3.237.254.197

Mikrotik L2TP / IPsec VPN Server Soli pa solim konfigurēšana

Mikrotik L2TP / IPsec VPN Server Soli pa solim konfigurēšana

Šajā rokasgrāmatā tiek pieņemts, ka Mikrotik WAN saskarnei ir publiska IP adrese un ka jūsu interneta pakalpojumu sniedzējs bloķē ipsec portus. Ar to nemanot, sāksim darbu. Pirmais solis ir izveidot PPP profilu vietnē Mikrotik. Vietējai adresei (VPN vārteja) mēs izmantosim 192.168.102.1, pieņemot, ka tā vēl netiek izmantota. Mums jāpievieno arī DNS serveris.

/ppp profile add name=ipsec_vpn local-address=192.168.102.1 dns-server=1.1.1.1

Tālāk mēs pievienojam l2tp-servera servera saskarni un iestatām atļautās autentifikācijas metodes, mschap1 un mschap2.

/interface l2tp-server server set enabled=yes default-profile=ipsec_vpn authentication=mschap1,mschap2

Tālāk mums jādefinē IPSec peering un arī IPsec noklusējuma politika. Šajā procesā mēs arī iestatīsim iepriekš koplietotās atslēgas noslēpumu.

/ip ipsec policy set [ find default=yes ] src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=all proposal=default template=yes

Maršrutētāja OS 6.39 un vecākai lietošanai

/ip ipsec peer add address=0.0.0.0/0 port=500 auth-method=pre-shared-key secret=STRONG_SECRET_HERE exchange-mode=main-l2tp send-initial-contact=no  generate-policy=port-override

Maršrutētāja OS 6.44 un jaunākai lietošanai:

/ip ipsec peer add exchange-mode=main passive=yes name=l2tpserver

/ip ipsec identity add generate-policy=port-override auth-method=pre-shared-key secret=STRONG_SECRET_HERE peer=l2tpserver

Tālāk mēs iestatām noklusējuma šifrēšanas algoritmus

/ip ipsec proposal set default auth-algorithms=sha1 enc-algorithms=3des pfs-group=modp1024

Tagad mēs pievienojam lietotāju un piešķiram IP adresi

/ppp secret add name=USERNAME password=STRONG PASSWORD service=l2tp profile=ipsec_vpn remote-address=192.168.102.2

Beidzot mums ir nepieciešams, lai atvērtu IPSec portus no WAN

/ip firewall filter add chain=input action=accept protocol=udp port=1701,500,4500
/ip firewall filter add chain=input action=accept protocol=ipsec-esp

Ņemiet vērā, ka šie divi noteikumi jāpievieno saraksta augšdaļā pirms visiem citiem noteikumiem, lai atļautu savienojumus no WAN interfeisa. Vai nu izmantojiet komandu “pārvietot”, izmantojot CLI, lai tos pārvietotu saraksta augšgalā, vai arī izmantojiet GUI.