Налаштування L2TP/IPsec VPN-сервера на MikroTik

 L2TP/IPsec є більш безпечним протоколом VPN, ніж PPTP, оскільки використовує IPsec для шифрування та автентифікації. Налаштування сервера включає кілька етапів.

1. Створюємо пул адрес для клієнтів

    Розмір пулу вибирається відповідно до кількості клієнтів. 

• Відкриваємо меню IP.
• Вибираємо Pool.
• Натискаємо кнопку Add (+).
• В полі Name: прописуємо назву пула: pool-l2tp.
• В поле Addresses: прописуємо діапазон ip-адрес: 10.33.10.10-10.33.10.20.
• OK для збереження налаштувань.

 

2. Створіть профіль (якщо потрібно змінити налаштування):

• Перейдіть до меню PPP.
• Перейдіть на вкладку Profiles.
• Якщо Ви хочете змінити параметри за замовчуванням (наприклад, локальні та віддалені адреси), виберіть профіль default-encryption і натисніть Edit, або створіть новий профіль, натиснувши кнопку +.
• У вкладці General дайте профілю зрозумілу назву (наприклад, l2tp-profile).
• У вкладці Local Address вкажіть IP-адресу, яку буде мати VPN-сервер на вашому роутері в VPN-мережі (наприклад, 10.33.10.1, якщо ваша локальна мережа 192.168.55.0/24).
• У вкладці Remote Address вкажіть пул IP-адрес, які будуть видаватися клієнтам VPN
   (pool-l2tp). У вкладці DNS Servers вкажіть DNS-сервери, які будуть використовуватися VPN-клієнтами (наприклад, IP-адреса вашого роутера або зовнішні DNS-сервери).

•  Значення Change TCP MSS змінюємо на Yes.
•  Значення Use UPnP змінюємо на No.

    Переходимо на вкладку Protocols.

• Значення USE MPLS змінюємо на no.
• Значення USE Compression змінюємо на no.
• Значення USE Encryption змінюємо на no.
  

Переходим на вкладку Limits.

Забороняємо встановлення більше ніж одного активного PPP-з'єднання з використанням одного й того ж логіна (ім'я користувача). Якщо потрібно.

• Значення Only One змінюємо на Yes.
• Нажимаем кнопку OK для збереження.

 

3.   Увімкніть L2TP Server:
 

- Перейдіть до меню PPP.
- Перейдіть на вкладку L2TP Server.
- Поставте галочку Enabled.

    В поле Default Profile виберіть профіль, який буде застосовуватися до підключених клієнтів 

    Встановіть Use IPsec значення required. 

    В поле IPsec Secret введіть надійний спільний секретний ключ (pre-shared key). Цей ключ вам знадобиться при налаштуванні VPN-клієнта.

       

• прибираємо mschap1
• прибираємо pap
• прибираємо chap
  
• Натисніть Apply та OK. 

 4. Створіть користувача VPN:

• Перейдіть до меню PPP.
• Перейдіть на вкладку Secrets.
• Натисніть кнопку +.
• В поле Name введіть ім'я користувача для VPN-підключення.
• В поле Password введіть пароль для цього користувача.
• В поле Service виберіть l2tp.
• В поле Profile виберіть створений вами профіль (або default, якщо ви не створювали новий).
• В поле Local Address (опціонально) ви можете призначити конкретну IP-адресу для цього користувача в VPN-мережі.
• В поле Remote Address (опціонально) ви можете призначити конкретну IP-адресу для цього користувача на клієнтській стороні VPN-підключення.
• Натисніть Apply та OK.

 

5. Налаштуйте Firewall (NAT) для доступу до локальних ресурсів:

• Перейдіть до меню IP -> Firewall.
• Перейдіть на вкладку NAT.
• Натисніть кнопку +.
• У вкладці General:

       - Chain: виберіть `srcnat`.
       - Src. Address: введіть діапазон IP-адрес, який ви вказали як Remote Address у вашому профілі L2TP (наприклад, 10.33.10.0/24).
        - Out. Interface: виберіть інтерфейс, через який ваш роутер підключений до Інтернету (зазвичай `ether1` або `pppoe-out1`).

•     У вкладці Action:  

           - Action: виберіть `masquerade`.

           - Натисніть Apply та OK.

 

 

 

6. Налаштуйте Firewall (фільтри) для дозволу L2TP та IPsec трафіку:

    - Перейдіть до меню IP -> Firewall.
    - Перейдіть на вкладку Filter Rules.
    - Додайте правило (переконайтеся, що воно розміщене у правильному порядку відносно інших правил):

     

            - Натисніть Apply та OK.

       

Налаштування завершено.

Mikrotik роутер + керований комутатор + VLAN

 В даній статті роздивимось завдання підключення  до роутера комутатора і налаштування VLAN. Роутер - RB2011, комутатор - RB260GS. Створення VLAN на роутері розглядалось в попередній статті, тому детально зупинятись на цьому не будемо.

 

ARP фільтрація на Mikrotik

 Для уникнення несанкціонованого підключення до мережі на обладнанні Mikrotik можна налаштувати ARP фільтр.

CAPsMAN

Стаття не закінчена і має неточності !

 

CAPsMAN дозволяє застосовувати налаштування бездротового зв’язку до кількох пристроїв MikroTik AP з центрального інтерфейсу налаштування.

    Зокрема, системний менеджер контрольованої точки доступу (CAPsMAN) дозволяє централізувати управління бездротовою мережею та, якщо необхідно, обробку даних. Під час використання функції CAPsMAN мережа складатиметься з кількох «контрольованих точок доступу» (CAP), які забезпечують бездротове підключення, і «системного менеджера» (CAPsMAN), який керує конфігурацією точок доступу, а також піклується про автентифікацію клієнта.

 

Як звільнити порт в Mikrotik

     Як звільнити порт в Mikrotik?  Наприклад, потрібно зарезервувати порт для підключення другого провайдера.

    Налаштування знаходиться:

    Bridge→Ports

    На даному прикладі ми видаляємо Порт Eth2 із списку портів, які належать бріджу bridge.

VLAN в Mikrotik Router

Завдання:

1. Підключити роутер до Інтернет.

2. Налаштувати ізольовані VLAN:

    ETH2-12;    ETH3-13;    ETH4,6-14;    ETH5-15

Режими роботи роутера Mikrotik (Quick Set)

 Quick Set - майстер автоматичної конфігураїці

    Режими роботи роутера:

    - CAP - режим керованої точки доступу, потребує наявності налаштованого CAPsMAN;

    - CPE - режим Wi-Fi клієнта, коли інтернет приходить по Wi-Fi;

Настройка удаленного доступа в маршрутизаторах Mikrotik

 Открыть «IP» — «Firewall» — вкладку «Filter Rules».

Нажать «Add new» для добавления нового правила.

Настройка пробросу портів в MikroTik

 Находится по вкладке IP =>Firewall =>NAT.

Просте налаштування Wi-Fi точки MikroTik на роздачу

 

Вход в настройки

Если вы настраиваете Wi-Fi точку MikroTik через Web-браузер (Internet Explorer или другой), напишите в адресной строке 192.168.88.1 — это IP адрес по умолчанию для устройств MikroTik.Внимание! В Web-браузере в настройках не должен быть указан proxy-сервер

Фільтрація доступу до локальних ресурсів по IP

​