Инструкция по настройке L2TP VPN сервера на роутере MikroTik. Будут рассмотрены два примера использования VPN: удаленное подключение Windows VPN клиент типа L2TP+IpSec и настройка VPN туннеля между двумя роутерами MikroTik. Наличие белого(статического) IP со стороны VPN клиента необязательно.

L2TP VPN сервер на базе роутера MikroTik является одним из самых популярных решений в задаче, когда нужно настроить VPN между роутерами MikroTik для отдельных офисов или предоставить удаленный доступ к RDP серверу для удаленного сотрудника. L2TP VPN на роутере MikroTik представляет собой клиент серверную архитектуру, которая подразумевает, что сервер может быть один, а клиентов N-ое количество. Как правило количество L2TP VPN клиентов ограничивается уровнем лицензии(Licence Level) роутера и минимальные значения начинаются от 200 подключений, что в значительной мере может покрыть любые потребности в обеспечении удаленного доступа или создании общей сети на базе L2TP VPN.

Для удаленного доступа сотрудников

Доступ к рабочему пространству с любого места, где есть интернет. Почта, сетевые папки, принтер, 1с — все это становится доступным.

Объединение офисов

Компьютеры и другое IP оборудование смогут обмениваться информацией вне зависимости от географического расположения.

Наличие IpSec позволяет повысить уровень защищённости трафика путём шифрования самыми современными методами. А аппаратная поддержка IpSec позволит сделать это быстро. В случаях, когда используется роутер MikroTik без аппаратной поддержки IpSec, нагрузка ложится на CPU роутера, что может быть причиной в понижении пропускной способности L2TP VPN сервера или конкретного туннеля в частности.

Для VPN клиентов использующие ПК на базе: Windows, Linux или MacOS есть возможность подключиться с помощью встроенных L2TP VPN клиентов. Для большинства смартфонов на базе: Android и IOS исключили поддержку L2TP VPN подключений и в качестве альтернативы можно использовать:

Настройка MikroTik VPN сервера L2TP

Первым примером по настройке MikroTik VPN сервера L2TP будет рассмотрен случай, когда нужно объединить два роутера MikroTik в единую сеть. Это может быть два офиса, центральный и региональный или отдельная локация с видеорегистратором и отдельная локация для IP камер. Итак начнём с настройки L2TP VPN сервера на центральном роутере MikroTik, обязательным условием для которого будет наличие статического IP адреса со стороны интернет провайдера.

Добавление новой L2TP VPN подсети

Этим действием нужно задать диапазон IP адресов, которые будут выдаваться L2TP VPN клиентам в установленном профиле, которые будут подключаться к VPN серверу MikroTik. Этот pool IP адресов аналогичен pool адресам DHCP сервера, только будет использоваться L2TP VPN сервером.

Настройка находится IP→Pool

Настройка MikroTik VPN сервер L2TP, создание подсети IP Pool

/ip pool add name=vpnpool ranges=192.168.10.100-192.168.10.150

Настройка профиля L2TP VPN сервера

Для L2TP VPN подключений нужно создать отдельный профиль PPP Profile. Не стоит использовать профили default и default-encryption, т.к. они могут быть задействованы в других типах VPN серверов на центральном роутере MikroTik. Новый профиль будет содержать перечень сетевых настроек, которые будут выдаваться L2TP VPN клиентам, а также общие параметры шифрования.

Настройка находится PPP→Profile

  • Local AddressIP адрес, который будет назначен VPN интерфейсу со стороны центрального роутера MikroTik;
  • Remote Address IP адрес для VPN клиента;
  • DNS сервер — используется в случаях, когда настраивается Windows VPN клиент типа L2TP, который по умолчанию заворачивает интернет трафик через VPN сервер MikroTik. Однако эта опция по умолчанию выключена и VPN клиент не получает настройки DNS.

Настройка MikroTik VPN сервер L2TP, настройка профиля VPN сервера

/ppp profile
add name=l2tp dns-server=192.168.10.1 local-address=\
192.168.10.1 remote-address=vpnpool

Включить L2TP VPN сервер

L2TP Server это основной раздел настройки VPN сервера на центральном роутере MikroTik. Он содержит основные параметры, которые будут использоваться в работе как со стороны сервера, так и со стороны VPN клиента.

Настройка находится PPP→Interface→L2TP Server

  • Default Profile VPN профиль, содержащий согласованные сетевые настройки и методы шифрования между MikroTik VPN сервером и клиентом;
  • Authenticaion — протокол проверки подлинности соединения между VPN сервером и клиентом;
  • Use-ipsec — переключатель между обязательным и необязательным шифрованием IpSec для VPN клиента. Со значением required шифрование IpSec будет обязательным для всех клиентов;
  • Ipec Secret — ключ шифрование IpSec.

Настройка MikroTik VPN L2TP сервер, активация

/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes \
ipsec-secret=mikrotik-config.ukr use-ipsec=required

Создание учётной записи L2TP VPN клиента

PPP Secret учётной записью будет пользоваться VPN клиент для удаленного подключения к L2TP VPN серверу. Обычно такую учётную запись создают для VPN пользователей на ПК и смартфонах.

Настройка находится PPP→Interface→Secrets

  • Name — имя VPN пользователя;
  • Password VPN пароль;
  • Service — возможность использования VPN записи для любой VPN службы(pptp, ovpn, sstp и тд);
  • Profile — профиль VPN сервера, который содержит сетевые настройки и методы шифрования, которые будут использоваться клиентом при подключении к L2TP VPN серверу на роутере MikroTik.

Настройка MikroTik VPN сервер L2TP, создание учётной записи VPN клиента на сервере

/ppp secret
add name=user1 password=user1 profile=l2tp

Разрешение FireWall для подключения L2TP VPN клиентов

В разделе Filter Fules нужно создать два разрешающих правила Firewall Rule для L2TP VPN. Firewall в роутере MikroTik работает сверху вниз, поэтому правила разрешения внешних подключений input следует размещать выше по списку правил, которые запрещают внешние подключения. Такую ситуацию можно встретить в базовой конфигурации роутера MikroTik, когда присутствует правило, которое удаляет все пакеты, которые приходят не с LAN интерфейсов.

Настройка находится IP→Firewall

  • Protocol = udp и Dst. Port = 500,1701,4500 — протокол и порт, на котором работает L2TP проколол;
  • Protocol = ipsec-esp — если L2TP VPN сервер используется шифрование IpSec.

Настройка MikroTik VPN сервер L2TP, добавление правила FireWall 1701

Настройка MikroTik VPN сервер L2TP, firewall для обязательного шифрования

Настройка MikroTik VPN сервер L2TP, добавление правила FireWall Accept

/ip firewall filter
add action=accept chain=input comment="Port Access" dst-port=500,1701,4500 \
in-interface=WAN-ether1 protocol=udp
add action=accept chain=input in-interface=WAN-ether1 protocol=ipsec-esp

Настройка L2TP VPN подключения между роутерами MikroTik

В настройке L2TP VPN будут участвовать два роутера MikroTik, один в качества сервера, другой в качестве клиента. На этапе создание такого подключения стоит обратить внимание на модель MikroTik, т.к. от неё зависит количество VPN подключений, а также возможностями обрабатывать большие потоки данных и наличием аппаратного шифрования IpSec.

Настройка MikroTik VPN сервер L2TP, VPN между офисами

Добавление учётной записи для L2TP VPN клиента

Для корректной работы маршрутизации, в учётной записи MikroTik VPN L2TP клиента нужно добавить статические адреса для сервера и клиента. Настройку нужно совершать со стороны L2Tp VPN сервера центрального роутера MikroTik. Такой тип учётной записи PPP Secret характерен при настройке общей сети между двумя роутерами MikroTik.

Настройка находится PPP→Interface→Secrets

  • Name — имя пользователя для удаленного роутера MikroTik;
  • Password VPN пароль;
  • Service — возможность использования VPN записи для любой VPN службы(pptp, ovpn, sstp и тд);
  • Profile — профиль, содержащий согласованные сетевые настройки и методы шифрования между MikroTik VPN сервером и клиентом;
  • Local AddressIP адрес, который будет назначен VPN интерфейсу со стороны центрального роутера MikroTik;
  • Remote Address IP адрес для VPN клиента.
  • И можно переходить на создание L2TP VPN клиента на удаленном роутере MikroTik.

Настройка MikroTik VPN сервер L2TP, настройка учётной записи VPN клиента на сервере

/ppp secret
add local-address=192.168.10.1 name=user2 password=user2 profile=l2tp \
remote-address=192.168.10.2

Настройки L2TP VPN клиента

Со стороны удаленного роутера MikroTik нужно добавить учётную запись L2TP клиента, которая будет содержать список настроек, для подключения к MikroTik VPN серверу. Успешное подключение к серверу будут отображаться статусом running в свойствах интерфейса L2TP Client.

Настройка находится PPP→Interface→L2TP Client

  • Connect To — внешний IP адрес VPN сервера MikroTik;
  • User — имя учётной записи, разрешенной для удаленного подключения. Предварительно создаётся на MikroTik VPN сервере;
  • Password VPN пароль;
  • Use-ipsec — использовать обязательное шифрованием IpSec для VPN клиента;
  • Ipec Secret — ключ шифрование IpSec;
  • Allow — протокол проверки подлинности соединения между VPN сервером и клиентом;

Настройка MikroTik VPN сервер L2TP, добавление VPN клиента

Настройка MikroTik VPN сервер L2TP, настройка клиента на MikroTik-2

/interface l2tp-client
add connect-to=90.200.100.99 disabled=no ipsec-secret=mikrotik-config.ukr use-ipsec=yes name=\
l2tp-out1 password=user2 user=user2

Настройка маршрутизации со стороны VPN сервера

Это правило укажет центральному роутеру MikroTik через какой шлюз направлять трафик для удаленного роутера MikroTik.

Настройка находится IP→Routes

  • Dst. Address — удаленная сеть MikroTik VPN клиента;
  • Gateway — значение Remote Address учётной записи L2TP VPN клиента.

Настройка MikroTik VPN сервер L2TP, добавление статического маршрута на сервере

/ip route
add distance=1 dst-address=192.168.88.0/24 gateway=192.168.10.2

Настройка маршрутизации со стороны VPN клиента

Аналогичное правило маршрутизации нужно создать со стороны MikroTik VPN клиента.

Настройка находится IP→Routes

  • Dst. Address — удаленная сеть MikroTik VPN сервера;
  • Gateway — значение Local Address учётной записи L2TP VPN клиента.

Настройка MikroTik VPN сервер L2TP, добавление статического маршрута на клиенте

/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=192.168.10.1

Настройка Windows VPN подключения L2TP

ОС семейства Windows имеют встроенный(штатный) VPN клиент, который отлично подходит под эту роль. Для его настройки нужно перейти по указанному пути:

Панель управления\Сеть и Интернет\Центр управления сетями и общим доступом

Создание Windows VPN клиента

Настройка MikroTik VPN сервер L2TP, создание Windows VPN клиента

Выбор нового подключения

Настройка MikroTik VPN сервер L2TP, выбор нового подключения

Использовать текущее подключение к интернету

Настройка MikroTik VPN сервер L2TP, использовать текущее подключение к интернету

Указать адрес IP адрес MikroTik VPN сервера

Настройка MikroTik VPN сервер L2TP, указать адрес VPN сервера

Общие настройки VPN клиента Windows

Настройка MikroTik VPN сервер L2TP, настройка клиента L2TP Windows

Указать ключ IpSec

Настройка MikroTik VPN сервер L2TP, ключ IpSec

Подключение Windows VPN

Настройка MikroTik VPN сервер L2TP, подключение Windows

Статус подключения Windows VPN

Настройка MikroTik VPN сервер L2TP, статус подключения Windows

На этом настройка L2TP VPN сервера на базе роутера MikroTik завершена. Были рассмотрены два самых распространённых примера использования VPN: создание общей сети и удаленное подключение пользователей.

Есть вопросы или предложения по настройке VPN типа L2TP в MikroTik? Активно предлагай свой вариант настройки! Оставить комментарий