Как настроить l2tp server на микротике

Небольшая шпаргалка по настройке базового VPN по протоколу l2tp с общим ключом на микротике.

Данный VPN работает для удаленного подключения пользователя в локальную сеть компании и использование внутренних ресурсов (шара, удаленное подключение к своей рабочей станции и etc…)

Примерная схема

Предполагается, что базовые настройки интернета/dhcp/firewall сделаны. Вся настройка происходит, через WinBox. В моём примере есть сеть 192.168.51.0/24 (офис).

Настройка IP адресации

Переходим в IP=>Addreses. Создаем отдельную подсеть для VPN-подключений. Это может быть как отдельная маска так и просто другая подсеть. В примере у нас будет другая маска.

1. Адрес микротика для этой подсети и префикс маски;
2. Маска;
3. Указываем на каком интерфейсе это всё работает;
4. Не забываем указать комментарий для чего эта настройка;

Настройка IP-пула

Переходим IP=>Pool и создаем пул адресов в нашей подсети, которую мы создали в предыдущем шаге. Эти адреса будут выдаваться VPN-клиентам.

Настройка профиля VPN

Переходим в PPP, дальше кликаем Profiles, нажимаем на плюсик. В окне вписываем данные.

1. Имя профиля можно указать любое удобное (я же пишу %протокол%_default)
2. Local Address указываем тот, который мы назначали микротику в первом пункте (в примере это 10.13.0.1)
3. Remote Adress указываем пул, который мы создали (в примере это l2tp_pool)
4. Bridge указываем основной Bridge
5. Важный момент с DNS-серверами. Если в вашей сети есть домен контроллер — указываем его, если нет, то либо провайдерский, либо какой вам нравится, например, 8.8.8.8 :)
6. В WINS-сервера указываем IP домен контроллера, если его нет, то адрес микротика.

Включаем l2tp сервер

Переходник на вкладку PPP, раздел Interface, нажимаем на L2TP Server

1. Включаем L2TP-Server
2. Default profile указываем тот, что мы создали (в примере l2tp_default)
3. Use IPsec ставим Required
4. IPsec Secret придумываем/генерируем ключ
5. Caller ID Type указываем Number

Создание учёток для подключения

Переходим в PPP, далее Secrects, нажимаем на “+”. Заполняем данные:

1. Name можно указывать любое удобное. Я предпочитаю указывать в формате: первая буква имени + фамилия на латинском. (S.Gultyaev, например).
   Это не просто так. Так сразу будет видно, кто когда подключался, какой трафик бежит, можно проснифать пакеты. Ни в коем случае не делайте одну учётку на несколько сотрудников. Если человек уйдет из компании, то у него могут остаться данные для подключения в вашу сеть, а это не есть хорошо;
2. Password лучше сгенерировать;
3. Service оставляем либо Any (то есть любой) или указываем l2tp;
4. Profile оставляем без изменений, т.к. мы уже все настроили в предыдущих шагах.

Остальные параметры не трогаем.

Настройка FireWall

В результате у нас получилось две подсети 192.168.51.0/24 (внутренняя офисная) и 10.13.0.0/24 (для VPN сегмента). Нам надо сделать так, что те, кто подключались по VPN могли “видеть” внутренние ресурсы.

Для начала настроим режим работы моста, чтобы видеть сеть за микротиком.

Переходим в раздел Bridge, выбираем Bridge на котором крутиться наша подсеть 10.13.0.1. И включаем proxy-arp.

Настраиваем правила для того, чтобы VPN-клиенты видели сеть за микротиком.

Переходим в IP=>FireWall вкладка Filter Rules, создаем правило.

1. Chain ставим forward (мы указываем, что правило работает на исходящий трафик);
2. В Scr. Address пишем подсеть созданную для VPN-клиентов (в примере это 10.13.0.0/24);
3. В Dst. Addreses пишем подсеть офиса или туда, куда могут ходить VPN-клиенты (в примере это 192.168.51.0/24);
4. Переходим на вкладку Action и выбираем Accept;
5. Неплохо было бы указать комментарий к правилу;

Итог

Такой не хитрой настройкой мы получили стабильно работающий VPN для небольшой компании. Можно также настроить приоритет трафика, скоро загрузки/отдачи, но об этом поговорим отдельно.

Примечание

• Если есть сайт компании, то можно добавить поддомен (например gate.*.ru или vpn.*.ru) и прицепить к нему DNS A-запись с ip вашего офиса;
• Для проверки работы VPN можете попробовать подключиться с своего смартфона;

Если вам тоже интересна работа с микротиком, то приглашаю почитать запись: Курсы по Микротику