ipsec | Obsługa IT

W artykule opisana jest konfiguracja serwera VPN w systemie MikroTik RouterOS. Oto konfiguracja routera:

Konfiguracja interfejsów sieciowych:
interfejs WAN: ether2wan – pppoe-out1
interfejs LAN: ether3lan – 192.168.5.1/24

Dane dostępowe dla klienta VPN:

IPsec secret: hasloIPSec
PPP user: PPPuser
PPP secret password: hasloPPP
pula adresów IP przeznaczonych dla klientów L2TP: 192.168.2.10-192.168.2.20 (pula o nazwie vpn-clients)

Konfigurację można przeprowadzić w ośmiu krokach:

Odblokowanie portów w zaporze, aby router zezwalał na przychodzące połączenia klientów poprzez tunel:

/ip firewall filter
add action=accept chain=input dst-port=500 protocol=udp
add action=accept chain=input dst-port=1701 protocol=udp
add action=accept chain=input dst-port=4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input protocol=ipsec-ah

Konfiguracji puli adresów IP dla klientów VPN o nazwie vpn-clients:
```
/ip pool
add name=vpn-clients ranges=192.168.2.10-192.168.2.20
```

Utworzenie profilu klienta PPP o nazwie L2TPClients:

/ppp profile
add change-tcp-mss=yes dns-server=192.168.5.1,194.204.159.1 local-address=192.168.5.1 name=L2TPClients remote-address=vpn-clients

Włączenie serwera L2TP

/interface l2tp-server server
set authentication=mschap2 default-profile=L2TPClients enabled=yes ipsec-secret=hasloIPSec use-ipsec=yes
set max-mtu=1450
set max-mtu=1450

Konfiguracja IPSec:

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,3des pfs-group=none

Konfiguracja istniejącego – predefiniowanego profilu IPSec „default”

/ip ipsec peer profile
set name="default" hash-algorithm=sha1 enc-algorithm=aes-128,3des dh-group=modp2048,modp1024 lifetime=1d
proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5

Utworzenie konta PPP

/ppp secret
add name=PPPuser password=hasloPPP profile=L2TPClients service=l2tp

Konfiguracja NATu tak, aby klient VPN miał połączenie z siecią Internet wykorzystując adres IP routera – serwera VPN.

/ip firewall nat
add action=masquerade chain=srcnat comment=\
    "maskarada dla klientow VPN L2TP IPSec" out-interface=pppoe-out1 \
    src-address=192.168.2.0/24

Połączenie klienckie VPN L2TP+IPSec można skonfigurować m.in. we wbudowanym kliencie systemu Windows 7/10 lub używając darmowego klienta firmy DrayTek: https://www.draytek.com/products/smart-vpn-client/

Źródło:
http://mikrotikacademy.pl/mikrotik-vpn-l2tpipsec-ms-windows-step-by-step/
https://www.youtube.com/watch?v=j37Tm1wdvzM

Obsługa IT

Obsługa informatyczna firm i użytkowników indywidualnych. Optymalne rozwiązania informatyczne. Kielce.

Tag Archives: ipsec

MikroTik – konfiguracja serwera VPN (L2TP + IPSec)