IT Юмор 
Умный поиск 
Статьи 
Новое в блоге 
Настройка ОС 
Обзоры и тесты 
Web разработка 
Железо 
Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Для тех кто не хочет тратить своё дорогое время на изучение данного мануала предлагаем нашу платную помощь.
Настраивать будем на примере Router OS v6.38.7 (bagfix) и hAP AC lite
Для простоты будем использовать настройки роутера по умолчанию. Локальная сеть 192.168.88.0/24 внешний IP роутер получает по DHCP.
Шлюз в VPN соединении (local adress 192.168.88.2). Пул раздаваемых адресов для VPN клиентов (Remote adress): default-dhcp (192.168.88.10-192.168.88.254). Бриджуем соединение с основной локальной сетью (bridge).
Переходим на вкладку Protocols где включаем шифрование. (Упростит настройку клиентов под Windows):
Настроим акаунты клиентов: Выбираем наш профиль l2tp+pptp, создаём пароли и логины для пользователей.
Нажмём кнопочку L2TP Server и настроим его:
IPsec Secret - так называемый общий (предварительный - windows) ключ (Shared Key - macOS) потребуется при настройке клиентов.
Настроим PPtP сервер: Активируем его поставив галочку Enable и выберем профиль l2tp+pptp
Настроим бридж:
Осталось открыть порты и проколы для подключения с внешки:
gre(47) и TCP 1723 для PPtP
l2tp(115) и UDP 1701 для L2TP
IPsec-esp(50), IPsec-ah(51) и UDP 500, 4500 для работы IPsec
Для этих портов надо добавить разрешающие правила (accept) в цепочке input
Для тестирования можно временно выключить запрещающее правило в цепочке input Firewall
Всё можно подключать ваши iPhone MacBook и ПК к VPN серверу. Настройки по умолчанию подходят. Введите только ваши пароли верно.
- Инструкция по настройке L2TP+IPsec клиента на macOS Sierra
- Инструкция по настройке L2TP+IPsec клиента на iOS
- Настройка L2TP+IPsec и PPtP клиента в Windows 7
Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Комментарии
Нужен совет: Как быть, если у клиента такая же подсеть, как и за VPN?
Например, клиент в своей подсети от домашнего роутера имеет адрес 192.168.0.15, шлюз 192.168.0.1. Подключается через VPN к офисной сети и хочет получить доступ к компьютеру за туннелем, с адресом 192.168.0.103.
У меня это не получилось сделать, т.к. подсети совпадают. Пришлось перенастраивать клиентскую часть, чтобы подсети отличались.
Можно как-то обойти эту особенность?
Ответ: Нельзя
grp это протокол, а не порт, соответственно 47 это номер протокола
gre открывать не обязательно, достаточно tcp/1723
gre будет пропущен фаерволом при наличии разрешающего input established и related, т.к. после установления соединения по 1723, все последующие пакеты, относящиеся к данному сеансу будут либо с ним связаны, либо от него зависеть.
И так будет безопаснее, чем открывать все подряд. Это же касается всего остального.
Ответ: Что-то мне подсказывает, что не заработает.
Really?
Ответ: Поправил...
Ответ: Ну это вы уже сами разберитесь... Или за платной помощью к нам....
UDP 1701 для L2TP
IPsec-esp, IPsec-ah и UDP 50, 500, 4500 для работы IPsec
Для этих портов надо добавить разрешающие правила (accept) в цепочке input
Ответ: Рад что и вам нравится мой блог.
Спасибо за Ваш блог.
Есть вопрос по по доступу l2tp. В моем случае Mikrotik поднимает соединение по PPPoE (ByFly). Настроил все согласно этой статьи, все прекрасно подключаюсь с рабочего места в домашнюю сеть указывая адрес xxxxxxxxxxxx.sn.mynetname.net но доступ имею только на сам роутер (192.168.88.1) ни на какие другие устройства в сети 192.168.88.0/24 доступа нет. Не могу понять почему. Пробовал добавлять правило firewall цепочка forward с интерфейса user1-l2tp не помогает. Подскажите в чем дело?
почему-то только тогда у меня и заработало соединение по впн и меня смогло пустить по удаленке
еще можно статически выдавать адреса, если возникают глюки с соединением
Ответ: Вроде и то и другое можно ставить.
RSS лента комментариев этой записи