Настройка VPN IPSec/L2TP сервера на Mikrotik

Пример настройки VPN IPSec/L2TP сервера на Mikrotik, чтобы можно было подключаться к нему из Windows, MacBook, iPhone и т.д.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

  1. Добавим диапазон IP-адресов для DHCP открыв «IP» — «Pool» и указав: Name: vpn_pool Addresses: 192.168.5.1-192.168.5.15 Next pool: none Из терминала так:
    ip pool add name=vpn_pool ranges=192.168.5.1-192.168.5.15
  2. Добавим профиль в «PPP» — «Profiles» Name: l2tp_profile Local address: vpn_pool (можно указать default 192.168.88.1) Remote address: vpn_pool Change TCP MSS: yes Остальное не трогаем и оставим в default Из терминала так:
    ppp profile add change-tcp-mss=yes local-address=vpn_pool name=l2tp_profile remote-address=vpn_pool[.simterm]
    Добавим пользователя в «PPP» — «Secrets»
    Name: ЛОГИН
    Password: ПАРОЛЬ
    Service: l2tp
    Profile: l2tp_profile
    Из терминала так:
    [simterm]ppp secret add name=ЛОГИН password=ПАРОЛЬ profile=l2tp_profile service=l2tp
  3. Включим сервер в «PPP» — «Interface» — «L2TP Server» Enabled: yes MTU/MRU: 1450 Keepalive Timeout: 30 Default profile: l2tp_profile Authentication: mschap2 Use IPSec: yes IPSec Secret: КЛЮЧ_ШИФРОВАНИЯ (также указывается в клиентах) Из терминала так:
    interface l2tp-server server set authentication=mschap2 default-profile=l2tp_profile enabled=yes ipsec-secret=КЛЮЧ use-ipsec=yes
  4. «IP» — «IPSec» — «Peers» Address: 0.0.0.0/0 Port: 500 Auth method: pre shared key Exchange mode: main l2tp Passive: yes (set) Secret: КЛЮЧ_ШИФРОВАНИЯ (также указывается в клиентах) Policy template group: default Send Initial Contact: yes NAT Traversal: yes My ID Type: auto Generate policy: port override Lifitime: 1d 00:00:00 DPD Interval: 120 DPD Maximum failures: 5 Proposal check: obey Hash algorithm: sha1 Encryption Algorithm: 3des aes-128 aes-256 DH Group: modp 1024 Из терминала так:
    ip ipsec peer add address=0.0.0.0/0 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes secret=КЛЮЧ
  5. «IP» — «IPSec» — «Proposals» Name: default Auth algorithms: sha1 Enrc. algorithms: 3des, aes-256 cbc, aes-256 ctr Life time: 00:30:00 PFS Group: mod 1024 Из терминала так:
    ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,3des
  6. «Firewall» — «Add New» Добавим первое правило разрешающее входящие VPN соединения: Chain: Input Protocol: udp Any. Port: 1701,500,4500 Action: Accept И второе: Chain: Input Protocol: ipsec-esp Action: Accept Из терминала так:
    ip firewall filter add chain=input action=accept protocol=udp port=1701,500,4500
    ip firewall filter add chain=input action=accept protocol=ipsec-esp
    Правила должны находится в начале списка.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Добавить комментарий