Как настроить l2tp server на микротике

20

Небольшая шпаргалка по настройке базового VPN по протоколу l2tp с общим ключом на микротике.

Данный VPN работает для удаленного подключения пользователя в локальную сеть компании и использование внутренних ресурсов (шара, удаленное подключение к своей рабочей станции и etc…)

Примерная схема

Предполагается, что базовые настройки интернета/dhcp/firewall сделаны. Вся настройка происходит, через WinBox. В моём примере есть сеть 192.168.51.0/24 (офис).

Настройка IP адресации

Переходим в IP=>Addreses. Создаем отдельную подсеть для VPN-подключений. Это может быть как отдельная маска так и просто другая подсеть. В примере у нас будет другая маска.

  1. Адрес микротика для этой подсети и префикс маски;
  2. Маска;
  3. Указываем на каком интерфейсе это всё работает;
  4. Не забываем указать комментарий для чего эта настройка;
Настройка IP-пула

Переходим IP=>Pool и создаем пул адресов в нашей подсети, которую мы создали в предыдущем шаге. Эти адреса будут выдаваться VPN-клиентам.

Настройка профиля VPN

Переходим в PPP, дальше кликаем Profiles, нажимаем на плюсик. В окне вписываем данные.

  1. Имя профиля можно указать любое удобное (я же пишу %протокол%_default)
  2. Local Address указываем тот, который мы назначали микротику в первом пункте (в примере это 10.13.0.1)
  3. Remote Adress указываем пул, который мы создали (в примере это l2tp_pool)
  4. Bridge указываем основной Bridge
  5. Важный момент с DNS-серверами. Если в вашей сети есть домен контроллер — указываем его, если нет, то либо провайдерский, либо какой вам нравится, например, 8.8.8.8 :)
  6. В WINS-сервера указываем IP домен контроллера, если его нет, то адрес микротика.
Включаем l2tp сервер

Переходник на вкладку PPP, раздел Interface, нажимаем на L2TP Server

  1. Включаем L2TP-Server
  2. Default profile указываем тот, что мы создали (в примере l2tp_default)
  3. Use IPsec ставим Required
  4. IPsec Secret придумываем/генерируем ключ
  5. Caller ID Type указываем Number
Создание учёток для подключения

Переходим в PPP, далее Secrects, нажимаем на «+». Заполняем данные:

  1. Name можно указывать любое удобное. Я предпочитаю указывать в формате: первая буква имени + фамилия на латинском. (S.Gultyaev, например).
    Это не просто так. Так сразу будет видно, кто когда подключался, какой трафик бежит, можно проснифать пакеты. Ни в коем случае не делайте одну учётку на несколько сотрудников. Если человек уйдет из компании, то у него могут остаться данные для подключения в вашу сеть, а это не есть хорошо;
  2. Password лучше сгенерировать;
  3. Service оставляем либо Any (то есть любой) или указываем l2tp;
  4. Profile оставляем без изменений, т.к. мы уже все настроили в предыдущих шагах.

Остальные параметры не трогаем.

Настройка FireWall

 

Важно сделать
Для удаленных подключений нужно открыть порты 1701,500,4500 по UPD

В результате у нас получилось две подсети 192.168.51.0/24 (внутренняя офисная) и 10.13.0.0/24 (для VPN сегмента). Нам надо сделать так, что те, кто подключались по VPN могли «видеть» внутренние ресурсы.

Для начала настроим режим работы моста, чтобы видеть сеть за микротиком.

Переходим в раздел Bridge, выбираем Bridge на котором крутиться наша подсеть 10.13.0.1. И включаем proxy-arp.

Настраиваем правила для того, чтобы VPN-клиенты видели сеть за микротиком.

Переходим в IP=>FireWall вкладка Filter Rules, создаем правило.

  1. Chain ставим forward (мы указываем, что правило работает на исходящий трафик);
  2. В Scr. Address пишем подсеть созданную для VPN-клиентов (в примере это 10.13.0.0/24);
  3. В Dst. Addreses пишем подсеть офиса или туда, куда могут ходить VPN-клиенты (в примере это 192.168.51.0/24);
  4. Переходим на вкладку Action и выбираем Accept;
  5. Неплохо было бы указать комментарий к правилу;

Итог

Такой не хитрой настройкой мы получили стабильно работающий VPN для небольшой компании. Можно также настроить приоритет трафика, скоро загрузки/отдачи, но об этом поговорим отдельно.

Примечание
  • Если есть сайт компании, то можно добавить поддомен (например gate.*.ru или vpn.*.ru) и прицепить к нему DNS A-запись с ip вашего офиса;
  • Для проверки работы VPN можете попробовать подключиться с своего смартфона;

 

Если вам тоже интересна работа с микротиком, то приглашаю почитать запись: Курсы по Микротику