После того, как мы успешно настроили брандмауэр, нам нужно будет настроить VPN-клиент для проверки соединения. Можно исправить этот недостаток, включив поддержку протокола NAT T , который позволяет инкапсулировать пакеты протокола ESP 50 в UDP пакеты по порту 4500. А потом в стандартной панели управления изменить настройки безопасности, указав использование обязательного шифрования и разрешить протокол mschap2, который был указан для использования в настройках L2TP-сервера на Mikrotik.

Настройка MikroTik VPN сервера L2TP

VPN сервер популярное средство для удаленного подключения одного ПК(или 100 ПК) к центральному узлу. Реализация такого сервиса есть масса, но на MikroTik работает быстро и без инцидентов по недоступности. В примере приведен случай L2TP как более защищенного средства для передачи трафика.

Для удаленного доступа сотрудников

Доступ к рабочему пространству с любого места, где есть интернет. Почта, сетевые папки, принтер, 1с – все это становится доступным.

Объединение офисов

Компьютеры, та и вся техника смогут обмениваться информацией вне зависимости от географического расположения.

Для VPN клиентов лучше создать отдельную подсеть, это добавит больше возможностей в ограничении доступа между VPN клиентами и локальной сетью, а также в самой маршрутизации.

Добавление новой подсети

Настройка VPN сервера L2TP(на сервере)

Предварительно нужно задать сетевые параметры для VPN клиентов

Активация VPN сервера L2TP

Настройка находится PPP->Interface->L2TP Server

Use-ipsec=yes(по умолчанию) проставляет выбор vpn клиенту в использовании IpSec, т.е. может не использоваться.

Создание учётной записи для VPN клиента

Этой учётной записью будет пользоваться VPN клиент для удаленного подключения к VPN серверу.

Разрешение FireWall для подключения VPN клиентов

Мнение эксперта

Чоповец Владимир Петрович, специалист по ремонту ноутбуков

Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!

Задать вопрос эксперту

Произведем перезагрузку, и установку загрузки по умолчанию при рестарте сервера всех настроенных служб, выполните поочередно следующие команды. Если самостоятельно разобраться в нюансах не получается, пишите мне!

Настройте L2TP / IPsec VPN-сервер с помощью PSK или RSA в pfSense | ИТИГИК

VPN подключение L2TP между двумя MikroTik-ами, объединение офисов

В этой настройке будут участвовать два роутера MikroTik, один в качества сервера, другой в качестве клиента. На этапе создание такого подключения стоит обратить внимание на модель MikroTik, т.к. от неё зависит количество VPN подключений, а также возможность обрабатывать такие потоки данных. Для консультации по этому вопросу обращайтесь в Настройка-Микротик.укр через контактную форму.

Для объединения двух офисов и работы маршрутизации данную настройку лучше разбить на два блока:

Серверная часть была описана ваше, но требует корректировки в виде статических адресов для VPN клиента

а клиентская часть состоит из настройки L2TP клиента.

Настройки L2TP клиента(на клиенте)

Настройка находится PPP->Interface->+L2TP Client

Настройка маршрутизации со стороны VPN сервера

Это правило укажет роутеру MikroTik куда направлять трафик.

Настройка маршрутизации со стороны VPN клиента

Разверните Сертификаты. Выберете любую папку (без разницы какую), щёлкните правой кнопкой мыши, выберете «Все задачи», затем «Импорт. «. Только сейчас следуйте указаниям мастера, но на последнем шаге убедитесь, что выбрано «Автоматически выбрать хранилище на основе типа сертификата». Верим, что материал будет полезен не только для начинающих системных администраторов, но и для рядовых пользователей интернета, которые решили погрузиться в мир высоких технологий. Надеемся мы достаточно подробно рассмотрели тему ручной настройки VPN-сервера, а также на вариантах настройки VPN клиентов в таких операционных системах как IOS, Android и Windows.

Подготовка сервера

Для настройки нашего сервера мы настроим следующие компоненты: IPSEC (strongswan), L2TP (xl2tpd), PPP.

IPSEC

Для управления IPSec используется пакет strongswan — установим его командой:

Открываем конфигурационный файл для настройки ipsec:

config setup
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
oe=off
protostack=netkey

conn L2TP-PSK-NAT
rightsubnet=vhost:%priv
also=L2TP-PSK-noNAT

Создаем секретный ключ — для этого открываем на редактирование файл:

* в данном примере мы устанавливаем общий пароль my_key_password для соединений с любого IP.

Разрешаем автозапуск strongswan и перезапускаем службу:

Раздел [lns default] можно полностью удалить или закомментировать (символом «;») и заменить на:

Разрешаем автозапуск vpn-сервера и перезапускаем его:

Можно закомментировать все, что там есть и вставить:

ipcp-accept-local
ipcp-accept-remote
auth
idle 1800
mtu 1200
mru 1200
nodefaultroute
lock
proxyarp
connect-delay 5000
name l2tpd
login
ms-dns 77.88.8.8
ms-dns 8.8.8.8
require-mschap-v2

user1 * password1 172.16.10.10
user2 * password2 *
user3 l2tpserver password2 *

* формат записи — . Первая учетная запись может подключаться к любому VPN и только с IP 172.16.10.10, вторая — к любому VPN с любого IP, третья — к серверу l2tpserver, но с любого IP.

Мнение эксперта

Чоповец Владимир Петрович, специалист по ремонту ноутбуков

Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!

Задать вопрос эксперту

Можно исправить этот недостаток, включив поддержку протокола NAT T , который позволяет инкапсулировать пакеты протокола ESP 50 в UDP пакеты по порту 4500. Если самостоятельно разобраться в нюансах не получается, пишите мне!

IPsec L2TP VPN сервер — Gentoo Wiki

• VPN-сервер, использующий туннельный протокол L2TP.
• Возможность подключения к серверу встроенными средствами Windows, Android, Mac OS X.
• Защита соединения посредством общего ключа + аутентификация пользователя.
• Доступ к локальной сети.
• Аутентификацию через Active Directory.

Настройка клиента

Рассмотрим процесс настройки клиента на базе Windows. Для андроида и устройств Apple параметры заполняются аналогично.

Графический интерфейс

В параметрах сети и Интернет в разделе VPN создаем новое соединение:

• Имя подключения — произвольное имя для подключения.
• Имя или адрес сервера — адрес сервера VPN, к которому мы будем подключаться. В данном примере используем внутреннюю сеть, но в продуктивной среде адрес должен быть внешним.
• Тип VPN — для нашего случая, выбираем L2TP/IPsec с предварительным ключом.
• Общий ключ — ключ, который мы задали в файле /etc/ipsec.secrets.
• Тип данных для входа — выбираем пользователь и пароль.
• Имя пользователя и пароль — логин и пароль, которые мы задали в файле /etc/ppp/chap-secrets.

Командная строка

Соединение VPN в Windows можно создать с помощью Powershell:

Как и раньше, когда и left , и right равны %any , strongSwan подразумевает, что локальный компьютер – left. Если используется авторизация PPP, рекомендуется исправить pppd или ядро с минимальными изменениями конфигурации , даже если нет смысла в двойном шифровании. По информации на TechNet проблема связана с некорректной реализацией клиента L2TP IPSec клиента в Windows не исправляется уже много лет.

Настройка L2TP

В данной настройке будет минимум шагов, т.к. особых сложностей нет.

Создаётся пул адресов для VPN-клиентов в меню IP-Pool:

Создается PPP-профиль с дефолтными настройками, указывается только локальный адрес и удаленные адреса из созданного ранее пула:

В разделе PPP-Secrets создается пользователь для созданного выше profile.

На этом всё, настройка IPsec и L2TP-сервера на Mikrotik завершена и можно переходить к настройке клиента.

Мнение эксперта

Чоповец Владимир Петрович, специалист по ремонту ноутбуков

Если у вас не получается разобраться самостоятельно, пишите мне, я помогу!

Задать вопрос эксперту

Для небольших пользователей обычно тех, кто хочет подключаться к своей домашней сети в другом месте , авторизация может быть произведена через файл chap. Если самостоятельно разобраться в нюансах не получается, пишите мне!

Установка и настройка VPN сервера в ОС Ubuntu по протоколу L2TP/IPsec

• данный протокол поддерживается почти всеми популярными ОС из коробки (Win, Android, iOS), т.е. ничего не нужно дополнительно устанавливать, как в случае с OpenVPN;
• L2TP можно применять, когда клиент имеет динамический IP-адрес (или находится NAT).