Title: Настройка сервера VPN L2TP/IPSec на Mikrotik RoutersOS Date: 2013-05-31 17:25 Category: Mikrotik Tags: mikrotik, vpn Slug: mikrotik-lt2p-vpn Summary: Краткое описание настройки сервера VPN L2TP/IPSec на Mikrotik RoutersOS c возможностью подключения с помощью встроенных VPN клиентов Windows 7, Mac OS X и IOS.
Замечение: Если несколько клиентов находятся за NAT, то только одно L2TP/IPSec соединение может быть установлено.
/ip address
add address=91.219.55.10/24 interface=ether1
add address=10.20.0.1/24 interface=ether2
/ip route
add gateway=91.219.55.1
/ip firewall nat
add chain=srcnat action=masquerade out-interface=ether1
/ip dns
set allow-remote-requests=yes servers=91.219.55.1,8.8.8.8
/ip pool
add name=lan_dhcp ranges=10.20.0.100-10.20.0.199
/ip dhcp-server
add name=lan_dhcp address-pool=lan_dhcp interface=ether2 disabled=no
/ip dhcp-server network
add address=10.20.0.0/24 dns-server=10.20.0.1 gateway=10.20.0.1
Создадим еще один пул IP адресов из той-же подсети, который будет использоваться для VPN клиентов:
/ip pool add name=lan_vpn ranges=10.20.0.200-10.20.0.254
Создайте новый PPP профиль:
/ppp profile add name=l2tp-vpn-lan local-address=10.20.0.1 \
remote-address=lan-vpn dns-server=10.20.0.1
Включите L2TP сервер. Для наших целей достаточно только метода аутентификации mschap2.
/interface l2tp-server server set enabled=yes authentication=mschap2 \
default-profile=l2tp-vpn-lan
Создайте пользователя:
/ppp secret add name=userlogin password=userpassword service=l2tp \
profile=l2tp-vpn-lan
Созадем ipsec peer:
/ip ipsec peer add address=0.0.0.0/0 port=500 auth-method=pre-shared-key \
secret="shared_password_key" exchange-mode=main-l2tp send-initial-contact=yes \
nat-traversal=yes proposal-check=obey hash-algorithm=sha1 \
enc-algorithm=3des dh-group=modp1024 generate-policy=yes \
lifetime="1d 00:00:00" dpd-interval=120 dpd-maximum-failures=5
Некоторые разъяснения:
address=0.0.0.0/0- разрешаем подключение с любого IP адреса;auth-method=pre-shared-key- аутентификация компьютера с помощью общего ключа;secret="shared_password_key"- пароль общего ключа;
Созадем ipsec proposal
/ip ipsec proposal set default auth-algorithms=sha1 \
enc-algorithms=3des,aes-256 lifetime=30m pfs-group=
Поскольку компьютеры в локальной сети и удаленные клиенты используют IP адреса из одной и той же подсети, необходимо включить proxy-arp на интерфейсе подключенном к локальной сети. В нашем примере это ether2:
/interface ethernet
set ether2 arp=proxy-arp
- http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Ipsec.2FL2TP_behind_NAT
- http://forum.mikrotik.com/viewtopic.php?f=2&t=65513
- http://www.nextofwindows.com/microsoft-warns-that-vpn-via-pptp-with-ms-chap-v2-is-not-secure/
- http://nejc.skoberne.net/2011/03/mikrotik-sstp-with-windows-sbs-2008-nps-radius/
- http://forum.mikrotik.com/viewtopic.php?f=2&t=59998
- https://libc6.org/page/openvpn-vs-ipsec
В первой команде имя пула lan_vpn, а во второй уже lan-vpn - опечатка, похоже.
Просто aes-256 в proposal в текущей роутероси не прокатит - там aes-256-ctr, aes-256-cbc и aes-256-gcm, последний для данного алгоритма не подходит.