В инструкции будет рассмотрена по настройка L2TP VPN сервера: удаленное подключение через VPN клиент типа L2TP+IpSec и настройка VPN туннеля между двумя роутерами MikroTik. VPN клиентом может выступать любое устройство со статическим(белым) или динамическим(серым) IP.
- Настройка L2TP VPN сервера
- VPN между двумя MikroTik
- Подключение Windows VPN
- Задать вопрос по настройке L2TP VPN
Настройка MikroTik VPN сервера L2TP
VPN сервер популярное средство для удаленного подключения одного ПК(или 100 ПК) к центральному узлу. Реализация такого сервиса есть масса, но на MikroTik работает быстро и без инцидентов по недоступности. В примере приведен случай L2TP как более защищенного средства для передачи трафика.
Для VPN клиентов лучше создать отдельную подсеть, это добавит больше возможностей в ограничении доступа между VPN клиентами и локальной сетью, а также в самой маршрутизации.
Добавление новой подсети
Настройка находится IP→Pool
/ip pool add name=LAN-Ip-Pool ranges=192.168.10.100-192.168.10.150
Настройка VPN сервера L2TP(на сервере)
Настройка находится PPP→Profile
Предварительно нужно задать сетевые параметры для VPN клиентов
/ppp profile add change-tcp-mss=yes dns-server=192.168.10.1 local-address=\ 192.168.10.1 name=l2tp remote-address=pool-1 use-encryption=yes
Активация VPN сервера L2TP
Настройка находится PPP→Interface→L2TP Server
/interface l2tp-server server set authentication=mschap2 default-profile=l2tp enabled=yes \ ipsec-secret=mikrotik-config.ukr use-ipsec=required
Use-ipsec=required принудит vpn клиента к обязательному использованию IpSec;
Use-ipsec=yes(по умолчанию) проставляет выбор vpn клиенту в использовании IpSec, т.е. может не использоваться.
Создание учётной записи для VPN клиента
Этой учётной записью будет пользоваться VPN клиент для удаленного подключения к VPN серверу.
Настройка находится PPP→Interface→Secrets
/ppp secret add name=user1 password=user1 profile=l2tp
Разрешение FireWall для подключения VPN клиентов
Настройка находится IP→Firewall
/ip firewall filter add action=accept chain=input comment="Port Access" dst-port=500,1701,4500 \ in-interface=WAN-ether1 protocol=udp
Настройка интернета для VPN клиентов L2TP в MikroTik
Этот вопрос будет вынесен за рамки данной статьи, т.к. относится с дополнительным сервисам для VPN клиентов. Таких сервисов может быть множество и все они имеют индивидуальных характер(для тех кто ищет: нужно настроить и разрешить DNS запросы и Masquerade).
Настройка VPN подключения L2TP между MikroTik, объединение офисов
В этой настройке будут участвовать два роутера MikroTik, один в качества сервера, другой в качестве клиента. На этапе создание такого подключения стоит обратить внимание на модель MikroTik, т.к. от неё зависит количество VPN подключений, а также возможность обрабатывать такие потоки данных. Для консультации по этому вопросу обращайтесь в Настройка-Микротик.укр через контактную форму.
Для объединения двух офисов и работы маршрутизации данную настройку лучше разбить на два блока:
- Настройка клиент-серверной части;
- Добавление статических маршрутов для прохождения трафика.
Серверная часть была описана ваше, но требует корректировки в виде статических адресов для VPN клиента
Настройка находится PPP→Interface→Secrets
/ppp secret add local-address=192.168.10.1 name=user2 password=user2 profile=l2tp \ remote-address=192.168.10.2
а клиентская часть состоит из настройки L2TP клиента.
Настройки L2TP клиента(на клиенте)
Настройка находится PPP→Interface→+L2TP Client
/interface l2tp-client add connect-to=90.200.100.99 disabled=no ipsec-secret=mikrotik-config.ukr use-ipsec=yes name=\ l2tp-out1 password=user2 user=user2
Настройка маршрутизации со стороны VPN сервера
Это правило укажет роутеру MikroTik куда направлять трафик.
Настройка находится IP→Routes
/ip route add distance=1 dst-address=192.168.88.0/24 gateway=192.168.10.2
Настройка маршрутизации со стороны VPN клиента
Настройка находится IP→Routes
/ip route add distance=1 dst-address=192.168.0.0/24 gateway=192.168.10.1
Настройка Windows VPN подключения L2TP
ОС семейства Windows имеют штатный VPN клиент, который отлично подходит под эту роль. Для его настройки нужно перейти
Панель управления\Сеть и Интернет\Центр управления сетями и общим доступом
создание Windows VPN клиента
выбор нового подключения
использовать текущее подключение к интернету
указать адрес VPN сервера
настройка VPN клиента Windows
указать ключ IpSec
подключение Windows VPN
статус подключения Windows VPN
У меня вопрос, как в микротике сделать так чтоб vpn клиент для которого выделена подсеть под vpn имел доступ к сети если убрать на его стороне в настройках IPv4 Использовать основной шлюз удаленной сети.
Если не убрать галку то он сеть видит и инет получает от микрота, но мне нужно чтоб только сеть видел.
Добрый день, получилось решить эту проблему?
Если вы отключите параметр использования удаленного шлюза по умолчанию, вам нужно добавить статический маршрут к сети за VPN. Проще всего такие маршруты прописывать в draytek vpn client
Для этого нужно прописать маршрут на клиенте:
route add -p 192.168.1.0 mask 255.255.255.0 192.168.10.1 metric 1
Где “192.168.1.0” это подсеть офиса, куда подключаетесь по VPN, а “192.168.10.1” эта подсеть из ip-адресации, которую выделили для клиентов VPN.
В настройках PPP->Profile Уберите DNS Server. Если я не ошибаюсь.
К чему тут DNS?
на стороне клиента прописать статический маршрут
route add -p сеть и тд
Статья помогла немножко разобраться в настройках VPN сервера l2tp
Сколько стоит настроить VPN сервер на роутере MikroTik? Нужна ваша консультация
Неплохая реализация для удаленного доступа. Стало интересно, а потянет ли мой MikroTik RB951Ui-2nD шифрование IpSec, он ведь его аппаратно не поддерживает? Какую скорость может выдать и сколько поддерживает VPN клиентов?
L2tp + Ipsec одна из немногих универсальных связок для удаленной работы на MacOS(ios). По сути для VPN сервера варианта два или OpenVPN или L2TP + Ipsec
EtherVPN
Только разобравшись с маршрутизацией получилось из Микротика сделать нормальный VPN сервер. Причем не всегда настройки тому виной, в недавнем случае вообще внутри одного провайдера не было доступа по внешним IP, только по внутренним. Вот и ищи проблему…
Добрый день. При vpn подключении из виндовз не пингует компютеры и не заходит на веб интерфейс видео регистратора хотя управляемые свичи(d-link) пингуются и на их веб интерфейс заходит. Как сделать доступ ко всей сетке?
Если у вас открывает web интерфейсы устройств, значит firewall и маршрутизация на MikroTik настроена корректно.
Из часто встречающихся причин:
1. Попробуйте деактивировать брандмаур на ПК
2. Проверьте указан ли в видеорегистраторе шлюз по умолчнию.
Все остальные решения требуют диагностики
Брандмауэр деактивирован, шлюз указан, адрес для впн выдается тем же сервером из того же пула пулом что и для ПК
VPN туннель между офисом и домом по такой схеме можно организовать? Немного пугает MikroTik своей емкой настройкой. Дайте телефон тех. поддержки
Добрый день!
Скажите, пожалуйста, возможно ли настроить L2TP+IpSec, чтобы IPsec Secret был разный у VPNклиентов?
Это общий параметр, устанавливается на весь L2tp сервер. Та и достаточно регулировать доступы учётной записью. Индивидуальные решения есть в чистом ipsec(ikev1,ikev2).
Здравствуйте, есть VPN от ZenMate , дома стоит Mikrotik hap ac2, пытаюсь настроить этот VPN на этом роутере и пока ничего не выходит.
ZenMate предлагает 2 варианта подключения для роутеров: (OpenVPN с auth SHA256) и (IKEv2, L2TP/IPsec).
OpenVPN не могу подключить, т.к. в микротике не реализована аутентификация SHA256 (максимум SHA1) и они не планируют реализовывать ни в 6.49beta27 (Testing) ни в 7.1beta5 (Development) прошивках – проверял. Сейчас у меня стоит 6.48.1 (Stable)
Настройки для IPsec, предоставленные ZenMate представлены в таком наборе:
Server: url
Username: user
Password: pass
Pre-shared: ZenMate
Device ID: цифры
Сколько я уже мучаюсь и все не могу настроить работу по этому протоколу.
Сперва настраиваю IP – IPsec , в нем постоянно получаю ошибку, что phase2 не получена или не пройдена что-то типа того. Пробовал кучу разных комбинаций настроек, пока все мимо.
Ну и пробую при таком неполученном phase2 режиме добавить PPP – L2TP Client, и он не заводится
Может быть кто-то сможет помочь что где прописать, чтобы все завелось?
Спасибо!
Обнаружил следующие проблемы:
1.При активации Ipsec связь не устанавливается.
2.Если внутренняя сеть сервера(192.168.0.0) и сеть в котором подключен клиент Win 10 PC совпадают(192.168.0.0) VPN связь устанавливаеться но подключится к устройствам в сети сервера не получаеться.
Mikrotik RB2011UiAS(mipsbe) Прошивка 6.48.1
Проблема N2 решилась:в локальном и удаленном сетях присутствовали несколько устройств с одинаковым IP адресом.
Не могу разобраться с настройкой VPN на Mikrotik hap ac2 и на iPhone. Не могу их подружить по VPN.
и можно ли все это настроить без постоянного IP? К VPN из Quick Set работает на андроид и винде без проблем, а вот айфон подключить не смог. Что делать?
Если самостоятельно настроить не получается обращайтесь в тех. поддержку MikroTIk→
при настройке клиента win откуда брать адрес куда подключаться?
в настройках сервера у вас это ни где не указано, так откуда взялось vnp.t.com.ua?
Адрес сервера(IP) это не настройка со стороны роутера, его выдает вам интернет провайдер
Подксжите, как реализовать эти 2 схемы одновременно? когда и микрот микрот нужен и win/android – mikrot, как работает default profile? как я понял только в него упираюсь чтобы одновременно было активно 2 профиля
Добрый день. Подскажите не удается настроить подключение L2TP на Windows 10, при подключении к серверу выдается ошибка 784, после внесения ключей в реестр стала выдаваться 809, при этом на роутере в логах : l2tp connection rejected no ipsec encryption while it was required. Победить ошибку 809 не удается, связь не устанавливается. Может кто-то стакивался ?
Забыл указать, что роутеры между собой по l2TP между собой соединяются нормально. Телефоны на по l2tp тоже подключаются, проблема только с Windows10/
Если у вас выводится ошибка в Windows 10 при подключении VPN клиента L2TP, рекомендуется установить необязательные обновления KB5010793.
Также в некоторых случаях помогает удаление обновлений Windows от января 2022. Но бывают случаи, когда обновления удалить не получается и установка KB5010793 является решениением.
или KB5010795 для Windows 11
С версией прошивки 7.1 ни в какую не подключается по приведенным выше настройкам. Ошибка фазы 1 и всё((.
самые распространённые ошибки при подключении к MikroTik L2TP в моей практике:
Доброго дня. Підкажіть, чому в налаштуваннях L2TP клієнта обирається профіль default-encrypted а не default, адже тут вже використовується шифрування IPSec. Виходить подвійне шифрування, чи не так?
Профиль default-encrypted это профиль по умолчанию для VPN клиента, разницы со стороны клиента между профилями default-encrypted и default не будет ни какой. В любом случае, параметры подключения вы можете контролировать с свойствах подключенного vpn клиента как со стороны сервера, так и стороны клиента(VPN-подключение→Status→Encoding)
Возможно ли создать VPN-сервер, если нет “белого” IP?
создать можно, но внешние подключения зависят от провайдера. Чаще всего, по динамике ни какой входящий трафик не поступает на роутер. Поэтому тут нужно проверить, если провайдер пропускает по динамике – можно этим пользоваться, если нет – заказать статический IP
добрый день
можно ли создать белый список айпи-адресов/подсетей, с которых можно цепляться к впн-серверу, и чтобы любые остальные отсекались?
добавить access list:
/ip firewall address-list
add address=93.170.11.2 list=VPN-Access
фильтрация входящего подключения по access-list
/ip firewall filter
add action=accept chain=input dst-port=500,1701,4500 in-interface-list=WAN \
protocol=udp src-address-list=VPN-Access
спасибо
а можно ли сделать так, чтобы компьютер, который прицепился к впн-серверу, видел только одну машину или сегмент сети, но не всю сеть, которая лежит за маршрутизатором?
Здравствуйте! Спасибо за статью, все доступно описано
У меня вопрос – есть сервер l2tp поднятый на windows server 2012, есть микротик который коннектится к серверу клиентом, есть клиенты за микротиком которым нужен доступ к серверу на котором vpn
Что я делаю: подключил микрот к серву как клиент(для клиентов за микротом нет доступа до сервера, из микрота серв пингуется), потом прописал в IP – Routes следующее: add distance=1 dst-address=192.168.86.0/24 gateway=192.168.86.1
Где: 192.168.86.0/24 подсеть адресов которые раздет сервер подключившимся клиентам(микрот получается 192.168.86.2), 192.168.86.1 адрес сервера внутри vpn сети
Но доступа так и нет, пробовал в Pref.Sourse добавить локальный ip микрота который раздет адреса своим клиентам(за микротом), пробовать в шлюз в маршрутизации прописывать ip полученный микротиком от сервера, пробовал на сервере создать статический маршрут зеркальный записи о маршрутизации что выше – ничего не помогает, клиенты за микротиком не имеют доступ к серверу
Подскажите пожалуйста, как решить, или куда копать, я уже несколько дней с бубном пляшу))
При этом если подключаю vpn напрямую из винды(не микротика) то сервер разумеется доступен, такие дела
У вас два варианта:
– Активировать NAT на Микротике, чтобы клиенты за сервером видели IP Микротика(со всеми вытекающими)
– Настроить маршрутизацию на сервере и на Микротике. Сеть за сервером отправляет пакеты на Микротик(как шлюз), а сеть за Микротиком отправляет пакеты на win сервер
Есть провайдер с серым IP, услуги белый IP не предоставляет. Чтобы попасть на удаленную сеть, есть микрот на котором настроен сторонний клиент Vpn L2TP с Ipsec. VPN провайдер предоставляет в личном кабинете переадресацию портов и можно используя постоянный IP от VPN провайдера соединяться с некоторыми внутренними ресурсами сети за микротом. Но не могу донастроить на этом микроте OpenVPN сервер.
Есть опыт настройки с белым IP, всё работает. Настройки брал отсюда: mikrotik.html
А на этом микроте, как клиент L2TP видно, что пакеты в Firewall идут при попытке соединится, но в windows клиенте OpenVPN застревает на строке Attempting to establish TCP connection with [AF_INET]xxx.xxx.xx.xx.:xxxx [nonblock] и чуть позже вываливается в ошибку что нет связи. Где еще смотреть по настройкам?
Здравствуйте!
Сделал сеть между микротиками через
ipsec vpn
Сервер 192.168.1.0/24
Клиент 192.168.88.0/24
VPN 174.16.190.*
На подсеть клиента 88.0/24 захожу , с клиента на подсеть 1.0/24 тоже
Вроде всё работает.
Но на сети 88 стоят датчики , которые могут работать как через интернет, так и через домашнюю сеть.
Так вот при заходе на них, пишет что они не в домашней сети!
Хотя на этой же сети стоят ip камеры, к ним без проблем по ip захожу.
Что не так сдел?
Если доступ с 192.168.1.0/24 к 192.168.88.0/24 работает, то vpn l2tp настроен с двух роутеров MikroTik и работает корректно. Возможно для датчиков с 192.168.88.0/24 удаленная сеть 192.168.1.0/24 воспринимается как “не домашняя”, но это не проблема VPN
Добрый день, подскажите, где посмотреть адрес в интернете, когда подключаемся или можно использовать ID?
Ребята нифига не понял про “Добавление статических маршрутов для прохождения трафика.”
Головной сервереl2tp с белым 192.168.1.0/24
ip pool для VPN: 192.168.0.0/24
На стороне второго микрота gsm маршрутизатор 192.168.3.0.24
а от него микрот в котором я настроил vpn клиента как в этой инструкции
кажется не хватает одного статического маршрута.
В общем нужна помощь(
Пакеты не летят, мне нужно магазине где есть gsm маршрутизатор за ним поставить микрота и чтобы после микрота ноутбук автоматом был в сети первого головного микрота(где белый ip).
Добрый день!
Столкнулся с проблемой подключения L2TP, есть две линии инета от одного провайдера, два белых ip “95.80.180.10 и 95.80.180.200” между ними соединение VPN не проходит, с других сетей все соединяется и по мобильной сети. Провайдер не чего не блокирует, как сказали в ТП
С чем может быть связана проблема?
Чи можна вже налаштований l2tp сервер вмикати та вимикати за розкладом через планувальник чи в якийсь інший спосіб?
Это можно делать с любыми настройки, к примеру /interface l2tp-server server set enabled=no добавить для выключения l2tp сервера в расписание System→Scheduler
Mikrotik обновили прошивку до 7.10, теперь ранее настроенные ovpn падают с ошибкой:
process_server_push_error: problem accepting server-pushed peer-id: parse/range issue
Сделал VPN по L2TP для подключения удаленных клиентов. Все шикарно работет, вот отлично ходит.
Но хотелось-бы запретить всем подключившимся выход в интернет через это самое VPN-соединение. Какое правило нужно указать для удаленных клиентов, чтобы при подключении оставался только клиентский интернет?
Вам нужно со стороны клиента отключить использование удаленного шлюза как шлюза по умолчанию и прописать статический маршрут в подсеть за MikroTik. Удобнее для этого использовать draytek vpn client
А как сделать что бы клиенты ВПН видели ресурсы в корпоративной сети?
После настройки корпоративная сеть должна быть доступна. Если с этим есть сложности, нужно обратить внимание на персональную(клиента VPN) маршрутизацию и настройки firewall(узла корп. сети)
Вітаю!
Підкажіть куда копати?
Два Мікротика. VPN L2Tp+IpSec. Маршрути налаштовані на обох, proxy-arp на bridge включено. З’єднання встановлюється.
ПК за VPN-клієнтом пінгує ПК за VPN-сервером
ПК за VPN-сервером НЕ пінгує ПК за VPN-клієнтом
пересмотрите firewall на пингуемом узле(антивирус и брандмауэр)
Дякую за швидку відповідь!
Так, ПК не вдалий варіант перевіряти пінг. Перевірив пінг до інших пристроїв – проходять.
Залишилось питання відкрити веб сторінку приладу, що знаходиться за мережею VPN-сервера з ПК що за мережею VPN-клієнта.
Чи потрібні якісь додаткові налаштування на fiewall VPN-клієнта чи VPN-сервера для проходження трафіку (крім тих, що дозволяють з’єднання та тих що є за замовчуванням)? Буду вдячний за підказку.
Питання знімаю. Можливо буде цікаво іншим – проблема у розмірі пакету. Шифрування додає розміру пакету, і як наслідок, збільшений розмір пакету не проходив мережами провайдерів. Допомогло зменшення розміру до 1380