fb logo  VK  Feed icon.svg  

Звоните нам: +375 (29) 3245385, +375 (29) 7505994, +375 (25) 9164238

Настройка L2TP+IPsec и PPtP сервера на MikroTik

опубликовал от 09 Ноябрь, 2018

Не было печали как Apple решила выпилить поддержку PPtP из macOS Sierra и iOS 10. Пользователи сайта начали активно интересоваться настройкой L2TP и время написать инструкции пришло. Кроме того я решил написать о настройке смешаной сети: PPtP, L2TP+ipSec для обеспечения максимальной совместимости со всеми системами. Это так-же позволит упростить настройку клиентского оборудования с Windows. Статья не решает вопрос о настройке максимально защищённой системы. Мы строим максимально простую систему. Задача: обеспечить подключение к локальной сети предприятия по VPN и получать доступ к внутренним ресурсам. Подключения должны настраиваться пользователями с минимально возможными отклонениями от настроек по умолчанию. Уже полно разных сложных инструкций в интернете, но всё на самом деле очень просто.

 Настраивать будем на примере Router OS v6.38.7 (bagfix) и hAP AC lite

001 large

Для простоты будем использовать настройки роутера по умолчанию. Локальная сеть 192.168.88.0/24 внешний IP роутер получает по DHCP.

 Шлюз в VPN соединении (local adress 192.168.88.2). Пул раздаваемых адресов для VPN клиентов (Remote adress): default-dhcp (192.168.88.10-192.168.88.254). Бриджуем соединение с основной локальной сетью (bridge).

001 profile setup

Переходим на вкладку Protocols где включаем шифрование. (Упростит настройку клиентов под Windows):

002 profile setup

 Настроим акаунты клиентов: Выбираем наш профиль l2tp+pptp, создаём пароли и логины для пользователей.

003 user setup

 Нажмём кнопочку L2TP Server и настроим его:

004 l2tp setup

IPsec Secret - так называемый общий (предварительный - windows) ключ (Shared Key - macOS) потребуется при настройке клиентов.

Настроим PPtP сервер: Активируем его поставив галочку Enable и выберем профиль l2tp+pptp

005 pptp setup

Настроим бридж:

01 bridge

Осталось открыть порты для подключения с внешки:

GRE и TCP 1723 для PPtP

UDP 1701 для L2TP

IPsec-esp, IPsec-ah и UDP 50, 500, 4500 для работы IPsec

Для этих портов надо добавить разрешающие правила (accept) в цепочке input

Для тестирования можно временно выключить запрещающее правило в цепочке input Firewall

007 firewall setup

 Всё можно подключать ваши iPhone MacBook и ПК к VPN серверу. Настройки по умолчанию подходят. Введите только ваши пароли верно.

Обучение: Как настроить MikroTik с нуля?

Научитесь работать с оборудованием MikroTik и RouterOS по видеокурсу «Настройка оборудования MikroTik». Проходите уроки в комфортном темпе и когда удобно – все материалы остаются у вас бессрочно. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект. Пройдя курс, вы сможете настроить маршрутизатор MikroTik с нуля, даже если у вас не будет в наличии реального оборудования. Начало курса можно посмотреть бесплатно, оставив заявку здесь.

Прочитано 35410 раз Последнее изменение Воскресенье, 10 Февраль 2019 13:18
Кардаш Александр Владимирович

Автор статей по настройке сетевого оборудования. Добрый айтишник!

Сайт: https://netflow.by

Другие материалы с нашего сайта:

6 Комментарии

  • Михаил

    покажите на скринах как вводить правила на файрволе:
    Осталось открыть порты для подключения с внешки:

    GRE и TCP 1723 для PPtP

    UDP 1701 для L2TP

    IPsec-esp, IPsec-ah и UDP 50, 500, 4500 для работы IPsec

    Для этих портов надо добавить разрешающие правила (accept) в цепочке input

    Михаил   Среда, 15 Май 2019 12:42
  • Alex

    Preshared keys считаются небезопасными. Напишите, как настраивать на сертификатах (RCA).

    Alex   Среда, 06 Март 2019 22:46
  • Павел111

    Отличная статья, все просто, доступно и главное работает универсально!!!

    Павел111   Среда, 26 Сентябрь 2018 13:38
  • Denisov

    Спасибо, огромное. Данная статья очень помогла в поднятии службы L2TP. Надеюсь, статья не пропадет через несколько лет.

    Ответ: Рад что и вам нравится мой блог.

    Denisov   Воскресенье, 15 Июль 2018 16:27
  • cag

    Здравствуйте.
    Спасибо за Ваш блог.
    Есть вопрос по по доступу l2tp. В моем случае Mikrotik поднимает соединение по PPPoE (ByFly). Настроил все согласно этой статьи, все прекрасно подключаюсь с рабочего места в домашнюю сеть указывая адрес xxxxxxxxxxxx.sn.mynetname.net но доступ имею только на сам роутер (192.168.88.1) ни на какие другие устройства в сети 192.168.88.0/24 доступа нет. Не могу понять почему. Пробовал добавлять правило firewall цепочка forward с интерфейса user1-l2tp не помогает. Подскажите в чем дело?

    cag   Вторник, 13 Февраль 2018 09:21
  • Микротик Мэн

    Небольшое уточнение - в бридже надо ставить не local-proxy-arp, а proxy-arp
    почему-то только тогда у меня и заработало соединение по впн и меня смогло пустить по удаленке
    еще можно статически выдавать адреса, если возникают глюки с соединением

    Ответ: Вроде и то и другое можно ставить.

    Микротик Мэн   Суббота, 18 Ноябрь 2017 19:59

Оставить комментарий

Убедитесь, что Вы ввели всю требуемую информацию, в поля, помеченные звёздочкой (*). HTML код не допустим. Сообщения проходят модерацию и могут быть не опубликованы, если не являются осмысленными или содержат в тексте бесполезную ссылку на другой сайт...

Комментарии к статьям:

  • Максим Кушнаренко Написал Максим Кушнаренко Июль 06, 2019 Поскольку пользователи социальных сетей используют соединения HTTPS, которые выхватить гораздо сложнее, то необходимо использовать новую…
  • bcloud Написал bcloud Июнь 17, 2019 Добрый день! Подскажите, пожалуйста, как решить проблему. У нас на фирме подключили такой модем, все…
  • Нур Написал Нур Апрель 30, 2019 работает на локалке, а по wifi на телефоне не работает
Услуги переустановки Windows с выездом по Минску
Установка Windows в Минске на ПК и MAC весьма востребованная услуга. Часто ввиду заражения вирусами или вредоносными программами, а также после случайно удаления системных файлов, операционная
Услуги по настройке маршрутизаторов MikroTik
Полноценное использование маршрутизатора MikroTik достигается только в результате его грамотной настройки. Неопытный специалист может очень долго провозиться с маршрутизатором, так и не заставив его
Услуги настройки Wi-Fi сети в Минске
Настроим любые Wi-Fi роутеры с выездом к вам. Современные компьютерные технологии предлагают пользователю все новые достижения, способные сделать работу с компьютером и сетью Интернет удобнее,
Услуги ремонта компьютеров с выездом по Минску
Каждый из нас хоть раз сталкивался с неожиданной поломкой компьютера, его комплектующих, или же выхода из строя программного обеспечения. Зачастую, это происходит в самый неподходящий момент: когда
Услуги восстановления данных в Минске
Hаши специалисты смогут помочь Вам восстановить информацию с выездом по Минску. Опытные сотрудники нашей компании помогут вернуть важные данные, соблюдая конфиденциальность и ваши интересы.
Услуги по настройке модемов Промсвязь
Настроим роутеры белорусских интернет провайдеров с выездом по Минску. Сегодня многие пользователи знакомы с беспроводными сетями, знают о преимуществах их использования. Однако дома у
«
»
  • 1
  • 2
  • 3
 rss  vk groupe

 

Нравится ли вам наш блог?


Майнеры наносят государству гигантский экономический ущерб
В последние годы майнинг откровенно теряет свою привлекательность. Криптовалюты то слегка дорожают, то снова дешевеют. Биржи то и дело взламывают неизвестные хакеры. А бывает и такое, что владельцы
Продажи ПК растут. Доля Applе падает
Сегодня к нам попали аналитические данные продаж компьютерной техники и смартфонов от 17 июля 2019 года, составленные агентством Gartner. Как оказалось, за отчетный период второго квартала, поставки
Смартфоны Apple перестали нравиться пользователям? Аудитория переходит на Android и не жалует дизайн iPhone XI
Компания BankyCell сообщает, что владельцы смартфонов iPhone начали реже менять свои устройства на более новые решения купертиновского гиганта Apple. Согласно результатам исследования, удержание
Представлен 28-ядерный Intel Xeon Platinum 8284: новый флагман Cascade Lake SP
Компания Intel без особой помпы и рекламы добавила в свою линейку новый процессор серии Cascade Lake SP. Это 28-ядерный чип с повышенной базовой тактовой частотой 3,0 ГГц под маркировкой Intel Xeon
Акции Microsoft продолжают расти благодаря облачному бизнесу
Акции Microsoft выросли на 2 % после того, как компания опубликовала квартальный отчёт, превзошедший ожидания аналитиков. Последний квартал, завершившийся для компании 30 июня 2019 года, стал весьма
Прошивка AGESA 1.0.0.3ABA для материнских плат AMD AM4 отозвана из-за ошибки
Как выяснилось, последняя версия микрокода AGESA ComboAM4, обеспечивающая поддержку процессоров Ryzen 3-го поколения на материнских платах с чипсетами 400-й серии, содержит критические ошибки и была
Сенатор США призвал ФБР оценить риск для национальной безопасности со стороны российского приложения FaceApp
За последние дни Сеть буквально заполонили фотографии приложения FaceApp, которое посредством алгоритмов на основе искусственного интеллекта состаривает людей на снимках. В приложении есть и другие
Всё больше людей в Instagram лишаются счётчика лайков
В начале мая социальная сеть Instagram в Канаде начала тестировать нововведение, заключающееся в отсутствии счётчика лайков. Тогда разработчики утверждали, что таким образом хотят побудить
«
»
  • 1
  • 2

Авторизация