Mikrotik od zera – Tunel VPN L2TP / IPSec #07
Tunel VPN L2tp z IPSec
W tej części kursu zgłębimy odrobinę trudniejsze ustawienia Mikrotika, a mianowicie przygotujemy konfigurację umożliwiającą podłączenie się do routera za pomocą VPN’a. Jest sporo rodzajów połączeń VPN, my zaczynamy od połączenia l2tp z wykorzystaniem klucza IPSec, ponieważ l2tp pochłania mniej zasobów sprzętowych. Odradzam całkowicie używanie PPP, protokół bardzo niebezpieczny.
Konfigurowanie adresacji
Zaczynamy od przygotowania nowej adresacji IP dla połączeń vpn. Z bocznego menu wybieramy IP->Pool i znakiem plusa dodajemy nowy wpis. Uzupełniamy:
- Name: nazwę uzupełniamy dowolnie
- Addresses: podajemy nowy zakres adresów, najlepiej spoza puli dhcp

Konfiguracja L2tp
W pierwszej kolejności przygotujemy profil połączenia vpn. Z bocznego meny wybieramy PPP, następnie zakładka Profiles i znakiem plusa dodajemy nowy wpis. Uzupełniamy:
- Name: podajemy dowolnie
- Local Address: adres ip z podsieci utworzonej chwilę wcześniej
- Remote Address: wskazujemy pule utworzoną wcześniej
- DNS Server: adres routera, bądź publiczny DNS, np. 8.8.8.8
- Change TCP MSS: yes
- Use Encryption: yes


W następnym kroku skonfigurujemy konta dla użytkowników łączących się po vpnie. Przechodzimy na zakładkę Secrets i znakiem plusa dodajemy nowy wpis.
- Name: nazwa użytkownika
- Password: dowolne hasło
- Service: wybieramy l2tp
- Profile: wskazujemy wcześniej utworzony profil

Ostatnim krokiem w menu PPP jest aktywacja samej usługi L2TP, przechodzimy na zakładkę Interface(zostając w menu PPP), i klikamy w button o nazwie L2TP Server.
- Enable: zaznaczamy checkbox’a
- Authentication: zostawiamy tylko mschap2
- Use IPSec: yes
- IPSec Secret: dowolny ciąg znaków, klucz ipsec
Pozostałe parametry pozostawiamy bez zmian.

Konfiguracja Firewall’a
Ostatnim krokiem jaki musimy zrobić na Mikrotiku jest odblokowanie standardowych portów do komunikacji IPSec i L2TP. Z bocznego menu wybieramy IP->Firewall i zostając w zakładce Filter Rules dodajemy nowy wpis.
- Chain: Action
- Protocol: udp
- Dst. Port: 500,1701,4500
- Zakładka Action: accept

Konfiguracja klienta w systemie Windows 10
W lewym dolnym rogu klikamy w znaczek Windows’a i następnie Ustawienia.





Niestety nie ze wszystkim wersjami Windowsa 10 L2TP działa bezproblemowo. Warto zapoznać się z https://support.microsoft.com/en-us/help/926179/how-to-configure-an-l2tp-ipsec-server-behind-a-nat-t-device-in-windows w przypadku nie działającego połączenia.
Polecany sprzęt
Z własnego doświadczenia mogę wam polecić poniższy sprzęt, z podziałem na ewentualne przeznaczenie routera.
Do domu i małej firmy(SOHO): hAP AC Lite , hAP AC, RB4011, RB260GS, RB2011
LTE: SXT LTE kit, SXT LTE6 kit, LHG 5, LHG LTE kit
Extender/Repeater: mAP lite, mAP
POE: hEX PoE
LAB: hEX lite
Średnia/Duża firma: CCR1036-12G-4S
Nie wiem dlaczego ale w jej konfiguracji jeśli w profilu serwera VPN l2tp dodany jest adres DNS nie mam dostępu do internetu przez tunel VPN ale dostęp do sieci LAN działa ok. W momencie kiedy usunąłem adres serwera VPN działa mi wszystko LAN i internet
A jak do tego serwera dopiąć drugiego mikrotica za którym stoja urządzenia które powinny byc w jednej sieci ?
Musisz stworzyć nowy tunel, dla drugiego routera.
Czy obciążenie sieci przy 20 jednoczesnych połączeniach remote acces do mikrotika będzie takie samo jak przy site-to-site do drugiego mikrotika za którym pracuje 20 osób ?
Zależy jak sterujesz ruchem. Jeżeli te 20 urządzeń za tunelem jak bramę będzie używało routera po drugiej stronie to wpływ będzie miało duży.
Czy przy tej konfiguracji będzie dostęp do urządzeń za MikroTik, przy założeniu, że urządzenia mają pulę adresową z tego samego zakresu IP np 172.16.0.60 – 172.16.0.80? Czy w IP–>IPsec w zakładce Identities powinienem widzieć połączonych użytkowników?
Dzięki, działa. Mam problem z dostępem do serwera plików. Zamapowany dysk sieciowy dostępny w sieci lokalnej z adresu \\nas\ nie działa poprzez połączenie VPN. Jeżeli robię nowe mapowanie z adresem ip to mam dostęp. Da się tak skonfigurować, aby działało zamapowanie dysku po nazwie?
W połączeniu vpn nie mam bramy, czy to jest poprawne działanie?
Dzięki
Cześć wszystkim, czy tworzył ktoś VPNa (serwer) bez publicznego IP(za NATem) i przy użyciu MikroTik Cloud? Czy jest szanasa żeby to zadziałało?
MODEM LTE-MIKTROIK-LAN ?
dzięki
Dzień dobry,
Bardzo dziękuję za ten poradnik. Dzięki niemu ustawiłem bez problemu połączenie pół roku temu. Od nowego roku 2021 VPN przestał działać. Co ciekawe – nie ma żadnego ruchu na firewallu, kompletnie nic w logach jak próbuje się połączyć. Kompletnie nic nie zmieniałem 🙂 Wykluczyłem też zmianę IP przez dostawcę internetowego – na pewno łączę się na poprawny adres. Czy wie Pan co może być przyczyną?
Proszę włączyć w System->Logging topic debug i l2tp, pomoże to w diagnozie problemu.
Miałem problem z połączeniem się z IP w sieci Mikrotika. Problem rozwiązuje ustawienie Proxy ARP na interface i bridge.
Mam konfigurację Dual WAN z PCC https://wiki.mikrotik.com/wiki/Manual:PCC
Po wykonaniu powyższych instrukcji, niestety zwraca mi błąd przy próbie łączenia.
phase1 negotiation failed due to send error. xx.xx.19.155[500]xx.xx.202.146[500] dfff577995e9d6a4:5d9f34f97cc8976f
Na innym mikrotiku ze standardową konfiguracją działa (single WAN) działa, na dual WAN nie ;( O co tu może chodzić? Gdzie szukać przyczyny?