Налаштування L2TP/IPsec VPN-сервера на MikroTik

 L2TP/IPsec є більш безпечним протоколом VPN, ніж PPTP, оскільки використовує IPsec для шифрування та автентифікації. Налаштування сервера включає кілька етапів.

1. Створюємо пул адрес для клієнтів

    Розмір пулу вибирається відповідно до кількості клієнтів. 

• Відкриваємо меню IP.
• Вибираємо Pool.
• Натискаємо кнопку Add (+).
• В полі Name: прописуємо назву пула: pool-l2tp.
• В поле Addresses: прописуємо діапазон ip-адрес: 10.33.10.10-10.33.10.20.
• OK для збереження налаштувань.

 

2. Створіть профіль (якщо потрібно змінити налаштування):

• Перейдіть до меню PPP.
• Перейдіть на вкладку Profiles.
• Якщо Ви хочете змінити параметри за замовчуванням (наприклад, локальні та віддалені адреси), виберіть профіль default-encryption і натисніть Edit, або створіть новий профіль, натиснувши кнопку +.
• У вкладці General дайте профілю зрозумілу назву (наприклад, l2tp-profile).
• У вкладці Local Address вкажіть IP-адресу, яку буде мати VPN-сервер на вашому роутері в VPN-мережі (наприклад, 10.33.10.1, якщо ваша локальна мережа 192.168.55.0/24).
• У вкладці Remote Address вкажіть пул IP-адрес, які будуть видаватися клієнтам VPN
   (pool-l2tp). У вкладці DNS Servers вкажіть DNS-сервери, які будуть використовуватися VPN-клієнтами (наприклад, IP-адреса вашого роутера або зовнішні DNS-сервери).

•  Значення Change TCP MSS змінюємо на Yes.
•  Значення Use UPnP змінюємо на No.

    Переходимо на вкладку Protocols.

• Значення USE MPLS змінюємо на no.
• Значення USE Compression змінюємо на no.
• Значення USE Encryption змінюємо на no.
  

Переходим на вкладку Limits.

Забороняємо встановлення більше ніж одного активного PPP-з'єднання з використанням одного й того ж логіна (ім'я користувача). Якщо потрібно.

• Значення Only One змінюємо на Yes.
• Нажимаем кнопку OK для збереження.

 

3.   Увімкніть L2TP Server:
 

- Перейдіть до меню PPP.
- Перейдіть на вкладку L2TP Server.
- Поставте галочку Enabled.

    В поле Default Profile виберіть профіль, який буде застосовуватися до підключених клієнтів 

    Встановіть Use IPsec значення required. 

    В поле IPsec Secret введіть надійний спільний секретний ключ (pre-shared key). Цей ключ вам знадобиться при налаштуванні VPN-клієнта.

       

• прибираємо mschap1
• прибираємо pap
• прибираємо chap
  
• Натисніть Apply та OK. 

 4. Створіть користувача VPN:

• Перейдіть до меню PPP.
• Перейдіть на вкладку Secrets.
• Натисніть кнопку +.
• В поле Name введіть ім'я користувача для VPN-підключення.
• В поле Password введіть пароль для цього користувача.
• В поле Service виберіть l2tp.
• В поле Profile виберіть створений вами профіль (або default, якщо ви не створювали новий).
• В поле Local Address (опціонально) ви можете призначити конкретну IP-адресу для цього користувача в VPN-мережі.
• В поле Remote Address (опціонально) ви можете призначити конкретну IP-адресу для цього користувача на клієнтській стороні VPN-підключення.
• Натисніть Apply та OK.

 

5. Налаштуйте Firewall (NAT) для доступу до локальних ресурсів:

• Перейдіть до меню IP -> Firewall.
• Перейдіть на вкладку NAT.
• Натисніть кнопку +.
• У вкладці General:

       - Chain: виберіть `srcnat`.
       - Src. Address: введіть діапазон IP-адрес, який ви вказали як Remote Address у вашому профілі L2TP (наприклад, 10.33.10.0/24).
        - Out. Interface: виберіть інтерфейс, через який ваш роутер підключений до Інтернету (зазвичай `ether1` або `pppoe-out1`).

•     У вкладці Action:  

           - Action: виберіть `masquerade`.

           - Натисніть Apply та OK.

 

 

 

6. Налаштуйте Firewall (фільтри) для дозволу L2TP та IPsec трафіку:

    - Перейдіть до меню IP -> Firewall.
    - Перейдіть на вкладку Filter Rules.
    - Додайте правило (переконайтеся, що воно розміщене у правильному порядку відносно інших правил):

     

            - Натисніть Apply та OK.

       

Налаштування завершено.