Настройка VPN IPSec/L2TP сервера на Mikrotik

Приведу пример настройки VPN IPSec/L2TP сервера на Mikrotik, чтобы можно было подключаться к нему из Windows, MacBook, iPhone и т.д.

1) Добавим диапазон IP-адресов для DHCP открыв «IP» — «Pool» и указав:
Name: vpn_pool
Addresses: 192.168.5.1-192.168.5.15
Next pool: none
Из терминала так:

ip pool add name=vpn_pool ranges=192.168.5.1-192.168.5.15

2) Добавим профиль в «PPP» — «Profiles»
Name: l2tp_profile
Local address: vpn_pool (можно указать default 192.168.88.1)
Remote address: vpn_pool
Change TCP MSS: yes
Остальное не трогаем и оставим в default
Из терминала так:

ppp profile add change-tcp-mss=yes local-address=vpn_pool name=l2tp_profile remote-address=vpn_pool

3) Добавим пользователя в «PPP» — «Secrets»
Name: ЛОГИН
Password: ПАРОЛЬ
Service: l2tp
Profile: l2tp_profile
Из терминала так:

ppp secret add name=ЛОГИН password=ПАРОЛЬ profile=l2tp_profile service=l2tp

4) Включим сервер в «PPP» — «Interface» — «L2TP Server»
Enabled: yes
MTU/MRU: 1450
Keepalive Timeout: 30
Default profile: l2tp_profile
Authentication: mschap2
Use IPSec: yes
IPSec Secret: КЛЮЧ_ШИФРОВАНИЯ (также указывается в клиентах)
Из терминала так:

interface l2tp-server server set authentication=mschap2 default-profile=l2tp_profile enabled=yes ipsec-secret=КЛЮЧ use-ipsec=yes

5) «IP» — «IPSec» — «Peers»
Address: 0.0.0.0/0
Port: 500
Auth method: pre shared key
Exchange mode: main l2tp
Passive: yes (set)
Secret: КЛЮЧ_ШИФРОВАНИЯ (также указывается в клиентах)
Policy template group: default
Send Initial Contact: yes
NAT Traversal: yes
My ID Type: auto
Generate policy: port override
Lifitime: 1d 00:00:00
DPD Interval: 120
DPD Maximum failures: 5
Proposal check: obey
Hash algorithm: sha1
Encryption Algorithm: 3des aes-128 aes-256
DH Group: modp 1024
Из терминала так:

ip ipsec peer add address=0.0.0.0/0 enc-algorithm=aes-256,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override passive=yes secret=КЛЮЧ

6) «IP» — «IPSec» — «Proposals»
Name: default
Auth algorithms: sha1
Enrc. algorithms: 3des, aes-256 cbc, aes-256 ctr
Life time: 00:30:00
PFS Group: mod 1024
Из терминала так:

ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,3des

7) «Firewall» — «Add New»
Добавим первое правило разрешающее входящие VPN соединения:
Chain: Input
Protocol: udp
Any. Port: 1701,500,4500
Action: Accept
И второе:
Chain: Input
Protocol: ipsec-esp
Action: Accept
Из терминала так:

ip firewall filter add chain=input action=accept protocol=udp port=1701,500,4500
ip firewall filter add chain=input action=accept protocol=ipsec-esp

Правила должны находится в начале списка.

На этом настройка завершена, можно подключаться.

Смотрите также:
Настройка удаленного доступа в маршрутизаторах Mikrotik

Добавить комментарий