Упрощенная настройка L2TP/IPsec. К ЛВС и серверу в главном здании учреждения необходимо подключить 12 отделов, в каждом из которых 1-2 ПК через VPN. Все отделы пространственно расположены за городом и у них есть доступ в Интернет через ADSL модемы.
Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Схема подключения удаленных пользователей на рисунке ниже.
В результате настроек создается L2TP туннель, через который передается информация с IPsec шифрованием.
На стороне пользователя VPN настраивается средствами Windows.
В главном здании VPN создан с помощью роутера MikroTik RB750Gr3 с прошивкой 6.48.1
Следует отметить, что в названной модели роутера отсутствует аппаратная поддержка IPsec и вся нагрузка по этому делу ложится на процессор.
Первоначальная настройка роутера выполнена по этой инструкции.
Все настройки выполняются из локальной сети через WinBox.
Порядок действий.
3.Назначение IP-адреса клиентам VPN.
7.Настройка VPN соединения клиента в Windows 10.
Профиль нужно создать до активации сервера L2TP, потому что его нужно указывать в настройках этого самого сервера.
1.Выполняем действия в меню PPP
2.Переходим на вкладку Profiles.
3.Нажимаем синий крест (плюс).
4.Переходим на вкладку Generals.
Вводим настройки:
5.Name: L2TP-REMOTE-ACCESS (любое понятное имя латиницей).
6.Local Address: 192.168.20.1 (адрес роутера в VPN)
7.Change TCP MSS: yes
8.Переходим на вкладку Protocols и выполняем настройка 9, 10, 11 как на картинке.
MPLS: yes — передача пакетов по меткам. wiki
Compression: (сжатие данных) no — используется при медленных каналах.
Encryption: (шифрование данных) yes — по согласованию с клиентом.
На вкладке Limits можно настроить лимит сессии, время отключения при бездействии, ограничение скорости подключения, одно подключение (Only one).
Настройки вкладок Queue и Scripts не изменялись.
Через командную строку терминала:
1
| /ppp profile add name=L2TP—REMOTE—ACCESS local—address=192.168.20.1 change—tcp—mss=yes use—compression=no use—encryption=yes use—mpls=yes comment=«L2TP TUNNEL» |
1.В боковом меню выбираем PPP.
2.В открывшемся окне PPP переходим на вкладку Interface.
3.В верхней панели нажимаем кнопку L2TP Server.
4.В открывшемся окне ставим галочку напротив Enable.
5.Default Profile: L2TP-REMOTE-ACCESS указываем созданный ранее профиль
6.Authentication: mschap2 (остальные варианты отключаем)
7.Use IPsec: yes
8.IPsec Secret: 12345Password
9.Нажимаем кнопку «ОК».
Через командную строку терминала:
1
| /interface l2tp—server server set enabled=yes default—profile=L2TP—REMOTE—ACCESS authentication=mschap2 use—ipsec=yes ipsec—secret=12345Password |
3.Назначение IP-адреса клиентам VPN.
Первый вариант – создать пул IP-адресов и раздавать их пользователям в автоматическом режиме.
Второй вариант – указать статический IP-адрес.
Так как в нашем случае всего 12 пользователей VPN, укажем для них статические IP-адреса из сети 192.168.20.0 Делается это при создании пользователя.
1.Выполняем действия в меню PPP
2.Переходим на вкладку Secrets.
3.Нажимаем синий крест (плюс).
В открывшемся окне вводим:
4.Name: Remote-user1 (имя пользователя )
5.Password: Password1234 (сложный пароль из латинских букв и цифр разного регистра)
6.Service: L2TP
7.Profile: L2TP-REMOTE-ACCESS (созданный ранее профиль, выбираем из выпадающего списка)
8.Remote Address: 192.168.20.11 (статический IP для пользователя)
9.Нажимаем кнопку «ОК».
Через командную строку терминала:
1
| /ppp secret add name=Remote—user1 password=Password1234 service=l2tp profile=L2TP—REMOTE—ACCESS remote—address=192.168.20.11 |
Создаем необходимое количество пользователей аналогичными действиями.
Действие не обязательное, но в некоторых ситуациях может пригодится.
Если не создавать статический интерфейс, то он автоматически создается динамически при подключении пользователя.
Создадим два правила, одно для разрешения протокола IPsec, второе для доступа к необходимым портам.
Правило разрешения IPsec.
Переходим по меню 1 IP >> 2 Firewall >> 3 Filter Rules.
4.Нажимаем синий крест (плюс), в открывшемся окне на вкладке General (5) вводим настройки:
6.Chain: input (вход)
7.Protocol: ipsec-esp (протокол)
8.In Interface: ether1 (внешний интерфейс)
9.Жмем Apply для сохранения.
10.Переходим на вкладку Action.
11.Action: accept (разрешающее действие).
12.Нажимаем ОК для сохранения.
Через командную строку терминала:
1
| /ip firewall filter add chain=input in—interface=ether1 protocol=ipsec—esp action=accept comment=«VPN IPSEC RULE1 accept ipsec» |
Правило для открытия портов 500, 1701, 4500.
Переходим по меню 1 IP >> 2 Firewall >> 3 Filter Rules.
4.Нажимаем синий крест (плюс), в открывшемся окне на вкладке General (5) вводим настройки:
6.Chain: input (вход)
7.Protocol: UDP (протокол)
8.Dst. Port: 500, 1701, 4500 (порты назначения)
9.In Interface: ether1 (внешний интерфейс)
10.Переходим на вкладку Action.
11.Action: accept
12.Нажимаем кнопку ОК для сохранения правила.
Через командную строку терминала:
1
| /ip firewall filter add chain=input dst—port=500,1701,4500 in—interface=ether1 protocol=udp action=accept comment=«VPN IPSEC RULE2 accept PORTS 500, 1701, 4500» |
В списке правил появятся два новых. Расположить их желательно верху списка.
К правилам добавлены комментарии для ясности.
Правило NAT.
NAT masquerade правило для трафика VPN. Правило создается на вкладке NAT аналогично предыдущим правилам.
Через командную строку терминала:
1
| add chain=srcnat out—interface=ether1 src—address=192.168.20.0/24 action=masquerade comment=«VPN RULE NAT masquerade vpn traffic» |
*правило NAT для VPN трафика не является обязательным, но в некоторых случаях может пригодиться
7.Настройка VPN соединения клиента в Windows 10.
Удаленный компьютер подключен в Интернет. В этом ПК переходим в управление сетями.
Панель управления >> Сеть и Интернет >> Центр управления сетями и общим доступом.
Создаем новое подключение.
Среди вариантов подключения выбираем – «Подключение к рабочему месту». Далее.
Выбираем – «Использовать мое подключение к Интернету (VPN)».
В следующем пункте указываем внешний статический IP-адрес роутера или внешний идентификатор MikroTik(1234567891443.sn.mynetname.net у каждого роутера свой).
В поле имя пишем любое понятное имя латинскими буквами. Отмечаем галочкой «Запомнить учетные данные».
Нажимаем кнопку «Создать».
Отредактируем свойства созданного VPN подключения в сетевых соединениях.
В свойствах переходим на вкладку безопасность. Указываем следующие параметры.
1.Тип VPN: Протокол L2TP с IPsec (L2TP/IPsec).
2.Дополнительные параметры.
======-Для проверки подлинности использовать общий ключ;
======-Ключ: 12345Password (вводим ключ IPsec);
======-Нажимаем ОК.
3.Шифрование данных: обязательное (отключится если нет шифрования)
4.Разрешить следующие протоколы – отмечаем точкой.
5.Протокол Microsoft CHAP версия 2 (MS-CHAPv2).
6.Кнопка «ОК» для сохранения настроек.
Переходим на вкладку сеть.
В свойствах указываем IP-адрес для клиента и предпочитаемый DNS.
Переходим на вкладку «Дополнительно».
Настройка – Использовать основной шлюз в удаленной сети. В нашем случае галочка убрана. Нажимаем ОК для сохранения. Настройки в свойствах VPN-соединении у клиента завершены.
Если галочка стоит.
Весь трафик пойдет через MikroTik. В этом случае его можно контролировать, и он попадает под все правила и настройки роутера. Недостаток в замедлении скорости работы Интернета у клиента и дополнительной нагрузке на роутер.
Чтоб убедится, что трафик идет именно через роутер, на клиенте нужно запустить ping (когда VPN уже настроен и запущен в работу) на любой общедоступный сервер.
В роутере трафик можно отследить через Torch или в IP>>Firewall>>Connections.
Как видно, с IP-адреса одного из клиентов VPN пинг на IP 8.8.8.8 по протоколу icmp проходит через MikroTik (при условии установленной галочки в доп. свойствах).
Если галочка не стоит.
Если галочку убрать и переподключиться к VPN, то пинг на сервер гугл (8.8.8.8) уже не проходит через роутер. Он идет через основной шлюз ПК в Интернет.
Но также не проходит пинг в нужную сеть. ПК клиента не знает, через какой шлюз ему идти в сеть за VPNом. Для решения этого вопроса нужно создать статический маршрут в ПК клиента.
1.В командной строке (от имени администратора) вводим:
1
| route print |
Находим сетевое соединение относящееся к VPN. Его номер 26.
При каждом новом создании VPN-соединения его номер меняется.
2.Вводим маршрут
1
| route add 192.168.0.0 mask 255.255.255.0 192.168.20.1 metric 1 if 26 |
192.168.1.0 mask 255.255.255.0 — сеть назначения с маской
192.168.20.1 – IP-адрес VPN-сервера (VPN шлюз)
metric 1 – метрика
if 26 – номер интерфейса (который определили выше)
-p – сохранение маршрута при перезагрузке ПК.
После этих действий вводим еще раз команду
1
| route print |
Видим постоянный маршрут, который означает, что для доступа к сети с IP-адресом 192.168.0.0 (которая за VPN) нужно идти в шлюз 192.168.20.1.
Пинг начинает проходить и доступ к ресурсам в сети расположенной после VPN появляется.
Прохождению пинга могут препятствовать:
-антивирус (добавить сеть в доверенные или приостановить защиту на время настроек)
-брандмауэр Windows (отключить)
-сетевое обнаружение (включить)
-правила firewall в MikroTik (проверить наличие/отсутствие и расположение).
Удаление маршрута (если понадобится).
1
| route delete 192.168.0.0 mask 255.255.255.0 192.168.20.1 metric 1 if 26 —p |
В нижней правой части экрана клиентского ПК нажимаем на значок сети, выбираем из раскрывшегося списка нужное соединение и нажимаем кнопку «Подключится».
В окне авторизации вводим учетные данные пользователя VPN.
После правильного ввода учетных данных произойдет подключение. VPN начнет работать.
Как узнать что шифрование IPsec.
В PPP>>Active Connections виден тип шифрования. Если настройка не сработала и шифрование MPPE128 нужно перезагрузить роутер.
Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.