Настройка VPN между Mikrotik

NetCloud

Простыми словами о сетевых технологиях

Настройка VPN между Mikrotik

Это первая статья про Mikrotik и в ней мы хотели бы рассказать о настройке VPN между Mikrotik. Мы будем использовать CRS 125-24G-1S в качестве домашнего маршрутизатора и VPN-сервера, а mAP в качестве удаленного маршрутизатора. Главная цель — установить безопасное соединение дома (или в офисе), чтобы получить доступ к удаленным ресурсам, а также обходить ограничения и уязвимости, которые могут возникать в незащищенных Интернет-соединениях. Что такое VPN и зачем оно нужно можно почитать в статье на нашем сайте.

настройка vpn между mikrotik

настройка vpn между mikrotik

Сторона сервера

Давайте начнем со стороны сервера (CRS 125-24G-1S). Мы должны настроить его для соединений L2TP вместе с настройкой брандмауэра, чтобы разрешить внешние подключения. Также нужно настроить сервер для предоставления VPN-клиентам IP-адреса (при необходимости можно установить одну статическую запись). Первый шаг в настройке vpn между mikrotik — создать набор (пул) IP-адресов для любых входящих VPN-подключений:

  1. После подключения к Mirkotik заходите в раздел IP-pool и выберете вкладку Pool
  2. Вы увидите существующий пул DHCP в новом окне. Нам нужно создать создать отдельный пул в другой подсети, чтобы отделить внутренний трафик от трафика VPN
  3. Нажмите на значок «плюс» и дайте новому пулу свое название и введите новый диапазон адресов (например: 192.168.5.2 — 192.168.5.20)

объединение двух mikrotik

Затем нам нужно создать профиль на подключение L2TP для объединения двух mikrotik. В этом профиле необходимо настроить входящее VPN-подключение с необходимыми данными, такими как IP-адрес / локальный адрес / данные DNS, а также какой тип VPN и шифрование необходимо. Вкладку «Connection profiles» можно найти в меню PPP, два уже созданных профиля можно отредактировать, но мы создадим новый:

  1. Щелкните значок «плюс» и дайте новому профилю имя (например: L2Tp / IPSec Profile)
  2. Local address (локальный адрес) будет первым в подсети (в нашем примере это: 192.168.5.1). Этот адрес не должен быть в пуле IP-адресов
  3. Remote adress (удаленный адрес) должен соответствовать тому имени, который мы задали ранее для своего пула (VPN_Pool)
  4. Последнее поле, которое нужно заполнить DNS address. Он должен соответствовать локальному адресу, то есть 192.168.5.1
  5. В конце выберете вкладку Protocols (протоколы) и убедитесь, что во кладке Use encrypsion (использовать шифрование) выбран параметр reauired (обязательно)

Теперь у нас настроен профиль, следующий шаг 0 включить L2TP-сервер, это можно сделать в меню PPP на вкладке «Interfaces», просто выбрав кнопку «L2TP Server». Убедитесь, что в окне сервера L2TP выбрано значение enable (включен), а в окне Default Profile (профиль по-умолчанию) выбрано имя созданного нами профиля. Также нужно отметить галочку напротив «mschap2» — наиболее безопасная опция проверки подлинности. IPSec можно пока оставить в покое, так как на этом этапе для объединения двух mikrotik будет использоваться шифрованное соединение AES-256 (про IPSec расскажем в следующей статье).

Прежде чем мы сможем настроить клиентскую сторону для подключения, нам нужно создать учетную запись пользователя VPN. Чтобы сделать это, перейдите в раздел «Secrets» в меню PPP и нажмите «+», чтобы создать нового пользователя. Мой пользователь будет иметь имя VPN с профилем, настроенным на профиль, который мы создали ранее, а служба установлена на L2TP. Для пользователя также должен быть установлен пароль.

Теперь у сервера есть вся информация, необходимая для аутентификации и соединения с соответствующими VPN-клиентами, но у нас отсутствует один последний компонент, чтобы это соединение работало так, как ожидается. Этот компонент брандмауэр. Брандмауэр должен быть настроен для приема портов, связанных с подключением L2TP, и иметь возможность преобразования сетевых адресов (NAT) при подключении к Интернету. Протокол L2TP работает на порту 1701 UDP. Соответственно мы должны открыть этот порт. Необходимым правилом NAT является простое правило srcnat для маскировки всех IP-адресов в подсети VPN-пула. В моей конфигурации src address будет 192.168.5.0/24, что означает любые адреса с 192.168.5, x будут скрыты. Теперь для полноценной настройки vpn между mikrotik осталась сконфигурировать клиентскую часть.

Сторона клиента

Настройка клиентской стороны очень проста, мы будем считать, что ваш клиент Mikrotik полностью работоспособен и имеет доступ в Интернет. Первым и последним шагом в настройке клиентской стороны для VPN-подключения к серверу является ввод сведений о соединении в клиентский интерфейс L2TP. На клиенте MikroTik, в нашем случае mAP, выберите пункт PPP из меню, а затем вкладку + на вкладке интерфейсов. Теперь отобразится список возможных интерфейсов, выберите «L2TP Client». Откроется новое окно, вы можете ввести свое имя для соединения на вкладке «General», во вкладке «Dial Out» введите данные своей учетной записи пользователя (мы настраивали ее на стороне сервера) в поле «User и Password» и убедитесь, что выбран пункт «mschap2». Раздел «Connected to:» должен быть заполнен сторонним общедоступным IP-адресом или DNS-именем сервера (он был скрыт на изображении ниже из соображений безопасности. Чтобы найти ваш общедоступный IP-адрес, нажмите эту ссылку: сайт myIP.

После нажатия на кнопку «VPN» можно подключаться с серверу. Подключение можно проверить, щелкнув вкладку состояния на вновь созданном интерфейсе. Вы также можете узнать, подключено ли соединение, войдя на сервер Mikrotik и загрузив меню PPP, вы увидите интерфейс с типом L2TP Server Binding, который показывает активное соединение L2TP.

На этом настройка VPN между роутерами mikrotik закончена.


 

Один комментарий на «“Настройка VPN между Mikrotik”»

  1. […] Читайте также другие статьи про Mikrotik: настройка VPN между Mikrotik. […]