:
vim /etc/ppp/chap-secrets
# client server secret IP addresses
«peer_name» «name» «peerpasswd» «*»
client — имя пользователя
server — имя сервера указанное в файле xl2tpd.conf или options.xl2tpd
secret — пароль пользователя используемый при подключении — также можно хранить в закрытом виде: результат функции crypt
IP addresses — указываются адреса с которых возможно подключение (* — означает подключение отовсюду)
После произведения настроек необходимо перезапустить службы:
service xl2tpd restart
Следует учитывать что интерфейс ppp не поднимется и его не будет видно в системе пока не пройдет аутентификация клиента.
При настройке порта l2tp, а также при пробросе портов на роутере следует учитывать, что l2tp-client на стороне микротика работает с параметрами по умолчанию — не поддерживает смену портов и использует протокол UDP.
Настройка клиента на микротике настройка указана через командную строку:
/interface l2tp-client add name=l2tp-out1 connect-to=xxx.xxx.xxx.xxx user=peer_name password=peerpasswd allow=chap,mschap1 use-ipsec=no add-default-route=no max-mtu=1280 max-mru=1280
здесь connect-to= указывается внешний ip сервера l2tp
user/password — логин/пароль пользователя указанные в файле /etc/ppp/chap-secrets
проверить полученный адрес l2tp можно командой:
/ip address print
@MikroTik] /ip address> /ip address print
Flags: X — disabled, I — invalid, D — dynamic
# ADDRESS NETWORK INTERFACE
2 D 172.10.20.10/32 172.10.20.1 l2tp-out1
По выводу видно, что созданый на предыдущем шаге интерфейс получил адрес 172.10.20.10, т. е. Первый из объявленного на сервере диапазона.
После этих манипуляций на сервере должен подняться интерфейс ppp, проверить можно командой ifconfig
ppp0 Link encap:Point-to-Point Protocol
inet addr:172.10.20.1 P-t-P:172.10.42.10 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1280 Metric:1
RX packets:294 errors:0 dropped:0 overruns:0 frame:0
TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:173792 (169.7 KiB) TX bytes:46 (46.0 b)
Чтобы хостам локальной сети сервер был доступен по его локальному адресу, а равно и хосты локальной сети филиала были доступны с сервера необходимо настроить маршрутизацию.
На сервере: в файл /etc/sysconfig/network-scripts/route-pppX, где X — номер ppp интерфейса, добавить маршрут в локальную сеть филиала:
192.168.30.0/24 via 172.10.20.10 dev ppp0
Чтобы настройки применились надо или рестартовать интерфейс или вручную добавить маршрут в таблицу маршрутизации вручную:
ip route add 192.168.30.0/24 via 172.10.20.10
На Микротике:
/ip route add dst-address=192.168.15.0/24 gateway=l2tp-out1
После данных настроек получается ненатированный прозрачный ВПН, но следует учитывать что данные в нем будут без шифрования.
MikroTik CHR Как настроить L2TP VPN-сервер. VPN-сервер для устройств Apple
Как известно, Apple не поддерживает протокол PPTP VPN на своих устройствах.
Один из протоколов, поддерживаемых устройствами Apple, — L2TP / IPsec.
В этой статье базы знаний мы покажем вам, как настроить сервер MikroTik VPN с L2TP и IPSec.
Прежде всего, вы должны выбрать один из наших пакетов MikroTik CHR VPS https://www.bgocloud.com/hosting/mikrotik-vps.
Когда у вас уже есть собственный MikroTik CHR, вы должны получить доступ к маршрутизатору и установить пароль для учетной записи администратора и сделать некоторые обновления безопасности.
Следуйте этой статье для получения необходимой защиты системы для вашего маршрутизатора MikroTik https://www.bgocloud.com/knowledgebase/34/mikrotik-chr-basic-system-protection.html.
Пример диаграммы дает представление о том, что необходимо сделать
Мы постараемся следовать этой диаграмме. К сожалению, публичный IP-адрес нашего роутера будет другим.В нашем сценарии это 78.142.25.35
.
Откройте браузер, войдите в MikroTik CHR и войдите в систему, используя свою учетную запись администратора и пароль.
Если вы подключитесь к маршрутизатору через веб-браузер, вы увидите следующее:
Нажмите только кнопку WebFig:
Важно убедиться, что наш маршрутизатор обновлен.
Пожалуйста, выполните следующие действия и обновите свой маршрутизатор: (Если ваш маршрутизатор уже обновлен, вы можете пропустить этот шаг)
В левом меню выбираем: Система -> Пакеты -> Нажмите Проверить для Обновление
Если вы нажмете «Проверить наличие обновлений», если у вас не последняя версия ОС маршрутизатора, вы можете выбрать вариант «Загрузить и установить».
Эта опция загрузит последнюю версию ОС маршрутизатора и установит ее. Маршрутизатор будет перезагружен автоматически.
После перезагрузки вам нужно снова войти в систему и нажать кнопку WebFig.
В нашем случае я добавлю интерфейс моста к нашему маршрутизатору и назову его «локальным».
Возможно, у вас уже есть мост и локальный IP-адрес. Вы можете использовать это. Это не обязательно делать, если у вас уже настроены сетевые топологии.
Вы можете быстро и легко добавить новый мост с помощью этой команды в терминале ОС маршрутизатора:
[admin @ MikroTik]> interface bridge add name = lcoal
Или вы можете сделать это из веб-интерфейса или Winbox:
Мы видим результат во вкладке Интерфейсы
Теперь пора установить IP-адрес для нашей локальной сети.
Мы смотрим с первых картинок, и IP-адрес будет: 10.1.101.1 с сетевой маской 255.255.255.0 (10.1.101.1/24) и разместим его на «локальном» интерфейсе.
Если у вас настроен IP-адрес, вы можете пропустить эти шаги. Вы можете использовать IP-адрес из топологии вашей сети.
Это легко сделать с помощью этой команды в терминале MikroTik OS:
[admin @ MikroTik]> ip address add address = 10.1.101.1 / 24 interface = local
Вы можете добавить это через WEB или Winbox.
Теперь у нас есть маршрутизатор Mikrotik Router с публичным и частным IP-адресами.
Рекомендуется добавить пул IP-адресов, откуда наши клиенты L2TP будут получать свои IP-адреса.
Проще всего это сделать с помощью этой команды в MikroTik Router Os Terminal. Вы можете изменить диапазон IP-адресов.
[admin @ MikroTik]> ip pool add name = L2TP range = 10.1.101.50-10.1.101.100
Я выбираю из нашей локальной сети IP-адресов.
Вот как это выглядит в MikroTik WebFig
Пора настроить L2TP сервер.
Прежде всего, нам нужно включить L2TP-сервер.
Крайне важно включить IPsec и установить секрет IPsec!
Команда для этого в терминале ОС MikroTik Router:
[admin @ MikroTik]> interface l2tp-server server set enabled = yes default-profile = default-encryption use-ipsec = yes ipsec-secret = bgocloud authentication = chap, mschap1, mschap2, pap
Давайте взглянем на Профиль по умолчанию — Шифрование по умолчанию и внесем в него некоторые изменения.
Команда для этого в терминале ОС MikroTik Router:
[admin @ MikroTik]> ppp profile set default-encryption local-address = 10.1.101.1 remote-address = L2TP dns-server = 10.1.101.1,8.8.8.8 мост = локальный
Может быть, это хорошая идея, чтобы включить службу DNS на маршрутизаторе; в противном случае наш L2TP-клиент не сможет получить доступ к DNS-серверу 10.1.101.1, и он не сможет открыть какой-либо веб-сайт.
Если вы не хотите использовать MikroTik в качестве DNS-сервера, вы можете установить DNS-серверы Google 8.8.8.8 и 8.8.4.4.
Но если вы хотите иметь возможность создавать статические записи DNS, вам необходимо включить DNS для вашего маршрутизатора, вот как это можно сделать:
Команда ОС маршрутизатора для терминала:
[admin @ MikroTik]> ip dns set allow-remote-requests = да
Что у нас есть?
У нас есть маршрутизатор с общедоступным IP-адресом 78.142.25.35 и локальным IP-адресом 10.1.101.1, включенной службой L2TP и включенной службой DNS.
Пора добавить наших клиентов / пользователей, которые смогут подключиться к нашему роутеру.
Вот команда терминала:
[admin @ MikroTik]> ppp secret add name = bgocloud password = bgocloud profile = default-encryption service = l2tp comment = «наша первая учетная запись»
Теперь у нас есть пользователь с именем пользователя bgocloud и паролем bgocloud.
Конечно, вы можете поменять что угодно! Это просто пример!
Нам нужно сделать только одно, и это очень, очень важно!
Мы должны включить наш NAT в брандмауэре!
Вот как это можно сделать:
Вот команда ОС маршрутизатора для терминала:
[admin @ MikroTik]> IP firewall nat add chain = srcnat out-interface = ether1 action = masquerade
И все.Мы готовы к работе!
Теперь пришло время настроить клиенты L2TP для наших устройств Apple. Как это сделать, читайте в этой статье:
https://www.bgocloud.com/knowledgebase/64/set-up-l2tp-over-ipsec- vpn-client-on-macos.html
Настройка сервера VPN IPSec / L2TP на Mikrotik — IT Blog
Вот пример настройки сервера VPN IPSec / L2TP на Mikrotik, чтобы вы могли подключаться к нему с Windows, MacBook, iPhone и т. Д.
1) Добавьте диапазон IP-адресов для DHCP, открыв « IP » — « Pool » и указав:
Имя: vpn_pool
Адреса: 192.168.5.1-192.168.5.15
Далее пул: нет
С терминала вот так:
ip pool add name = vpn_pool range = 192.168.5.1-192.168.5.15
2) Добавьте профиль в « PPP » — « Profiles »
Имя: l2tp_profile
Локальный адрес: vpn_pool (можно указать по умолчанию 192.168.88.1)
Удаленный адрес: vpn_pool
Изменить TCP MSS: да
Остальное не трогаем и оставляем по умолчанию
С терминала вот так:
профиль ppp добавить change-tcp-mss = yes local-address = vpn_pool name = l2tp_profile remote-address = vpn_pool
3) Добавить пользователя в « PPP » — « Secrets »
Имя: ВХОД
Пароль: ПАРОЛЬ
Сервис: l2tp
Профиль: l2tp_profile
С терминала вот так :
ppp secret add name = LOGIN password = PASSWORD profile = l2tp_profile service = l2tp
4) Включите сервер в « PPP » — « Интерфейс » — « L2TP-сервер »
Включено: да
MTU / MRU: 1450
Тайм-аут Keepalive: 30
Профиль по умолчанию: l2tp_profile
Аутентификация: mschap2
Использовать IPSec: да
Секрет IPSec: ENCRYPTION_KEY (также указывается в клиентах)
С терминала следующим образом:
интерфейс l2tp-server server set authentication = mschap2 default-profile = l2tp_profile enabled = yes ipsec-secret = KEY use-ipsec = yes
5) « IP » — « IPSec » — « Peers »
Адрес: 0.0.0.0 / 0
Порт: 500
Метод аутентификации: предварительный общий ключ
Режим обмена: основной l2tp
Пассивный: да (установить)
Секрет: ENCRYPTION_KEY (также указывается в клиентах)
Группа шаблонов политики: по умолчанию
Отправка первого контакта: да
Обход NAT: да
Тип моего идентификатора: авто
Сгенерировать политику: переопределение порта
Срок службы: 1д 00:00:00
DPD Interval: 120
DPD Максимальное количество отказов: 5
Проверка предложения: obey
Хеш-алгоритм: sha1
Алгоритм шифрования: 3des aes-128 aes-256
DH Group: modp 1024
С терминала так:
ipsec peer add address = 0.0.0.0 / 0 enc-algorithm = aes-256, aes-128, 3des exchange-mode = main-l2tp generate-policy = port-override passive = yes secret = KEY
6) « IP » — « IPSec » — «Предложения»
Имя: по умолчанию
Алгоритмы аутентификации: sha1
Enrc. алгоритмы: 3des, aes-256 cbc, aes-256 ctr
Срок службы: 00:30:00
Группа PFS: mod 1024
С терминала вот так:
набор предложений ipsec [найти по умолчанию = да] enc-алгоритмы = aes-256-cbc, aes-256-ctr, 3des
7) « Межсетевой экран » — « Добавить новый »
Добавим первое правило, разрешающее входящие VPN-соединения:
Цепочка: Вход
Протокол: udp
Любой.Порт: 1701,500,4500
Действие: Принять
И второе:
Цепочка: Вход
Протокол: ipsec-esp
Действие: Принять
С терминала вот так:
ip firewall filter add chain = input action = accept protocol = udp port = 1701,500,4500 ip firewall filter add chain = input action = accept protocol = ipsec-esp
Правила должны быть вверху списка.
На этом настройка завершена, можно подключиться.
См. Также:
Настройка удаленного доступа в Mikrotik Router
Mikrotik L2TP / IPsec VPN-сервер Пошаговая настройка
Mikrotik L2TP / IPsec VPN-сервер Пошаговая настройка
В этом руководстве предполагается, что интерфейс Mikrotik WAN имеет общедоступный IP-адрес и ваш интернет-провайдер не блокирует порты ipsec. Разобравшись с этим, давайте начнем.
Первый шаг — создать профиль PPP на Mikrotik. Мы будем использовать 192.168.102.1 для локального адреса (шлюза VPN), предполагая, что он еще не используется.Нам также нужно добавить DNS-сервер.
Профиль
/ ppp добавить имя = ipsec_vpn local-address = 192.168.102.1 dns-server = 1.1.1.1
Затем мы добавляем серверный интерфейс сервера l2tp и устанавливаем разрешенные методы аутентификации, mschap1 и mschap2.
/ interface l2tp-server набор серверов включен = да default-profile = ipsec_vpn authentication = mschap1, mschap2
Затем нам нужно определить пиринг IPSec, а также политику IPsec по умолчанию. Мы также установим секрет предварительного ключа в процессе.
/ ip ipsec policy set [find default = yes] src-address = 0.0.0.0 / 0 dst-address = 0.0.0.0 / 0 protocol = all предложение = default template = yes
Для Router OS 6.39 и ниже используйте
/ ipsec peer add address = 0.0.0.0 / 0 port = 500 auth-method = pre-shared-key secret = STRONG_SECRET_HERE exchange-mode = main-l2tp send-initial-contact = no generate-policy = port-override
Для Router OS 6.44 и выше используйте:
/ ipsec peer добавить exchange-mode = main passive = yes name = l2tpserver / ip ipsec identity add generate-policy = port-override auth-method = pre-shared-key secret = STRONG_SECRET_HERE peer = l2tpserver
Далее мы устанавливаем алгоритмы шифрования по умолчанию
Предложение
/ ipsec установить по умолчанию auth-алгоритмы = sha1 enc-алгоритмы = 3des pfs-group = modp1024
Теперь добавляем пользователя и назначаем IP-адрес
/ ppp secret add name = USERNAME пароль = СИЛЬНЫЙ ПАРОЛЬ service = l2tp profile = ipsec_vpn remote-address = 192.168.102.2
Наконец, нам нужно открыть порты IPSec из WAN
/ ip firewall filter add chain = input action = accept protocol = udp port = 1701,500,4500 / ip firewall filter add chain = input action = accept protocol = ipsec-esp
Обратите внимание, что эти два правила должны быть добавлены вверху списка перед любыми другими правилами, чтобы разрешить соединения через интерфейс WAN. Либо используйте команду перемещения с помощью интерфейса командной строки, чтобы переместить их в начало списка, либо используйте графический интерфейс.
Как настроить сервер L2TP VPN
VPN создает туннель для вашего подключения к Интернету, чтобы защитить вашу конфиденциальность, а L2TP — один из самых известных протоколов шифрования в VPN.Существует множество протоколов для шифрования VPN, таких как PPTP, L2TP, OpenVPN и так далее. В этой статье мы будем сопровождать вас для настройки сервера L2TP VPN в операционной системе MikroTik . Создание частной сети — лучший способ обезопасить себя в Интернете. Этот сервис имеет множество других функций, например, в некоторых странах использование некоторых сервисов и веб-сайтов ограничено. Чтобы преодолеть это ограничение и использовать бесплатное интернет-пространство, вам понадобится хороший VPN. Итак, что такое хороший VPN?
При использовании VPN также могут возникать проблемы.IP-адрес используемой вами VPN может быть из разных стран. Теперь, если вы выберете VPN, которая находится дальше от страны, в которой вы живете, пакеты будут отправлены один раз с вашего маршрутизатора-модема на сервер VPN, а затем достигнут желаемого сервера, и это замедлит ваше соединение. Еще одна проблема — это кредит компании, которая предоставляет вам VPN. Если проблема заключается в информационной безопасности, компания, у которой вы заказываете VPN, может сделать то же самое. Еще одна проблема — количество людей, которые подключаются к VPN-серверу.Конечно, некоторые VPN-компании решают эту проблему, но в любом случае, если управление сервером находится в ваших руках, вы можете полностью управлять подключениями.
Самый простой способ решить эти две проблемы — настроить L2TP VPN-сервер на вашем собственном MikroTik VPS. Таким образом, вы можете легко выбрать местоположение сервера самостоятельно, сервер полностью в вашем распоряжении и только вы будете использовать ресурсы сервера. Протокол L2TP также использует протокол IPSec для повышения безопасности и шифрования.Протокол IPsec также использует два метода шифрования, и мы можем использовать каждый из них. Первый метод — это RSA, который шифрует данные путем создания сертификата.
Безопасность этого метода выше, и преимущество его использования на серверах VPN состоит в том, что любые изменения будут затронуты большим количеством пользователей. Однако в этой статье мы не будем использовать этот метод из-за его сложности. Другой способ — использовать предварительный общий ключ (PSK) . В этом методе ключ создается на сервере VPN, и каждый клиент должен использовать этот ключ для подключения к серверу, который в этом руководстве мы будем использовать этот метод, и это намного проще.
Примечание: Перед настройкой L2TP VPN-сервера вам понадобится MikroTik VPS, который вы можете заказать по ссылке ниже.
Купить MikroTik VPS
Шаги по настройке L2TP VPN на сервере MikroTik VPN
В этом руководстве мы покажем вам, как настроить сервер L2TP VPN на Mikrotik VPS всего за 4 простых шага.
Шаг 1: Добавьте правило брандмауэра
Первое, что вам нужно сделать, это добавить правило в брандмауэр MikroTik, чтобы разрешить перемещение пакетов из брандмауэра.Для этого сначала загрузите программное обеспечение WinBox и войдите в графическую среду MikroTik. Затем на левой панели выберите IP , а затем опцию Firewall . В новом открывшемся окне перейдите на вкладку NAT и щелкните синий знак «Плюс +», чтобы создать новое правило. В новом открывшемся окне щелкните вкладку Action , затем откройте опцию Action и выберите Masquerade , затем щелкните OK , чтобы создать правило.
Шаг 2: Активация L2TP-сервера
Вторым шагом для настройки L2TP-сервера VPN является включение L2TP. На левой панели откройте опцию PPP , затем в новом окне щелкните вкладку Interface , а затем вкладку L2TP Server . В новом окне установите флажки Включено, и IPsec Secret , а в разделе профиля выберите параметр по умолчанию. В IPsec Secret введите любой пароль, который вы хотите, и сохраните его где-нибудь, потому что он нам понадобится, затем нажмите OK , чтобы применить изменения.
Шаг 3. Активируйте шифрование в профилях
Чтобы зашифровать данные, мы должны включить опцию шифрования в разделе Profiles . Для этого снова откройте вкладку «Профили» в том же разделе PPP , выберите профиль по умолчанию и на вкладке «Протоколы » выберите вариант использования шифрования, затем нажмите OK , чтобы применить изменения.
Шаг 4. Создайте имя пользователя
Теперь пришло время создать имя пользователя, чтобы мы могли использовать L2TP VPN-сервер в различных операционных системах, таких как Windows , Android и IOS .Для этого снова выберите вкладку «Секреты» в разделе PPP , затем щелкните синий знак «Плюс +». В новом открывшемся окне введите следующую информацию.
- Имя: Выберите любое имя, которое хотите.
- Пароль: выберите любой пароль, который хотите.
- Профиль: выберите профиль по умолчанию.
- Локальный адрес: 10.10.10.2
- Удаленный адрес: 10.10.10.3
Примечание: Локальный адрес — это IP-адрес, на котором пользователь видит IP-адрес Mikrotik при подключении к серверу.Удаленный адрес — это IP-адрес, по которому пользователь видит свой IP-адрес при подключении к серверу Mikrotik. Обратите внимание, что эти значения должны быть разными для каждого пользователя. Например, для другого пользователя, которого вы создадите, вы должны выбрать значение локального адреса и удаленного адреса, соответственно 10.10.10.4 и 10.10.10.5 , конечно, мы могли бы выбрать IP Pool для упомянутого значения, чтобы нам не приходилось каждый раз вводить их вручную, и если мы намерены создать больше пользователей, мы должны это сделать.Но в этой статье мы не создавали пул IP-адресов, чтобы сократить процесс настройки сервера L2TP VPN на вашем собственном MikroTik VPS.
Как подключиться к L2TP VPN
После настройки VPN-сервера пора создать клиента в операционной системе. Чтобы создать VPN-соединение в Windows 10, найдите слово VPN в поле поиска, выберите Добавить VPN-соединение и введите следующие значения. Обратите внимание, что в разделе Pre Shared key вы должны ввести пароль, который вы создали при активации L2TP-сервера.
FAQ
- Проблема: Я столкнулся с ошибкой имя пользователя и комбинация пароля , которую вы указали, не распознано .
Ответ: Как говорится в ошибке, вы неправильно ввели имя пользователя и пароль, поэтому отредактируйте их и введите правильные данные. - Проблема: После подключения к VPN я не могу искать и просматривать страницы в браузерах, а веб-сайты не загружаются.
Ответ: В этой ситуации вам необходимо добавить статический DNS к вашему VPN-клиенту.Для этого откройте страницу RUN , нажав клавишу Windows + R . Напишите, нажмите на созданную вами VPN и выберите Properties . На новой странице выберите вкладку Networking и дважды щелкните Internet Protocol Version 4 (TCP / IPV4) . На новой странице выберите , используйте следующие адреса DNS-сервера и заполните их, как показано на следующем рисунке, затем нажмите OK в обоих разделах, чтобы применить изменения.
Резюме
Поздравляем, теперь вы можете настроить L2TP VPN-сервер на своем собственном MikroTik VPS. Имейте в виду, чтобы настроить L2TP VPN-сервер на MikroTik VPS быстрее и проще, мы не объясняли некоторые шаги. Кроме того, если есть какие-либо проблемы, укажите их в разделе комментариев, и я обязательно отвечу.
Надеюсь, это руководство было для вас полезным и вам понравилось!
Сообщите нам, понравился ли вам пост. Это единственный способ улучшить
Установите MikroTik как L2TP / IPSec VPN-сервер.
Это краткое руководство о том, как реализовать L2TP / IPSec VPN-сервер на Mikrotik RouterOS и использовать его в качестве шлюза.
Обновление 26.07.2019: если вы используете RouterOS v6.44 или выше, нажмите здесь, чтобы узнать о новом способе реализации L2TP / IPsec.
Измените их в соответствии с вашими настройками:
- Локальный IP-адрес этого маршрутизатора: 172.31.1.1/20
- WAN-соединение — это PPPoE с именем ether1-GTW .
Если вы используете PPPoE, используйте имя вашего PPPoE-соединения. Если вы используете статическую конфигурацию или DHCP-клиент в качестве WAN, используйте имя этого интерфейса. - Имя пула для клиентов VPN — vpn-pool и дает адреса 172.31.2.1-172.31.2.9
- Профиль VPN: Профиль VPN
- Имя пользователя VPN: remoteuser
- Пароль VPN: ваш пароль
- Секрет L2TP: yourl2tpsecret
Помните, что всегда рекомендуется использовать надежный пароль и секрет.
Давайте создадим пул адресов, которые VPN-клиенты получат после подключения:
/ ip pool add name = vpn-pool range = 172.31.2.1-172.31.2.9
Затем создайте профиль VPN, который будет определять IP-адреса маршрутизатора
, клиентов VPN и DNS-сервера. Вы можете установить его вне
локальной подсети, но убедитесь, что ваш брандмауэр разрешает соединение
:
/ ppp profile add change-tcp-mss = yes local-address = 172.31.1.1 name = vpn-profile remote-address = vpn-pool dns-server = 172.31.1.1 use-encryption = yes
Теперь мы можем создавать пользователей VPN:
/ ppp secret add name = « yourusername «password =» yourpassword «profile = vpn-profile service = any
Настройте параметры IPSec, т.е.е. стандарты шифрования, секрет L2TP, кто может подключаться, прохождение NAT:
/ ipsec peer add address = 0.0.0.0 / 0 exchange-mode = main-l2tp nat-traversal = yes generate-policy = port-override secret = » yourl2tpsecret «enc-algorithm = aes-128,3des
/ ip ipsec предложение set [find default = yes] enc-algorithm = aes-128-cbc, 3des
Теперь, когда все готово, мы можем просто включить VPN-сервер и выберите правильный профиль:
/ interface l2tp-server set authentication = mschap2 default-profile = vpn-profile enabled = yes max-mru = 1460 max-mtu = 1460 use-ipsec = yes
Если у вас есть правило брандмауэра, которое блокирует весь трафик, вы можете добавить эти дополнительные правила, чтобы разрешить L2TP / IPSec проходить через интерфейс WAN
:
/ ip firewall filter
add chain = input action = accept comment = » VPN L2TP UDP 500 «in-interface = ether1-GTW protocol = udp dst-port = 500
add chain = input action = ac cept comment = «VPN L2TP UDP 1701» in-interface = ether1-GTW protocol = udp dst-port = 1701
add chain = input action = accept comment = «VPN L2TP 4500» in-interface = ether1-GTW protocol = udp dst-port = 4500
add chain = input action = accept comment = «VPN L2TP ESP» in-interface = ether1-GTW protocol = ipsec-esp
add chain = input action = accept comment = «VPN L2TP AH «in-interface = ether1-GTW protocol = ipsec-ah
[Дополнительные конфигурации]
Чтобы использовать MikroTik VPN Server в качестве шлюза, чтобы у VPN-клиентов был общедоступный IP-адрес MikroTik, вы можете просто замаскировать:
/ ip firewall nat add chain = srcnat out-interface = ether1-GTW action = masquerade
Разрешить удаленные запросы DNS:
/ ip dns set allow-remote-requests = yes
Я тестировал это на Amazon Elastic Вычислить облако (EC2), используя t2.micro , и он отлично работал у меня.
Я надеюсь, что это руководство сработает для вас, не стесняйтесь размещать любые вопросы или комментарии ниже.
–––
Я создал более простую конфигурацию для аналогичной цели со всем маршрутизируемым трафиком, щелкните здесь, чтобы перейти к новому потоку.
L2TP IPSEC VPN Автоматическая настройка микротика на основе следующего руководства http://www.nasa-security.net/mikrotik/mikrotik-l2tp-with-ipsec/ !!! Редактировать имя пользователя / пароль пользователя и секрет ipsec · GitHub
L2TP IPSEC VPN Автоматическая конфигурация для mikrotik на основе следующего руководства http: // www.nasa-security.net/mikrotik/mikrotik-l2tp-with-ipsec/
!!! Редактировать имя пользователя / пароль пользователя и секрет ipsec · GitHub
Мгновенно делитесь кодом, заметками и фрагментами.
| # Получить и заполнить конфигурацию | |
| mikrotik_vpn_config = $ (curl https: // gist.github.com/elmariofredo/7232556/raw/VPN-L2TP-IPSEC.mikrotik \ | |
| | sed -e ‘ | |
| с / IPSEC_PEER_SECRET / somesecret / g; | |
| s / USER1_NAME / mario / g; | |
| с / USER1_PASS / somepass / g; | |
| с / IP_RANGE / 172.16.24.100-172.16.24.200 / г; | |
| с / DNS_SERVER / 172.16,22,1 / г; | |
| с / LOCAL_ADDRESS / 172.16.22.1 / g; | |
| с / WINS_SERVER / 172.16.22.1 / g ‘) | |
| # Проверить конфигурацию | |
| эхо $ mikrotik_vpn_config | |
| # Перенести конфиг на mikrotik | |
| ssh-роутер $ mikrotik_vpn_config | |
| # Снять конфигурацию | |
| не настроено mikrotik_vpn_config |
| # Автоконфигурация для mikrotik | |
| # на основе следующего руководства | |
| # http: // www.nasa-security.net/mikrotik/mikrotik-l2tp-with-ipsec/ | |
| # !!! ИЗМЕНИТЕ ПЕРЕМЕННЫЕ В первую очередь и не используйте «$» ни в одном из них !!! | |
| # IPSEC_PEER_SECRET = «somesecret» | |
| # USER1_NAME = «марио» | |
| # USER1_PASS = «пройти» | |
| # IP_RANGE = «172.16.24.100-172.16.24.200 « | |
| # DNS_SERVER = «172.16.22.1» | |
| # LOCAL_ADDRESS = «172.16.22.1» | |
| # WINS_SERVER = «172.16.22.1» | |
| # Создать пул VPN для профиля PPP | |
| / ip пул добавить имя = пул-vpn диапазоны = IP_RANGE | |
| # Настройка профиля PPP | |
| / ppp profile add change-tcp-mss = yes dns-server = DNS_SERVER local-address = LOCAL_ADDRESS name = L2TP-PROFILE only-one = default remote-address = pool-vpn use-compress = default use-encryption = default use -mpls = использование по умолчанию-vj-compress = по умолчанию wins-server = WINS_SERVER | |
| # Добавить пользователя VPN | |
| / ppp secret add caller-id = «» disabled = no limit-bytes-in = 0 limit-bytes-out = 0 name = USER1_NAME пароль = USER1_PASS profile = L2TP-PROFILE routes = «» service = l2tp | |
| # Создать узел ipsec | |
| / ipsec peer add address = 0.0.0.0 / 0 auth-method = pre-shared-key dh-group = modp1024 disabled = no dpd-interval = 2m dpd-maximum-failures = 5 enc-algorithm = 3des exchange-mode = main-l2tp generate-policy = алгоритм переопределения порта hash-algorithm = sha1, время жизни = 1d my-id-user-fqdn = «» nat-traversal = yes port = 500 secret = IPSEC_PEER_SECRET send-initial-contact = yes | |
| # !!!!!!! до 6.0rc12 вы должны использовать generate-policy = yes | |
| # Настроить предложение ipsec | |
| / ipsec набор предложений [найти по умолчанию = да] auth-алгоритмы = sha1 отключен = нет enc-алгоритмы = 3des, время жизни aes-256 = 30 м имя = по умолчанию pfs-group = нет | |
| # Запустить VPN | |
| / interface l2tp-server набор серверов включен = да | |
| # Добавить правила брандмауэра, чтобы разрешить входящий vpn | |
| / ip firewall filter add action = accept chain = input disabled = no dst-port = 1701 in-interface = ether1-gateway protocol = udp place-before = 0 | |
| / ip firewall filter add action = accept chain = input disabled = no dst-port = 500 in-interface = ether1-gateway protocol = udp place-before = 0 | |
| / ip firewall filter add action = accept chain = input disabled = no dst-port = 4500 in-interface = ether1-gateway protocol = udp place-before = 0 | |
| # Добавить интерфейс L2TP-сервера | |
| / interface l2tp-server server set authentication = mschap2 default-profile = L2TP-PROFILE enabled = yes max-mru = 1460 max-mtu = 1460 mrru = disabled |
Вы не можете выполнить это действие в настоящее время.Вы вошли в систему с другой вкладкой или окном. Перезагрузите, чтобы обновить сеанс.
Вы вышли из системы на другой вкладке или в другом окне. Перезагрузите, чтобы обновить сеанс.
Mikrotik VPN — L2TP / IPSec сервер для удаленных клиентов (Windows / Android / iOS)
Если вы ищете краткое руководство по настройке Mikrotik VPN-сервера, позволяющего удаленным клиентам подключаться к вашему зданию, управляемому маршрутизатором Mikrotik, вы попали в нужное место.
Это руководство было написано для Mikrotik RouterOS v6.41 в сентябре 2017 года. Предполагается, что у вас есть основной (пограничный) маршрутизатор в качестве устройства Mikrotik, а НЕ за двойным NAT.
Single-Nat: Модем> Маршрутизатор> Устройства.
Double-Nat: Модем> Маршрутизатор> Маршрутизатор> Устройства. Если ваш маршрутизатор Mikrotik имеет IP-адрес WAN в диапазоне: 192.168.X, 10.X или 172.16.X, это двойной NAT.
Хорошо, приступим!
L2TP-сервер состоит из двух частей:
- Протокол L2TP VPN — создает связь между двумя местоположениями
- Шифрование IPSec — Обеспечивает и защищает канал
Настроить L2TP-сервер под PPP (протокол точка-точка)
PPP> Интерфейс> Сервер L2TP Установите флажок «Включено», чтобы включить L2TP-сервер. Профиль по умолчанию: по умолчанию Аутентификация: отметьте только "mschap2" Использовать IPsec: Да Секрет IPsec: YourPreSharedKey Тип идентификатора вызывающего абонента: IP-адрес PPP> Профили> По умолчанию (Создайте свои правила для пользователей) ## Если у вас есть несколько мостов для разделения вашей сети, создайте профиль для каждого и укажите мост, в противном случае игнорируйте.Локальный адрес: IP-адрес вашего локального маршрутизатора Mikrotik (например, 192.168.1.1 или 10.10.10.1). Удаленный адрес: пул DHCP DNS-сервер: IP-адрес вашего DNS-сервера / маршрутизатора или 8.8.8.8 (Google DNS) PPP> Секреты (Создайте своих пользователей) Новый (+) Имя: Имя пользователя Пароль: UsersPassword Профиль: по умолчанию
Настроить шифрование IPSec
IP> IPsec> Одноранговые узлы
Новый (+)
Адрес: 0.0.0.0/0 (для разрешения попытки подключения любого IP-адреса в Интернете)
Порт: 500
Метод аутентификации: предварительный общий ключ
Режим обмена: основной l2tp
Секрет: YourPreSharedKey (должен соответствовать PSK из PPP> L2TP-сервер)
Продвинутая вкладка
Группа шаблонов политики: по умолчанию
Отправить первоначальный контакт: включен
NAT Traversal: включен
Тип моего идентификатора: авто
Сгенерировать политику: переопределение порта
Проверка предложения: подчиняться
Вкладка "Шифрование"
Алгоритм хеширования: sha1
Алгоритм шифрования: Проверка: 3des, aes-128
Группа DH: Проверить: modp1024
IP> IPSec> Предложения
Изменить значение по умолчанию
Алгоритмы аутентификации: Проверка: sha1
Алгоритмы шифрования: CVheck: 3des, aes-128 cbc
Группа PFS: modp1024 Настроить брандмауэр
IP> Брандмауэр> Правила фильтрации
Новый (+)
Правило VPN
Цепочка: ввод
Протокол: 17 (UDP)
Dst.Порт: 500,1701,4500
Действие: принять
Переместить правило выше в списке (над всеми правилами блокировки WAN)
IP> Брандмауэр> NAT
Новый (+)
Цепь: srcnat
Из. Интерфейс: мост (ваш внутренний сетевой мост)
Действие: Маскарад Настроить клиентское соединение
Существует бесконечное количество устройств, которые можно настроить. Я собираюсь настроить наиболее распространенный — VPN-клиент L2TP для Windows 10, встроенный в операционную систему.
Пуск> Центр управления сетями и общим доступом
Настроить новое соединение или сеть> Подключиться к рабочему месту (VPN)
Нет> Создать новое соединениеИспользовать мое подключение к Интернету (VPN)
Интернет-адрес: WAN IP-адрес вашего маршрутизатора (например, vpn.