VK Feed icon.svg

Звоните нам: +375 (29) 3245385, +375 (29) 7505994, +375 (25) 9164238

Настройка L2TP+IPsec и PPtP сервера на MikroTik

опубликовал от 09 Ноябрь, 2018

Не было печали как Apple решила выпилить поддержку PPtP из macOS Sierra и iOS 10. Пользователи сайта начали активно интересоваться настройкой L2TP и время написать инструкции пришло. Кроме того я решил написать о настройке смешаной сети: PPtP, L2TP+ipSec для обеспечения максимальной совместимости со всеми системами. Это так-же позволит упростить настройку клиентского оборудования с Windows. Статья не решает вопрос о настройке максимально защищённой системы. Мы строим максимально простую систему. Задача: обеспечить подключение к локальной сети предприятия по VPN и получать доступ к внутренним ресурсам. Подключения должны настраиваться пользователями с минимально возможными отклонениями от настроек по умолчанию. Уже полно разных сложных инструкций в интернете, но всё на самом деле очень просто.

 Настраивать будем на примере Router OS v6.38.7 (bagfix) и hAP AC lite

001 large

Для простоты будем использовать настройки роутера по умолчанию. Локальная сеть 192.168.88.0/24 внешний IP роутер получает по DHCP.

 Шлюз в VPN соединении (local adress 192.168.88.2). Пул раздаваемых адресов для VPN клиентов (Remote adress): default-dhcp (192.168.88.10-192.168.88.254). Бриджуем соединение с основной локальной сетью (bridge).

001 profile setup

Переходим на вкладку Protocols где включаем шифрование. (Упростит настройку клиентов под Windows):

002 profile setup

 Настроим акаунты клиентов: Выбираем наш профиль l2tp+pptp, создаём пароли и логины для пользователей.

003 user setup

 Нажмём кнопочку L2TP Server и настроим его:

004 l2tp setup

IPsec Secret - так называемый общий (предварительный - windows) ключ (Shared Key - macOS) потребуется при настройке клиентов.

Настроим PPtP сервер: Активируем его поставив галочку Enable и выберем профиль l2tp+pptp

005 pptp setup

Настроим бридж:

01 bridge

Осталось открыть порты для подключения с внешки:

GRE и TCP 1723 для PPtP

UDP 1701 для L2TP

IPsec-esp, IPsec-ah и UDP 50, 500, 4500 для работы IPsec

Для этих портов надо добавить разрешающие правила (accept) в цепочке input

Для тестирования можно временно выключить запрещающее правило в цепочке input Firewall

007 firewall setup

 Всё можно подключать ваши iPhone MacBook и ПК к VPN серверу. Настройки по умолчанию подходят. Введите только ваши пароли верно.

Обучение: Как настроить MikroTik с нуля?

Научитесь работать с оборудованием MikroTik и RouterOS по видеокурсу «Настройка оборудования MikroTik». Проходите уроки в комфортном темпе и когда удобно – все материалы остаются у вас бессрочно. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект. Пройдя курс, вы сможете настроить маршрутизатор MikroTik с нуля, даже если у вас не будет в наличии реального оборудования. Начало курса можно посмотреть бесплатно, оставив заявку здесь.

Прочитано 33503 раз Последнее изменение Воскресенье, 10 Февраль 2019 13:18
Кардаш Александр Владимирович

Автор статей по настройке сетевого оборудования. Добрый айтишник!

Сайт: https://netflow.by

Другие материалы с нашего сайта:

6 Комментарии

  • Михаил

    покажите на скринах как вводить правила на файрволе:
    Осталось открыть порты для подключения с внешки:

    GRE и TCP 1723 для PPtP

    UDP 1701 для L2TP

    IPsec-esp, IPsec-ah и UDP 50, 500, 4500 для работы IPsec

    Для этих портов надо добавить разрешающие правила (accept) в цепочке input

    Михаил   Среда, 15 Май 2019 12:42
  • Alex

    Preshared keys считаются небезопасными. Напишите, как настраивать на сертификатах (RCA).

    Alex   Среда, 06 Март 2019 22:46
  • Павел111

    Отличная статья, все просто, доступно и главное работает универсально!!!

    Павел111   Среда, 26 Сентябрь 2018 13:38
  • Denisov

    Спасибо, огромное. Данная статья очень помогла в поднятии службы L2TP. Надеюсь, статья не пропадет через несколько лет.

    Ответ: Рад что и вам нравится мой блог.

    Denisov   Воскресенье, 15 Июль 2018 16:27
  • cag

    Здравствуйте.
    Спасибо за Ваш блог.
    Есть вопрос по по доступу l2tp. В моем случае Mikrotik поднимает соединение по PPPoE (ByFly). Настроил все согласно этой статьи, все прекрасно подключаюсь с рабочего места в домашнюю сеть указывая адрес xxxxxxxxxxxx.sn.mynetname.net но доступ имею только на сам роутер (192.168.88.1) ни на какие другие устройства в сети 192.168.88.0/24 доступа нет. Не могу понять почему. Пробовал добавлять правило firewall цепочка forward с интерфейса user1-l2tp не помогает. Подскажите в чем дело?

    cag   Вторник, 13 Февраль 2018 09:21
  • Микротик Мэн

    Небольшое уточнение - в бридже надо ставить не local-proxy-arp, а proxy-arp
    почему-то только тогда у меня и заработало соединение по впн и меня смогло пустить по удаленке
    еще можно статически выдавать адреса, если возникают глюки с соединением

    Ответ: Вроде и то и другое можно ставить.

    Микротик Мэн   Суббота, 18 Ноябрь 2017 19:59

Оставить комментарий

Убедитесь, что Вы ввели всю требуемую информацию, в поля, помеченные звёздочкой (*). HTML код не допустим. Сообщения проходят модерацию и могут быть не опубликованы, если не являются осмысленными или содержат в тексте бесполезную ссылку на другой сайт...

Последние комментарии:

  • Микротик Мэн Написал Микротик Мэн Ноябрь 18, 2017 Небольшое уточнение - в бридже надо ставить не local-proxy-arp, а proxy-arp почему-то только тогда у…
  • Евгений Написал Евгений Март 23, 2017 Скажите пожалуйста как сделать массовое объявление пользователям через прокси сервер, например "Оплатите интернет", что бы…
  • Gurgen Написал Gurgen Май 31, 2015 Доброго дня. Кажется, все хорошо. Я получаю IP, пинг идет mikrotik. но я не могу…
Услуги переустановки Windows с выездом по Минску
Установка Windows в Минске на ПК и MAC весьма востребованная услуга. Часто ввиду заражения вирусами или вредоносными программами, а также после случайно удаления системных файлов, операционная
Услуги по настройке маршрутизаторов MikroTik
Полноценное использование маршрутизатора MikroTik достигается только в результате его грамотной настройки. Неопытный специалист может очень долго провозиться с маршрутизатором, так и не заставив его
Услуги настройки Wi-Fi сети в Минске
Настроим любые Wi-Fi роутеры с выездом к вам. Современные компьютерные технологии предлагают пользователю все новые достижения, способные сделать работу с компьютером и сетью Интернет удобнее,
Услуги ремонта компьютеров с выездом по Минску
Каждый из нас хоть раз сталкивался с неожиданной поломкой компьютера, его комплектующих, или же выхода из строя программного обеспечения. Зачастую, это происходит в самый неподходящий момент: когда
Услуги восстановления данных в Минске
Hаши специалисты смогут помочь Вам восстановить информацию с выездом по Минску. Опытные сотрудники нашей компании помогут вернуть важные данные, соблюдая конфиденциальность и ваши интересы.
Услуги по настройке модемов Промсвязь
Настроим роутеры белорусских интернет провайдеров с выездом по Минску. Сегодня многие пользователи знакомы с беспроводными сетями, знают о преимуществах их использования. Однако дома у
«
»
  • 1
  • 2
  • 3
 rss  vk groupe

 

Нравится ли вам наш блог?


Microsoft хочет добавить в стандартную клавиатуру новую клавишу
Стандартные клавиатуры для компьютеров на базе Windows длительное время не получали каких-либо существенных изменений. Не исключено, что в скором времени корпорация Microsoft привнесёт нечто новое в
Вот почему мы ждём Ryzen 3000
Через две недели с небольшим нас, по всей видимости, ожидает чудо. Такой вывод можно сделать, если обобщить все те предположения, которые высказывают пользователи в ожидании предстоящего анонса
PCI-SIG обнародует окончательные спецификации PCI Express 6.0 в 2021 году
Организация PCI Special Interest Group (PCI-SIG) в последнее время разрабатывает новые стандарты PCI Express рекордными темпами. Не успели материнские платы обзавестись поддержкой PCI-E 4.0, как она
В США призвали обновить Windows
Агентство кибербезопасности США (CISA), входящее в состав американского министерства внутренней безопасности, сообщило об успешной эксплуатации уязвимости BlueKeep. Эта брешь позволяет удалённо
beCloud включил 4G во всем минском метро
Компания beCloud развернула сеть 4G на всех станциях и перегонах минского метрополитена. При ненагруженной сети 4G в тоннелях метро показывает прием-передачу на скорости до 75 Мбит/сек. После
Индия встала на сторону Китая в торговой войне с США
Многие аналитики предсказывают разделение мира будущего на два лагеря. И если с первым – западным блоком - все ясно, ведь кто, как не США сможет возглавить десятки стран, отстаивая демократические
Илон Маск заявил, что мы живем в компьютерной реальности
В завершении выставки Е3 журналистам удалось побеседовать с Илоном Маском. Тем для обсуждения было множество: от новых технологий до компьютерных игр. В какой-то момент разговор коснулся того, как
Накопительное обновление Windows 10 приводит к чёрному экрану
Компания Microsoft недавно признала наличие бага в очередном накопительном обновлении операционной системы Windows 10 1809. На некоторых устройствах после установки обновления под номером KB4503327
«
»
  • 1
  • 2

Авторизация