3.237.254.197

Mikrotik L2TP / IPsec VPN Server Пошаговая настройка

Mikrotik L2TP / IPsec VPN Server Пошаговая настройка

В этом руководстве предполагается, что интерфейс WAN маршрутизатора Mikrotik имеет общедоступный IP-адрес и что ваш провайдер не блокирует порты ipsec. С этим из пути, давайте начнем. Первым шагом является создание профиля PPP на микротике. Мы будем использовать 192.168.102.1 для локального адреса (шлюз VPN), предполагая, что он еще не используется. Нам также нужно добавить DNS-сервер.

/ppp profile add name=ipsec_vpn local-address=192.168.102.1 dns-server=1.1.1.1

Затем мы добавляем интерфейс сервера l2tp-сервера и устанавливаем разрешенные методы аутентификации, mschap1 и mschap2.

/interface l2tp-server server set enabled=yes default-profile=ipsec_vpn authentication=mschap1,mschap2

Далее нам нужно определить пиринг IPSec, а также политику IPsec по умолчанию. Мы также установим секрет предварительного ключа в процессе.

/ip ipsec policy set [ find default=yes ] src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=all proposal=default template=yes

Для маршрутизатора OS 6.39 и ниже использовать

/ip ipsec peer add address=0.0.0.0/0 port=500 auth-method=pre-shared-key secret=STRONG_SECRET_HERE exchange-mode=main-l2tp send-initial-contact=no  generate-policy=port-override

Для Router OS 6.44 и выше используйте:

/ip ipsec peer add exchange-mode=main passive=yes name=l2tpserver

/ip ipsec identity add generate-policy=port-override auth-method=pre-shared-key secret=STRONG_SECRET_HERE peer=l2tpserver

Далее мы устанавливаем алгоритмы шифрования по умолчанию

/ip ipsec proposal set default auth-algorithms=sha1 enc-algorithms=3des pfs-group=modp1024

Теперь мы добавляем пользователя и назначаем IP-адрес

/ppp secret add name=USERNAME password=STRONG PASSWORD service=l2tp profile=ipsec_vpn remote-address=192.168.102.2

Наконец, нам нужно открыть порты IPSec из глобальной сети

/ip firewall filter add chain=input action=accept protocol=udp port=1701,500,4500
/ip firewall filter add chain=input action=accept protocol=ipsec-esp

Обратите внимание, что эти два правила необходимо добавить в начало списка, а не любые другие правила, чтобы разрешить подключения из интерфейса WAN. Либо используйте команду «Move» через CLI, чтобы переместить их в начало списка, либо используйте графический интерфейс.