29 kwietnia 2020

Mikrotik od zera – Tunel VPN L2TP / IPSec #07

By  mikrotik od zera, video  28 komentarzy

Tunel VPN L2tp z IPSec

W tej części kursu zgłębimy odrobinę trudniejsze ustawienia Mikrotika, a mianowicie przygotujemy konfigurację umożliwiającą podłączenie się do routera za pomocą VPN’a. Jest sporo rodzajów połączeń VPN, my zaczynamy od połączenia l2tp z wykorzystaniem klucza IPSec, ponieważ l2tp pochłania mniej zasobów sprzętowych. Odradzam całkowicie używanie PPP, protokół bardzo niebezpieczny.

Konfigurowanie adresacji

Zaczynamy od przygotowania nowej adresacji IP dla połączeń vpn. Z bocznego menu wybieramy IP->Pool i znakiem plusa dodajemy nowy wpis. Uzupełniamy:

  • Name: nazwę uzupełniamy dowolnie
  • Addresses: podajemy nowy zakres adresów, najlepiej spoza puli dhcp
Mikrotik dodanie adresacji dla połączeń VPN

Konfiguracja L2tp

W pierwszej kolejności przygotujemy profil połączenia vpn. Z bocznego meny wybieramy PPP, następnie zakładka Profiles i znakiem plusa dodajemy nowy wpis. Uzupełniamy:

  • Name: podajemy dowolnie
  • Local Address: adres ip z podsieci utworzonej chwilę wcześniej
  • Remote Address: wskazujemy pule utworzoną wcześniej
  • DNS Server: adres routera, bądź publiczny DNS, np. 8.8.8.8
  • Change TCP MSS: yes
  • Use Encryption: yes
Mikrotik dodanie PPP Profile dla połączeń VPN
Mikrotik dodanie PPP Profile dla połączeń VPN

W następnym kroku skonfigurujemy konta dla użytkowników łączących się po vpnie. Przechodzimy na zakładkę Secrets i znakiem plusa dodajemy nowy wpis.

  • Name: nazwa użytkownika
  • Password: dowolne hasło
  • Service: wybieramy l2tp
  • Profile: wskazujemy wcześniej utworzony profil
Mikrotik dodanie konta użytkownika w PPP Secret dla połączeń VPN

Ostatnim krokiem w menu PPP jest aktywacja samej usługi L2TP, przechodzimy na zakładkę Interface(zostając w menu PPP), i klikamy w button o nazwie L2TP Server.

  • Enable: zaznaczamy checkbox’a
  • Authentication: zostawiamy tylko mschap2
  • Use IPSec: yes
  • IPSec Secret: dowolny ciąg znaków, klucz ipsec

Pozostałe parametry pozostawiamy bez zmian.

Mikrotik konfiguracja L2TP Server z IPSec

Konfiguracja Firewall’a

Ostatnim krokiem jaki musimy zrobić na Mikrotiku jest odblokowanie standardowych portów do komunikacji IPSec i L2TP. Z bocznego menu wybieramy IP->Firewall i zostając w zakładce Filter Rules dodajemy nowy wpis.

  • Chain: Action
  • Protocol: udp
  • Dst. Port: 500,1701,4500
  • Zakładka Action: accept
Mikrotik Firewall odblokowanie portów dla połączeń przychodzących VPN

Konfiguracja klienta w systemie Windows 10

W lewym dolnym rogu klikamy w znaczek Windows’a i następnie Ustawienia.

Windows 10 Ustawienia Klienta VPN
Windows 10 Ustawienia Klienta VPN
Windows 10 Ustawienia Klienta VPN
Windows 10 dodanie połączenia VPN
Windows 10 dodanie połączenia VPN ustawienie parametrów

Niestety nie ze wszystkim wersjami Windowsa 10 L2TP działa bezproblemowo. Warto zapoznać się z https://support.microsoft.com/en-us/help/926179/how-to-configure-an-l2tp-ipsec-server-behind-a-nat-t-device-in-windows w przypadku nie działającego połączenia.

Polecany sprzęt

Z własnego doświadczenia mogę wam polecić poniższy sprzęt, z podziałem na ewentualne przeznaczenie routera.

Do domu i małej firmy(SOHO): hAP AC Lite , hAP AC, RB4011, RB260GS, RB2011

LTE: SXT LTE kit, SXT LTE6 kit, LHG 5, LHG LTE kit

Extender/Repeater: mAP lite, mAP

POE: hEX PoE

LAB: hEX lite

Średnia/Duża firma: CCR1036-12G-4S

Materiał Video

Tags:, , , , , , , , , , , ,

Related Posts

About Author

grzegorz

28 komentarzy
  1. Kwiatek

    Nie wiem dlaczego ale w jej konfiguracji jeśli w profilu serwera VPN l2tp dodany jest adres DNS nie mam dostępu do internetu przez tunel VPN ale dostęp do sieci LAN działa ok. W momencie kiedy usunąłem adres serwera VPN działa mi wszystko LAN i internet

    Odpowiedz
  2. eyu

    A jak do tego serwera dopiąć drugiego mikrotica za którym stoja urządzenia które powinny byc w jednej sieci ?

    Odpowiedz
  3. dassystem

    Czy obciążenie sieci przy 20 jednoczesnych połączeniach remote acces do mikrotika będzie takie samo jak przy site-to-site do drugiego mikrotika za którym pracuje 20 osób ?

    Odpowiedz
    • Grzegorz Kowalik

      Zależy jak sterujesz ruchem. Jeżeli te 20 urządzeń za tunelem jak bramę będzie używało routera po drugiej stronie to wpływ będzie miało duży.

      Odpowiedz
  4. Jarosz

    Czy przy tej konfiguracji będzie dostęp do urządzeń za MikroTik, przy założeniu, że urządzenia mają pulę adresową z tego samego zakresu IP np 172.16.0.60 – 172.16.0.80? Czy w IP–>IPsec w zakładce Identities powinienem widzieć połączonych użytkowników?

    Odpowiedz
  5. Wojtek

    Dzięki, działa. Mam problem z dostępem do serwera plików. Zamapowany dysk sieciowy dostępny w sieci lokalnej z adresu \\nas\ nie działa poprzez połączenie VPN. Jeżeli robię nowe mapowanie z adresem ip to mam dostęp. Da się tak skonfigurować, aby działało zamapowanie dysku po nazwie?
    W połączeniu vpn nie mam bramy, czy to jest poprawne działanie?
    Dzięki

    Odpowiedz
  6. VPN-prywanty adres IP

    Cześć wszystkim, czy tworzył ktoś VPNa (serwer) bez publicznego IP(za NATem) i przy użyciu MikroTik Cloud? Czy jest szanasa żeby to zadziałało?
    MODEM LTE-MIKTROIK-LAN ?

    dzięki

    Odpowiedz
  7. Łukasz

    Dzień dobry,
    Bardzo dziękuję za ten poradnik. Dzięki niemu ustawiłem bez problemu połączenie pół roku temu. Od nowego roku 2021 VPN przestał działać. Co ciekawe – nie ma żadnego ruchu na firewallu, kompletnie nic w logach jak próbuje się połączyć. Kompletnie nic nie zmieniałem 🙂 Wykluczyłem też zmianę IP przez dostawcę internetowego – na pewno łączę się na poprawny adres. Czy wie Pan co może być przyczyną?

    Odpowiedz
    • Grzegorz Kowalik

      Proszę włączyć w System->Logging topic debug i l2tp, pomoże to w diagnozie problemu.

      Odpowiedz
  8. Wiktor

    Miałem problem z połączeniem się z IP w sieci Mikrotika. Problem rozwiązuje ustawienie Proxy ARP na interface i bridge.

    Odpowiedz
  9. Paweł

    Mam konfigurację Dual WAN z PCC https://wiki.mikrotik.com/wiki/Manual:PCC
    Po wykonaniu powyższych instrukcji, niestety zwraca mi błąd przy próbie łączenia.
    phase1 negotiation failed due to send error. xx.xx.19.155[500]xx.xx.202.146[500] dfff577995e9d6a4:5d9f34f97cc8976f
    Na innym mikrotiku ze standardową konfiguracją działa (single WAN) działa, na dual WAN nie ;( O co tu może chodzić? Gdzie szukać przyczyny?

    Odpowiedz
    • Grzegorz Kowalik

      Sprawdziłbym czy porty nie są zablokowane. Czy na pewno jest publiczny adres IP.

      Odpowiedz
  10. Piotr

    Dzień dobry 🙂
    Jeśli Klient VPN ma „normalny” Internet to wszystko OK, ale z komórkowego np. komputer połączony przez telefon nie mogę się dostać na MT i do sieci, czy mam zrobić jakieś zmiany konfiguracji jeszcze ?

    Odpowiedz
  11. Piotr

    a czy zna Pan konfigurację MT taką, która jest niezależna od operatora ? próbowałem na orange i tmobile – nie działa

    Odpowiedz
  12. Artur

    Mikrotik WAN (eth1), LAN(eth2)
    Jest on wpięty pomiędzy modemem (WAN) a istniejącą siecią LAN (jest tu router z DHCP i DNS).
    Po połączniu mogę pingować lokalne adresy ale nazwy z lokalnego DNSa nie są rozwiązywane.
    W profilu PPP mam wskazany lokalny DNS. W IP->DNS również.
    Bezpośrednio na mietku nazwy są prawidłowo rozwiązywane.
    Podpowiecie jak to naprawić?

    Odpowiedz
  13. Krzysiek

    Witam. Skonfigurowałem według tej instrukcji. VPN działa poprawnie czyli mam dostęp do LAN, ale podłączone komputery nie mają internetu. Jak w kliencie VPN Windows wyłączę „Użyj domyśnlej bramy w sieci zdalnej” to jest internet, ale nie ma dostępu do LAN. Co zrobić aby był dostęp do LAN i do internetu?

    Odpowiedz
  14. Kamil

    Jeśli ktoś ma problem z podłączeniem się do VPN, upewnijcie się ze wpis firewall jest na odpowiedniej pozycji (domyślnie jest dodawany na końcu). W moim przypadku przeniesienie go na 5 pozycje rozwiązało problem z połączeniem.

    Odpowiedz
  15. DarekP

    mam ten sam problem, czy ktoś zna rozwiązanie?

    Odpowiedz
  16. Krzysztof

    Witam. Dziękuje za pracę jaką Pan poświecił. Doceniam altruizm.
    Pozwolę sobie na postawienie problemu. Przekopałam różne konfiguracje dostępne w Internecie i nadal jest słabo.

    Adresacja LAN 10.0.0.0/24
    GW 10.0.0.1
    Pula dla VPN 172.16.0.0/24

    Przy takiej konfiguracji po połączeniu przez VPN widzę i pinguje tylko router 10.0.0.1. Nie widzę urządzeń z sieci 10.0.0.0. Nie mogę z kompem za NAT połączyć się po RDP.
    Z routera jednak widzę adres jaki dostaje będąc w tunelu, np 172.16.0.10, z rutera mogę go pingować.

    Czy nie powinno być jeszcze dodatkowego wpisu w NAT dla sieci 172.17.0.0 aby można było widzieć sieć 10.0.0.0?

    Będę zobowiązany za wszelką pomoc.
    Pozdrawiam

    Odpowiedz
  17. Damian

    Mam 450Gx4. Model ten ma licencję level 5 (L2TP do 500). Chciałbym założyć ok. 150 kont userów. Równocześnie korzystałoby z VPN jakieś 50-60. Przetestowałem na kilku i działa wszystko jak złoto. Czy przy kilkudziesięciu aktywnych VPN mogą wyskoczyć jakieś ograniczenia?

    Odpowiedz
  18. Damian

    Mam jeszcze pytanie o listę adresów z „pool_vpn”. Przydzieliłem tam 60 adresów i z tego co widzę mikrotik przydziela je kolejno „od góry” i adresy zbliżają się do dolnej granicy przydzielanych adresów. Codziennie loguje się kilka(naście) osób. Wygląda jakby mikrotik dawał im jakiś długi czas dzierżawy. Czy jest opcja by adresy z pool_vpn rotowały przy kolejnych połączeniach? Potencjalnych userów jest 150 a równoczesnych połączeń w najgorszym razie, jak pokazuje praktyka, będzie 20-30.

    Odpowiedz

Add a Comment

Twój adres e-mail nie zostanie opublikowany.