Konfiguracja serwera VPN l2tp z zabezpieczeniem IPsec.
Tutorial jest dopełnieniem kursu MikroTik jako Router.
Na początek dodamy pule adresów ip dla połączeń VPN. Wybieramy IP > Pool . Następnie wybieramy + i uzupełniamy:
Name: vpn-l2tp-ipsec
Addresses: 192.168.0.121-192.168.0.140
Zatwierdzamy OK.
Kolejno z menu głównego wybieramy PPP , przechodzimy do zakładki Profiles, klikamy dodanie nowej pozycji i kolejno uzupełniamy:
Name: vpn-l2tp-ipsec
Local Address: vpn-l2tp-ipsec (wybieramy wcześniej dodaną pule adresów dla vpn l2tp ipsec)
Remote Address: pool1 (pula adresów serwera DHCP sieci LAN)
Bridge: bridge1 (nasz LAN)
Przechodzimy do zakładki Secrets, dodajemy nową pozycje i uzupełniamy:
Name: pgkomp1 (nazwa naszego użytkownika)
Password: pgkomp321
Service: l2tp
Profile: vpn-l2tp-ipsec (wybieramy wcześniej utworzony profil)
Przechodzimy do zakładki Interface i wybieramy L2TP Server a następnie uzupełniamy:
Enabled: zaznaczone
Default Profile: vpn-l2tp-ipsec
Authentication: mschap2 (reszte odznaczamy)
Use IPsec: required
IPsec Secret: ipsec321 (hasło ipsec, klucz wstępny msw10)
Konieczne jest włączenie proxy-arp na bridge1 (nasz LAN) aby użytkownicy VPN mogli komunikować się z zasobami sieci LAN, serwerami, drukarkami. Wybieramy z menu bocznego Bridge i klikamy dwa razy na bridge1 w celu edycji. Następnie zmieniamy:
ARP: proxy-arp
Jeżeli MikroTik na którym uruchomiony jest serwer VPN znajduje się za NAT-em czyli za innym routerem a chcemy połączyć się zdalnie konieczne jest przekierowanie portów UDP 500, 1701 oraz 4500 na głównym routerze.
Połączenie l2tp + IPsec z Windows 10.
Na początek klikamy ikonę sieci na pasku zadań obok zegarka w prawym dolnym rogu ekranu. Następnie wybieramy Ustawienia sieci i internetu, wybieramy z menu bocznego VPN i klikamy + Dodaj połączenie VPN.
Kolejno uzupełniamy:
Dostawca sieci VPN: Windows (wbudowane)
Nazwa połączenia: pgkomp1-vpn (dowolna nazwa)
Nazwa lub adres serwera: 192.168.0.1 (jeżeli chcesz połączyć się spoza sieci wpisz adres globalny)
Typ sieci VPN: L2TP/IPsec z kluczem wstępnym
Klucz wstępny: ipsec321
Typ informacji logowania: Nazwa użytkownika i hasło
Nazwa użytkownika (opcjonalnie): pgkomp1
Hasło (opcjonalnie): pgkomp321
Zapamiętaj moje informacje logowania: zaznaczone
i klikamy Zapisz.
Następnie wybieramy nasze połączenie VPN i klikamy Połącz.
Jak widać na obrazkach poniżej połączenie zestawiło się poprawnie.
Podsumowanie.
W dzisiejszych czasach, czasach pandemii koronawirusa praca zdalna jest bardzo ważna aby utrzymać działanie gospodarki całego kraju. Urządzenia MikroTika nadają się do tego znakomicie poprzez ogromne możliwości konfiguracji i nie tylko. Niektóre urządzenia posiadają sprzętowe wsparce IPsec jak np. RB 1100AHx4 co czyni go idealnym rozwiązaniem do pracy zdalnej w małej, średniej lub dużej firmie za nieduże pieniądze. Firma nieprzygotowana do pracy zdalnej może stworzyć serwer VPN za kwotę około 100zł, biorąc pod uwagę urządzenie np. RB750GL które posiada takie możliwości. Cena/Jakość: EXTRA.
Pliki backup, export oraz export compact wraz z filmem w formacie .avi, tutorialem .pdf dostępne są w naszym sklepie tu.
Dzięki za tutorial, czy moża by prosić o tematyce vlanów oraz o połaczeniu 2 mikrotików tunelem?
Bardzo ładnie prosimy o instrukcję jak ustawić dynamiczne kolejki na klientów von w MT.
Pozdrawiam.
Nie widzi mi drukarek i komputerów, . w ., sprawdziłem wszystko 3x, połączenie jest ale niestety drukarki i komputery w sieci są nie dostępne.
potwierdzam: Nie widzi mi drukarek i komputerów… to jak działa ta mała firma?
Dziękuję konfiguracja działa, przeprowadzona na mikrotiku w siec http://www.airmax.pl podłączone VPNem tunery i wszystko śmiga pozdrawiam
Świetny tutorial.
Zrobiłem poola trochę inaczej: 192.168.1.10-192.168.1.19, a poprzedniego oryginalnego przepiałem z 192.168.1.10-192.168.1.254 na 192.168.1.20-192.168.1.254.
Widzę inne komputery w sieci (mogę zrobić do nich ssh, połączyć się przez port :80), ale MacOS nie widzi drukarki i nie ma dostępu do webowego interfejsu routera.
Można zmienić domyślny port L2TP ? Niestety w routerze Huawei B525S UDP 1701 jest zarezerwowany i nie można go przekierować
Witam.
Jestem początkujący w sieciach i mam problem aby połączyć się z zewnątrz z moim HAP ac3 poprzez powyższego tutoriala. Mam światłowód FTTH od UPC-Nexera. W routerze od UPC ma ustawione DMZ na mojego Mikrotika. Kiedy jestem lokalnie podłączony do mikrotika to nawiązuję połączenie VPN z adresem 192.168.88.1(LAN) i 192.168.0.253(WAN). Z telefonu i z kompa działa. Poprzez sieć LTE z telefonu i kompa nie łączy się z 89.71.XXX.71(WAN od routera UPC). Czy ktoś może mnie uświadomić co robię źle?
Mikrotik jest w podstawowej konfiguracji robionej przez Quick Setup ( ustawione dwie sieci wifi i ustawiony DHCP) . Z tego co wyczytałem to UPC nie blokuje portów 500,1701,4500. Nie wiem jak mogę sprawdzić ograniczenia DMZ.
Jutro jeszcze spróbuję na HAP mini.
Nie udało mi się połączyć z zewnątrz ( ani na HAP ac3 ani na mini). Porty 500,1701,4500 są otwarte ( sprawdzone skanerem). Na razie PASS. Jak załatwię sobie NASa to spróbuję jeszcze na nim bo nie mam już pomysłów.Pozdro
Największą satysfakcją w życiu jest zrobić coś, o czym ludzie mówią, że jest niemożliwe. Walter Bagehot
Prawdziwy z Ciebie talent i mistrz pióra z ogromną łatwością przekładasz myśli na słowa… trzymaj tak dalej, dbaj i pięlęgnuj swego bloga… Czym się inspirujesz na codzień ? skad czerpiesz pomysły na wpisy ?
Naprawdę podoba mi się twój szablon WordPress zwłaszcza ostylowanie kaskadowych arkuszy styli, skąd go pobrałeś? Z góry dziękuję!
Bardzo ciekawy blog, rzeczowy i wyważony. Od dzisiaj zaglądam regularnie i subsbskrybuje kanał RSS. Pozdrowienia :-)