Как настроить L2TP IPsec сервер в Mikrotik

Тема VPN-соединений будет актуальна ближайшее время так точно! Что это нам даёт? Довольно простой и безопасный способ обмениваться данными по открытой сети Интернет внутри защищённого (криптографическими методами) туннеля.

Типовых сценариев использования VPN несколько, но всегда можно придумать различные вариации и комбинации. На то мы и сисадмины, чтобы нетриваильные задачи разделять на тривиальные и решать их хорошо зарекомендовавшими себя “бест практикс”.

  1. Подключение клиента к корпоративной сети посредством сети Интернет. Например, человек работает из дома (ковид, ага), или в командировке нужно забрать почту.
  2. Объединение двух офисов (филиалы) в одну сеть.

Ну чтож, начнём настраивать! Исходные данные – у нас есть hAP lite, прошивка v6.45.9 с белым адресом.

Погнали!


Шаг 1. Выделяем пул для адресов VPN-клиентов

Чтобы не мешать всех в одну кучу, лучше выделить сразу подсеть (пул) для клиентов, подключающихся по VPN. Проще будет настройка файрволла и маршрутизация. Для этого перейдём в раздел “IP -> Pool” и добавим новый пул VPN_pool с диапазоном адресов, например 10.0.10.10-10.0.10.20 (21 адрес, получается).

Отлично! Вы великолепны! Если так пойдёт и дальше – всё быстро настроим.

Шаг 2. Создаём профиль для VPN

Открываем раздел “PPP”, переходим на вкладку “Profiles” и добавляем новый профиль. Вот, что нужно там сделать:

  1. Задать имя профиля
  2. Указать адреса из нашего пула (см. Шаг 1) как в локальном адресе, так и в удалённом адресе.
  3. Внизу окна установить опцию “Change TCP MSS” для возможности изменять максимальный размер сегмента данных.

Шаг 3. Аутентификационная информация

На этом шаге мы заведём учётки под пользователей VPN. Для этого перейдём в том же окне (Шаг 2) на вкладку “Secrets”.

Под каждого пользователя создаётся свой секрет. Хотя есть возможность множественного подключения, но удобство такого подхода сомнительно.

Указываем следующие параметры:

  1. Имя пользователя.
  2. Пароль пользователя.
  3. Служба (l2tp).
  4. Профиль (созданный на предыдущем этапе).

Шаг 4. Запускаем нужную службу и открываем к ней доступ

Собственно, пора запустить саму службу VPN, а именно – в том же разделе “PPP” на вкладке “Interfаce” нажимаем на кнопку “L2TP Server” и в появившемся окне ставим чекбокс “Enabled”, также выбираем Default Profile – созданный на Шаге 2 профиль. В качестве протокола аутентификации отмечаем mschap2, а также активируем использование IPsec для криптографической защиты проходящего трафика. Потребуется также указать предварительный ключ IPsec. Это может быть “123” или что-то более криптостойкое (например “1234” или “qwerty” – выбирайте сами). Я сделаю 8-значный предварительный пароль. Его мы будем указывать позднее, поэтому не забываем.

Ну и так как запустили службу, нам потребуется на межсетевом экране открыть нужные порты для подключений. Идём в “IP -> Firewall” и добавляем правило “accept” на цепочку “input” разрешая следующие порты: 1701/udp, 500/udp, 4500/udp.

Шаг 5. Глючок в IPsec

Не знаю почему, но у меня на текущем этапе подключиться не удалось, пока не произвёл некую модификацию IPsec. Всего несколько действий:

  1. Переходим в раздел “IP -> IPsec” и добавляем новую группу на вкладке “Groups”
  2. На вкладке “Policies” создаём новую дефолтную политику и выбираем в качестве шаблона нашу созданную группу:
  3. Готово. :)

Шаг 6. Настройка VPN-клиента Windows

Сервер настроен, пора настроить клиента.

Идём в Центр управления сетями и общим доступом и нажимаем на “Настройка нового подключения или сети”:

В появившемся окне выбираем пункт “Подключение к рабочему месту”.Здесь нажимаем “Использовать мое подключение к Интернету (VPN)”. То есть туннель будет строиться поверх уже имеющегося соединения.

На следующем шаге указываем IP нашего Mikrotik, который настроен на предыдущих шагах и является “воротами” в корпоративную сеть. Также зададим имя для нашего VPN-соединения.

На следующем шаге укажем логин и пароль пользователя, созданные на Шаге 3.Подключиться нам не удастся пока, не ввели предварительный секрет IPsec, поэтому зайдём в свойства созданного VPN-подключения.

Изменим тип VPN на “L2TP IPsec VPN”, нажав на кнопку “Дополнительные параметры” введём наш предварительный ключ.

Вот теперь подключение удаётся сделать и криптография поднялась нормально. Можно ходить в корпоративную сеть )

Шаг 7. Настройка VPN-клиента в Linux

Ну я был бы не я, если бы не описал настройку клиента в Linux ) Продолжим популяризировать наш Linux Mint.

Чтобы добавить новое подключение к VPN-серверу, в системном трее нужно кликнуть на иконку сетевого соединения и добавить новое подключение.

Как видим, “Из коробки” нам доступны только OpenVPN и PPTP типы VPN. Нет нашего L2TP+IPsec. Придётся доустановить некоторые недостающие пакеты:

# apt-get update
# add-apt-repository ppa:nm-l2tp/network-manager-l2tp
# apt-get install xl2tpd network-manager-l2tp network-manager-l2tp-gnome

После этого нам уже доступен новый тип VPN-подключения:

Заполняем поля аналогично клиенту Windows – в качестве шлюза – удалённый IP сервера, логин и пароль L2TP, а также обращаем внимание на две кнопки – IPsec и PPP. В первой – установим PSK для формирования IPsec, во второй – укажем наши алгоритмы шифрования (MSCHAP2 и т.д.)

Ну вот! О чём я и говорил!

Теперь можно подключаться к сети:

Спасибо, что дочитали до этого момента. У меня великолепная аудитория)

Интересно? Поделись с другом
Litl-Admin.ru

Comments:

Leave a Reply