Mikrotik VPN L2TP / IPsec podłączenie z iOS

We wcześniejszych artykułach opisywałem jaka skonfigurować L2TP Server, zabezpieczymy nasze połączenie stosując IPsec. Jeżeli nie masz przygotowanego server L2TP, to zapraszam do wcześniejszego artykułu ponieważ jest to niezbędne do dalej pracy. Przejdźmy do konfiguracji Mikrotik L2TP/IPsec podłączenie z iOS 10+.

Ustawienia Serwera L2TP

Przechodzimy na zakładkę PPP
Mikrotik L2TP/IPsec podłączenie z iOS 10
Przechodzimy na zakładkę Profiles
Mikrotik L2TP/IPsec podłączenie z iOS 10
Klikamy dwa razy na nasz profil
Mikrotik L2TP/IPsec podłączenie z iOS 10
W zakładce General zmieniamy:

  • Change TCP MSS – zmieniamy na yes
  • inne zostawiamy bez zmian

Przechodzimy na zakładkę Protocols
Mikrotik L2TP/IPsec podłączenie z iOS 10
Zmieniamy:

  • Use Encryption – zmieniamy na yes
  • resztę pozostawiamy bez zmian

Zmiana ustawień serwera

Przechodzimy na zakładkę PPP->Interfaces
Mikrotik L2TP/IPsec podłączenie z iOS 10
Klikamy na L2TP Server i zmieniamy:

  • Authentication: zaznaczamy tylko mschap2

Na tym zakończymy konfigurację serwera PPP, teraz przechodzimy do konfiguracji IPsec.

Konfiguracja IPsec

Z menu bocznego wybieramy IP->IPsec
Mikrotik L2TP/IPsec podłączenie z iOS 10
Przechodzimy na zakładkę Peers
Mikrotik L2TP/IPsec podłączenie z iOS 10
Zmieniamy:

  • Address: jeżeli chcemy, aby każdy mógł się zalogować ustawiamy 0.0.0./0
  • Port: wpisujemy 500
  • Auth. Method: pre shared key
  • Passive: zaznaczamy checkbox
  • Secret: podajemy hasło wspólne, dowolny ciąg znaków
  • Exchange Mode: main l2tp
  • Send Initial Contact: zaznaczamy checkbox
  • NAT Travelsal: zaznaczamy checkbox
  • Hash Algorithm: sha1
  • Encryption Algorithm: 3des, aes-128, aes-256
  • Generate Policy: port strict
  • pozostałe pola bez zmian

Przechodzimy na zakładkę Proposals
Mikrotik L2TP/IPsec podłączenie z iOS 10
Zmieniamy:

  • Auth. Algorithm: zostawiamy tylko sha1
  • Encr. Algorithm: zostawiamy tylko 3des, aes-128 cbc, aes-256 cbc
  • PFS Group: None
  • reszta bez zmian

Konfiguracja Firewall

Przechodzimy na IP->Fiewall
Mikrotik L2TP/IPsec podłączenie z iOS 10
W zakładce General klikamy na niebieski znak plusa i tworzymy nowa regułe
Mikrotik L2TP/IPsec podłączenie z iOS 10
Ustawiamy:

  • Chain: zmieniamy na input
  • Protocol: UDP
  • Dst. Port: 500,1701,4500

Domyślnie action jest na accept, także nic nie musimy zmieniać. Na tym kończymy ustawienia serwera, teraz przechodzimy do ustawień iOS.

Konfiguracja iOS

Konfiguracje iOS’a omówię na przykładzie iPad Air 2 iOS 10.3. Testowane także z wersją iOS 11.2.
Przechodzimy na Ogólne->VPN
Mikrotik L2TP/IPsec podłączenie z iOS 10
Następnie klikamy w Dodaj konfigurację VPN
Mikrotik L2TP/IPsec podłączenie z iOS 10
W nowym oknie typ zmieniamy na L2TP i wpisujemy:

  • Opis: Dowolny tekst
  • Serwer: Publiczny adres naszego routera z serwerem L2TP
  • Konto: nazwa konta z zakładki PPP->Secrets, a dokładnie wartość z pola name
  • Hasło: hasło z konta PPP->Secrets
  • Hasło wspólne: klucz który wpisaliśmy w IP->IPsec->Peers pole secret

Mikrotik L2TP/IPsec podłączenie z iOS 10
Jeżeli wszystko dobrze skonfigurowaliśmy, to po poprawnym połączeniu w lewym górnym rogu powinna pojawić się ikonka VPN
Mikrotik L2TP/IPsec podłączenie z iOS 10

Problemy

Jeżeli coś poszło nie tak warto sprawdzić Logs oraz włączyć opcje Debug w logach.
Najczęściej spotkałem się z błędami:

  • Phase1: sprawdź czy na pewno odblokowałeś porty na Firewallu i czy są w odpowiedniej kolejności.
  • Phase2: sprawdź czy algorytmy szyfrowania i autoryzacji są takie same w zakładce Peers i Proposals

Polecany sprzęt

Z własnego doświadczenia mogę wam polecić poniższy sprzęt, z podziałem na ewentualne przeznaczenie routera.

Do domu i małej firmy(SOHO): hAP AC Lite , hAP AC, RB4011, RB260GS, RB2011

LTE: SXT LTE kit, SXT LTE6 kit, LHG 5, LHG LTE kit

Extender/Repeater: mAP lite, mAP

POE: hEX PoE

LAB: hEX lite

Średnia/Duża firma: CCR1036-12G-4S

Mikrotik L2TP/IPsec podłączenie z iOS 10 – Materiał Video

11 komentarzy

Add a Comment

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *