Упрощенная настройка L2TP/IPsec. К ЛВС и серверу в главном здании учреждения необходимо подключить 12 отделов, в каждом из которых 1-2 ПК через VPN. Все отделы пространственно расположены за городом и у них есть доступ в Интернет через ADSL модемы.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Схема подключения удаленных пользователей на рисунке ниже.

В результате настроек создается L2TP туннель, через который передается информация с IPsec  шифрованием.

На стороне пользователя VPN настраивается средствами Windows.

В главном здании VPN создан с помощью роутера MikroTik RB750Gr3 с прошивкой 6.48.1

Первоначальная настройка роутера выполнена по этой инструкции.

Все настройки выполняются из локальной сети через WinBox.

 

Порядок действий.

1.Создание профиля доступа.

2.Активация сервера L2TP.

3.Назначение IP-адреса клиентам VPN.

4.Создание пользователя VPN.

5.Создание интерфейса.

6.Правила Firewall.

7.Настройка VPN соединения клиента в Windows 10.

8.Подключение VPN соединения.

 

1.Создание профиля VPN

Профиль нужно создать до активации сервера L2TP, потому что его нужно указывать в настройках этого самого сервера.

Переходим по меню PPP >> Profiles >> +

Вводим настройки:

Name: L2TP-REMOTE-ACCESS — любое понятное имя латиницей.

Local Address: 192.168.20.1  адрес роутера в VPN.

Change TCP MSS: yes

Переходим на вкладку Protocols и выполняем настройка 9, 10, 11 как на картинке.

MPLS: yes —  передача пакетов по меткам. wiki

Compression: (сжатие данных) no —  используется при медленных каналах.

Encryption: (шифрование данных) yes — по согласованию с клиентом.

 

На вкладке Limits можно настроить лимит сессии, время отключения при бездействии, ограничение скорости подключения, одно подключение (Only one).

Настройки вкладок Queue и Scripts не изменялись.

Через командную строку терминала:

 

2.Активация сервера L2TP.

PPP >> PPP >> Interface >> L2TP Server.

В открывшемся окне ставим галочку напротив Enable.

Default Profile: L2TP-REMOTE-ACCESS  указываем созданный ранее профиль

Authentication: mschap2 (остальные варианты отключаем)

Use IPsec: yes

IPsec Secret: 12345Password

Нажимаем кнопку «ОК».

Через командную строку терминала:

 

3.Назначение IP-адреса клиентам VPN.

Первый вариант – создать пул IP-адресов и раздавать их пользователям в автоматическом режиме.

Второй вариант – указать статический IP-адрес.

Так как в нашем случае всего 12 пользователей VPN, укажем для них статические IP-адреса из сети 192.168.20.0 Делается это при создании пользователя.

 

4.Создание пользователя.

PPP >> Secrets >> +

В открывшемся окне вводим:

Name: Remote-user1 — имя пользователя.

Password: Password1234 — сложный пароль из латинских букв и цифр разного регистра.

Service: L2TP

Profile: L2TP-REMOTE-ACCESS — созданный ранее профиль, выбираем из выпадающего списка.

Remote Address: 192.168.20.11 — статический IP для пользователя.

Сохраняем на кнопку «ОК».

Через командную строку терминала:

Создаем необходимое количество пользователей аналогичными действиями.

 

5.Создание интерфейса.

Действие не обязательное, но в некоторых ситуациях может пригодится.

Если не создавать статический интерфейс, то он автоматически создается динамически при подключении пользователя.

 

6.Правила firewall.

Создадим два правила, одно для разрешения протокола IPsec, второе для доступа к необходимым портам.

Правило разрешения IPsec.

Переходим по меню  IP >> Firewall >> Filter Rules.

Нажимаем синий крест (плюс), в открывшемся окне на вкладке General (5) вводим настройки:

Chain: input — входящий в роутер трафик.

Protocol: ipsec-esp — протокол.

In Interface: ether1 — внешний интерфейс.

Жмем Apply для сохранения.

Переходим на вкладку Action.

Action: accept (разрешающее действие).

Нажимаем ОК для сохранения.

Через командную строку терминала:

 

Правило для открытия портов 500, 1701, 4500.

Переходим по меню  IP >> Firewall >> Filter Rules.

Нажимаем синий крест (плюс), в открывшемся окне на вкладке General вводим настройки:

Chain: input (вход)

Protocol: UDP (протокол)

Dst. Port: 500, 1701, 4500 (порты назначения)

In Interface: ether1 (внешний интерфейс)

Переходим на вкладку Action.

Action: accept

Нажимаем кнопку ОК для сохранения правила.

Через командную строку терминала:

В списке правил появятся два новых. Расположить их желательно верху списка.

К правилам добавлены комментарии для ясности.

 

Правило NAT.

NAT masquerade правило для трафика VPN. Правило создается на вкладке NAT аналогично предыдущим правилам.

Через командную строку терминала:

*правило NAT для VPN трафика не является обязательным, но в некоторых случаях может пригодиться

7.Настройка VPN соединения клиента в Windows 10.

Удаленный компьютер подключен в Интернет. В этом ПК переходим в управление сетями.

Панель управления >> Сеть и Интернет >> Центр управления сетями и общим доступом.

Создаем новое подключение.

Среди вариантов подключения выбираем – «Подключение к рабочему месту».  Далее.

Выбираем – «Использовать мое подключение к Интернету (VPN)».

В следующем пункте указываем внешний статический IP-адрес роутера или внешний идентификатор MikroTik(1234567891443.sn.mynetname.net у каждого роутера свой).

В поле имя пишем любое понятное имя латинскими буквами. Отмечаем галочкой «Запомнить учетные данные».

Нажимаем кнопку «Создать».

Отредактируем свойства созданного VPN подключения в сетевых соединениях.

В свойствах переходим на вкладку безопасность. Указываем следующие параметры.

1.Тип VPN: Протокол L2TP с IPsec (L2TP/IPsec).

2.Дополнительные параметры.
======-Для проверки подлинности использовать общий ключ;
======-Ключ: 12345Password (вводим ключ IPsec);
======-Нажимаем ОК.

3.Шифрование данных: обязательное (отключится если нет шифрования)

4.Разрешить следующие протоколы – отмечаем точкой.

5.Протокол Microsoft CHAP версия 2 (MS-CHAPv2).

6.Кнопка «ОК» для сохранения настроек.

Переходим на вкладку сеть.

В свойствах указываем IP-адрес для клиента и предпочитаемый DNS.

Переходим на вкладку «Дополнительно».

Настройка – Использовать основной шлюз в удаленной сети. В нашем случае галочка убрана. Нажимаем ОК для сохранения.  Настройки в свойствах VPN-соединении у клиента завершены.

 

Если галочка стоит.

Весь трафик пойдет через MikroTik. В этом случае его можно контролировать, и он попадает под все правила и настройки роутера. Недостаток в замедлении скорости работы Интернета у клиента и дополнительной нагрузке на роутер.

Чтоб убедится, что трафик идет именно через роутер, на клиенте нужно запустить ping (когда VPN уже настроен и запущен в работу) на любой общедоступный сервер.

В роутере трафик можно отследить через Torch или в IP>>Firewall>>Connections.

Как видно, с IP-адреса одного из клиентов VPN пинг на IP 8.8.8.8 по протоколу icmp проходит через MikroTik (при условии установленной галочки в доп. свойствах).

 

Если галочка не стоит.

Если галочку убрать и переподключиться к VPN, то пинг на сервер гугл (8.8.8.8) уже не проходит через роутер. Он идет через основной шлюз ПК в Интернет.

Но также не проходит пинг в нужную сеть. ПК клиента не знает, через какой шлюз ему идти в сеть за VPNом. Для решения этого вопроса нужно создать статический маршрут в ПК клиента.

1.В командной строке (от имени администратора) вводим:

Находим сетевое соединение относящееся к VPN. Его номер 26.

При каждом новом создании VPN-соединения его номер меняется.

2.Вводим маршрут

192.168.1.0 mask 255.255.255.0 — сеть назначения с маской

192.168.20.1 – IP-адрес VPN-сервера (VPN шлюз)

metric 1 –  метрика

if 26 – номер интерфейса (который определили выше)

-p – сохранение маршрута при перезагрузке ПК.

 

После этих действий вводим еще раз команду

Видим постоянный маршрут, который означает, что для доступа к сети с IP-адресом 192.168.0.0 (которая за VPN) нужно идти в шлюз 192.168.20.1.

Пинг начинает проходить и доступ к ресурсам в сети расположенной после VPN появляется.

Прохождению пинга могут препятствовать:

-антивирус (добавить сеть в доверенные или приостановить защиту на время настроек)

-брандмауэр Windows (отключить)

-сетевое обнаружение (включить)

-правила firewall в MikroTik (проверить  наличие/отсутствие и расположение).

 

Удаление маршрута (если понадобится).

 

8.Подключение VPN соединения.

В нижней правой части экрана клиентского ПК нажимаем на значок сети, выбираем из раскрывшегося списка нужное соединение и нажимаем кнопку «Подключится».

В окне авторизации вводим учетные данные пользователя VPN.

После правильного ввода учетных данных произойдет подключение.  VPN начнет работать.

В результате настройки наши пользователи подключаются по RDP к серверу в главном офисе и у них есть доступ к общей сетевой папке внутри локальной сети.

 

Как узнать что шифрование IPsec.

В PPP>>Active Connections виден тип шифрования. Если настройка не сработала и шифрование MPPE128 нужно перезагрузить роутер.

Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.