VPN не работает в Windows 10 — решение проблем и проблемы с VPN

Ранее мы писали про установку и базовую настройку Mikrotik CHR на виртуальные серверы. В этой статье мы выполним настройку VPN-сервера на базе Cloud Hosted Router и подключим клиентские устройства к настроенному VPN.

При написании данной статьи использовался облачный сервер со следующими характеристиками:

• 1 vCPU;
• 512 МБ RAM;
• 5 ГБ быстрый диск.

Операционной системой выбрана актуальная на момент написания статьи Stable-версия RouterOS: 6.47.6. Мы предполагаем, что читатель уже установил MikroTik CHR и провел первичную настройку.

Несмотря на то, что в статье описана настройка на Cloud Hosted Router, эта инструкция может использоваться и для физических маршрутизаторов с RouterOS.

Общие настройки

Создание пула IP-адресов

При подключении к VPN клиент «входит» в локальную сеть с VPN-сервером. Это требует серой подсети и списка доступных для клиента адресов, называемых пул. Создать пул можно следующей командой:

/ip pool add name=<название> ranges=

Мы выделили 253 адресов в подсети 172.24.0.0/24 и назвали ее vpn-pool.

/ip pool add name=vpn-pool ranges=172.24.0.1-172.24.0.253

Обратите внимание, что адрес 172.24.0.254 не входит в пул адресов, так как этот адрес будет принадлежать VPN-серверу и не должен быть выделен клиенту.

Создание PPP-профиля

«Связать» пул адресов для клиентов и адрес VPN-сервера можно с помощью PPP-профиля. Используем следующую команду:

/ppp profile add name=vpn-profile local-address=172.24.0.254 remote-address=vpn-pool use-mpls=no use-compression=yes use-encryption=yes only-one=no

Рассмотрим параметры команды:

• name=vpn-profile — задаем имя профиля;
• local-address=172.24.0.254 — задаем адрес VPN-сервера;
• remote-address=vpn-pool — указываем использовать пул vpn-pool для выдачи адресов клиентам;
• use-mpls=no — не используем MultiProtocol Label Switching;
• use-compression=yes — включаем сжатие трафика;
• use-encryption=yes — включаем шифрование;
• only-one=no — разрешаем более одного одновременного подключения для пользователя.

Создать локальную сеть между VPN-сервером и VPN-клиентом — это половина проблемы. Далее необходимо разрешить клиенту выходить в интернет через VPN-подключение. Для этого необходимо настроить NAT. Сделать это можно следующей командой:

/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Создание пользователя

Далее создаем пользователя. Сделать это можно следующей командой:

/ppp secret add name=<логин> password=<пароль> service=<тип сервера>

Параметр service определяет, какие сервисы доступны пользователю. Мы планируем использовать пользователя для демонстрации четырех протоколов VPN, поэтому установим значение any. Создаем пользователя vpn-user с паролем vpn-password с доступом к любому сервису:

/ppp secret add name=vpn-user password=vpn-password service=any

Пользователь создан. Однако, некоторые VPN-протоколы требуют сертификатов.

Генерация сертификатов сервера

Если вы планируете использовать OpenVPN или SSTP, то со стороны сервера требуются два сертификата: CA (Certification authority, Центр Сертификации) и серверный (server). Первый сертификат является «неоспоримым» и им можно подтверждать самоподписанные сертификаты, созданные для сервера и для клиентов.

Сперва выберем Common Name (CN) для центра сертификации. Здесь нет специфических требований, поэтому допустимо использовать любое имя. Мы используем имя хоста в качестве CN. В параметре ca-crl-host необходимо указать IP-адрес или домен VPN-сервера.

/certificate add name=ca-template common-name="MikroTik" days-valid=3650 key-usage=crl-sign,key-cert-sign  /certificate sign ca-template ca-crl-host=185.X.X.83 name="MikroTik"

Далее создаем сертификат для VPN-сервера и подписываем его только созданным CA-сертификатом. Обратите внимание, что CN для сертификата сервера должен быть строго доменом или IP-адресом.

/certificate add name=server-template common-name=185.X.X.83 days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server /certificate sign server-template ca="MikroTik" name="server@MikroTik"

Для протокола SSTP значение поля CN является критичным. Если CN является IP-адресом, то VPN-клиенту нужно подключаться именно по IP-адресу. При подключении по домену произойдет ошибка.

Сертификат CA необходимо экспортировать, чтобы клиент доверял сертификату сервера. Файл:

/certificate export-certificate "MikroTik" export-passphrase=""

После экспорта на вкладке Files в веб-интерфейсе можно будет скачать файл cert_export_MikroTik.crt. Сохраните его, он потребуется далее.

Настройка VPN-сервера

Мы рассмотрим четыре протокола для организации VPN:

• PPTP;
• L2TP/IPsec;
• OpenVPN;
• SSTP.

Каждый из протоколов обладает своими плюсами и минусами. Рассмотрим протоколы поближе.

PPTP

Начнем с самого легкого в настройке протокола Point-to-Point Tunneling Protocol (PPTP). Данный протокол не требует большого количества вычислительных ресурсов и поддерживается «из коробки» множеством операционных систем. Среди минусов — наличие серьезных уязвимостей в протоколах аутентификации.

Запустить VPN-сервер можно в одну команду:

/interface pptp-server server set enabled=yes default-profile=vpn-profile authentication=mschap2

В качестве клиента возьмем смартфон под управлением ОС Android 8.0.0.

Подключение по PPTP не требует дополнительного программного обеспечения и не доставляет проблем. Однако, если хочется чуть больше безопасности, то следует посмотреть в сторону протоколов L2TP/IPsec.

L2TP/IPSec

Как и PPTP, протоколы L2TP/IPsec поддерживаются большим количеством операционных систем. Более того, используемый в IPsec алгоритм шифрования AES на данный момент не имеет серьезных уязвимостей, что гарантирует относительную безопасность и конфиденциальность при использовании L2TP/IPsec.

Настройка L2TP/IPsec VPN-сервера похожа на настройку PPTP-сервера:

/interface l2tp-server server set enabled=yes default-profile=vpn-profile authentication=mschap2 use-ipsec=required ipsec-secret=super-secret

Обратите внимание на параметр ipsec-secret. Этот параметр — общий ключ IPsec. Так как мы используем аутентификацию по паре логин/пароль без сертификата, то в настройках клиента необходимо выбирать L2TP/IPsec PSK или L2TP/IPsec с общим ключом.

Хотя L2TP/IPsec является хорошим компромиссом, стоит оценить и OpenVPN.

OpenVPN

OpenVPN — современная технология с открытым исходным кодом. Данное решение предоставляет безопасность, высокую скорость работы и умение маскироваться под HTTPS-трафик. К сожалению, для использования OpenVPN необходимо устанавливать дополнительное программное обеспечение, например, официальный OpenVPN Connect, а также работать с сертификатами и конфигурационными файлами ovpn.

Включаем OpenVPN-сервер с указанием серверного сертификата, который сгенерировали ранее:

/interface ovpn-server server set auth=sha1 certificate="server@MikroTik" cipher=aes128,aes192,aes256 default-profile=vpn-profile enabled=yes require-client-certificate=yes

Создаем шаблон клиентского сертификата:

/certificate add name=client-template common-name="client" days-valid=3650 key-usage=tls-client

Генерируем сертификат для пользователя vpn-user на основе шаблона:

/certificate add name=client-vpn-user copy-from=client-template common-name="vpn-user@MikroTik" /certificate sign client-vpn-user ca="MikroTik" name="vpn-user@MikroTik"

Экспортируем сертификат и ключ. Обратите внимание, что пароль во время экспортирования указан пароль super-secret-password, который необходимо будет ввести при импорте в VPN-клиенте.

/certificate export-certificate "vpn-user@MikroTik" export-passphrase="super-secret-password"

В веб-интерфейсе на вкладке Files можно найти следующие файлы:

• cert_export_vpn-user@MikroTik.crt;
• cert_export_vpn-user@MikroTik.key.

Скачиваем указанные файлы и составляем конфигурационный файл ovpn:

client dev tun proto tcp-client remote  1194 nobind persist-key persist-tun cipher AES-128-CBC auth SHA1 pull verb 2 mute 3   auth-user-pass   # Добавляем эту строчку, чтобы отправлять все запросы через VPN redirect-gateway def1   <ca> # Вставляем содержимое cert_export_MikroTik.crt </ca><cert> # Вставляем содержимое cert_export_vpn-user@MikroTik.crt </cert><key> # Вставляем содержимое cert_export_vpn-user@MikroTik.key </key>

Передаем ovpn-файл на смартфон и импортируем его через OpenVPN Connector.

В качестве Private Key Password используем пароль, указанный при экспортировании. Данные пользователя для подключения остались неизменными.

SSTP

SSTP — это проприетарный протокол от Microsoft, обладающий достоинствами OpenVPN. Данный протокол поддерживается ОС Microsoft Windows, начиная с Vista SP1, а на других ОС требует установки дополнительного ПО.

Для запуска сервера достаточно выполнить одну команду:

/interface sstp-server server set enabled=yes certificate=server@MikroTik default-profile=vpn-profile

Так как данный протокол поддерживается Windows, то проверим работу сервера на Windows 10. В первую очередь необходимо установить центр сертификации. Скачиваем cert_export_MikroTik.crt и открываем двойным кликом.

Откроется окно, которое предупреждает, что нет доверия к этому центру сертификации. Это исправляется установкой сертификата. При установке выбираем хранилище «локальный компьютер» и на следующем шаге помещаем сертификат в «доверенные корневые центры сертификации». Теперь можно приступить к настройке VPN-подключения.

Открываем Параметры Windows — Сеть и Интернет — VPN и добавляем VPN-подключение, вводим имя или адрес сервера как было указано в сертификате сервера и вводим свои логин-пароль. VPN-подключение установлено.

Заключение

Мы рассмотрели настройку VPN-серверов на четырех разных протоколах. Надеемся, что эта инструкция поможет вам создать собственный виртуальный маршрутизатор на базе Mikrotik CHR.

При настройке WiFi роутера каждому из вас встречалось такой тип подключения к интернету, как PPPoE. Увидеть его вы можете на любом маршрутизаторе не зависимо от бренда — TP-Link, Cisco, Mikrotik, Asus, D-Link, Zyxel Keenetic и так далее. Протокол соединения PPPoE использует в своей практике такие провайдеры, как Ростелеком, Дом.Ру, ТТК, Билайн, МТС и некоторые другие. Что такое PPPoE соединение, какая его область применения, назначение, в чем этот тип отличается от PPTP, L2TP и DHCP, как узнать свой логин, пароль и имя сервиса поставщика интернет для выхода по Ethernet с компьютера на Windows 10? Со всеми этими вопросами «чайников» будем разбираться в данной статье.

Содержание

Что такое PPPoE протокол?

Соединение PPPoE (или ПППоЕ) — это один из типов протоколов высокоскоростного подключения роутера или компьютера к интернету через порт WAN. В полном варианте оно звучит как «Point-to-point Protocol over Ethernet», то есть в переводе с английского это означает подключение к интернету от точки к точке.

Простыми словами, PPPoE — это зашифрованный туннель от вашего маршрутизатора, телефона, ноутбука, Smart Tv Box к серверу провайдера. В свое время это была прорывная технология, значительно более скоростная и защищенная по сравнению с подключением по каналу ADSL, поэтому ее до сих пор применяет множество провайдеров. Поскольку подключение к интернету по PPPoE зашифровано, для выхода в сеть требуется вводить данные для авторизации — логин, пароль и имя сервиса поставщика услуг.

Чем отличается соединение PPPoE от PPTP?

Не будем вдаваться в теоретические подробности отличия протоколов соединения PPPoE, PPTP и L2TP. Давайте обозначим лишь конечную важную для пользователя информацию, в чем между ними разница и что лучше.

• Скорость передачи данных PPPoE выше, чем PPTP
• Протокол PPTP менее надежен по сравнению с PPPoE
• Для подключения PPPoE требуется только одно соединение, в то время как для PPTP два — одно для передачи данных, другое для служебной информации
• В связи с этим PPPoE легче настраивается, так как для авторизации требуется только логин и пароль

В чем разница между подключениями PPPoE и L2TP?

L2TP наоборот, более защищенное подключение по сравнению с PPPoE. Это туннельное VPN соединение к серверу провайдера, которое проходит двойную проверку в виде сертификата, установленного на компьютере или роутере, и авторизации по логину и паролю. Однако такая защита требует большей производительности от роутера для стабильного высокоскоростного соединения

• Протокол L2TP более защищенный, чем PPPoE, за счет двухфакторной идентификации
• PPPoE предъявляет меньше требований к ресурсам устройств
• L2TP дороже в использовании для провайдера
• PPPoE проще в настройке на компьютере или роутере

Что лучше — PPPoE, PPTP или L2TP?

Какой протокол подключения лучше?Протокол PPPoE по соотношению простоты настройки и надежности подключения к WAN является оптимальным среди всех указанных типов соединений. Соединение с интернетом более защищенное, чем PPTP, но не настолько, как L2TP. Зато PPPoE намного более простой в настройке и дешевый в обслуживании

Отличие PPPoE от DHCP в настройках роутера

Еще один популярный вопрос от новичков — чем отличается протокол PPPoE от DHCP и что лучше. Сразу скажу, что между этими двумя типами подключения к интернету вообще нет ничего общего. PPPoE, как мы уже выяснили, это создание туннельного подключение поверх Ethernet. DHCP — это способ автоматического получения настроек IP адреса, шлюза и маски для вашего коннекта.

Не вдаваясь в подробности, DHCP лучше, так как он не прерывает соединение с интернетом, в отличие от PPPoE, который при выключении роутера или компьютера разрывает его. Но думаю, что дилемма, что выбрать PPPoE или DHCP, возникает именно при настройке wifi роутера. Здесь выбирать нужно не вам — тип подключения уже заранее определен поставщиком услуг. Вам нужно лишь узнать правильный тип и установить его. После чего ввести необходимые данные для авторизации. К слову, у DHCP коннект устанавливается автоматически без указания какого-либо логина и пароля.

Как создать подключение PPPoE в Windows 10?

Для того, чтобы создать подключение к интернету через протокол PPPoE в Windows 10, необходимо зайти в меню «Пуск» и нажать на иконку настроек

Здесь заходим в раздел «Панели управления», который называется «Сети и интернет»

И переходим по ссылке «Центр управления сетями и общим доступом»

Здесь необходимо выбрать «Подключение к Интернету»

Выбираем «Высокоскоростное подключение (PPPoE)»

В следующем окне вводим в соответствующие поля логин и пароль от поставщика интернета. В качестве названия указываем любую фразу, по которой вы будете узнавать свое подключение в списке.

После установки связи с провайдером жмем на кнопку «Готово»

Вот и все — теперь в списке доступных сетевых подключений вы увидите свое соединение по PPPoE с заданным именем. Для того, чтобы выйти в интернет, нужно дважды кликнуть по нему левой кнопкой мыши.

Как настроить автоматически подключение к PPPoE в Windows 10?

Однако, после создания соединения по протоколу PPPoE на Windows 10, для выхода в интернет придется каждый раз кликать по этому меню. Но можно настроить автоподключение PPPoE при загрузке операционной системы.

Для этого находим через поиск Windows программу «Планировщик заданий»

Ваше мнение — WiFi вреден?Да24.02%Нет75.98%Проголосовало: 10895

Выбираем «Создать простую задачу»

Далее придумываем для нее название — например «Интернет PPPoE»

В качестве триггера, то есть условия для ее выполнения, выбираем «При запуске Windows»

А в пункте «Действие» ставим флажок на «Запустить программу»

Теперь будьте внимательны и правильно укажите данные для подключения к интернету.

1. В поле «Программа или сценарий» пишем слово «rasdial»
2. В графу «Добавить аргументы» вставляем строку — «WWW» WiFiKARU 123qwerty — где вместо «WiFiKARU» нужно указать ваш логин от PPPoE, а вместо «123qwerty» — пароль для подключения к интернету.

В следующем окне проверяем всю информацию и жмем на «Готово»

Более наглядно процесс подключения компьютера на Windows 10 к интернету по PPPoE можете посмотреть в видео

Как удалить подключение PPPoE на компьютере Windows 10?

Для удаления подключения по PPPoE из Windows 10 достаточно просто зайти в «Изменение параметров адаптера» в «Центре управления сетями»

Найти имя своего высокоскоростного соединения, кликнуть по нему правой кнопкой мыши и выбрать «Удалить»

Как настроить PPPoE на WiFi роутере?

Для подключения по протоколу PPPoE необходимо зайти в меню роутера и в разделе настроек интернета найти тип «PPPoE». Где именно находится этот раздел и как точно называется будет зависеть от вашей модели. Однако на любом маршрутизаторе — TP-Link, Zyxel Keenetic, Asus, D-Link, Mikrotik, Tenda, Netis и т.д. — есть данная рубрика.

У некоторых брендов подходящий типа подключения к нужному провайдеру уже встроен в прошивку. Пользователю остается только выбрать страну и своего поставщика услуг. Обычно здесь уже есть такие популярные, как Ростелеком, Билайн, МТС, Дом.Ру, ТТК и так далее.

После выбора «PPPoE» откроется форма для ввода основных данных — логина и пароля для подключения.

Логин и пароль поставщика интернета

Где взять логин и пароль поставщика интернета для подключения к PPPoE?Их необходимо узнать у поставщика интернет-услуг. Это можно сделать по звонку в службу поддержки, либо внимательно посмотреть договор. В большинстве случаев в нем указаны логин и пароль для авторизации.

Как исправить ошибки при проверке подлинности PPPoE при подключении к интернету — 691, 651, 720, 711

При подключении к интернету посредством PPPoE в некоторых ситуациях могут возникнуть разные ошибки при проверке подлинности, которые выдает модем или компьютер. Если у вас англоязычная версия Windows, то она может проявляться с текстом «PPPoE Unexpectedly Stopped». Вкратце расскажу, что они означают и как их исправить.

• Ошибка 691 — сигнализирует о том, что вы ввели неправильный логин или пароль от поставщика интернета. Еще один вариант ошибки при установки связи с провайдером — истекший срок оплаты вашего тарифа. Необходимо зайти в личный кабинет и пополнить баланс счета
• Ошибка 651 при подключении к интернету — недоступность сервера провайдера. ВРяд ли это вызвано его перегрузкой, хотя и такое возможно. Скорее всего просто на линии ведутся некие технические работы, поэтому следует позвонить в поддержку и узнать, когда они закончатся.
• Ошибка 711 при подключении по PPPoE называется «Не удается загрузить службу диспетчера подключений удаленного доступа». Причиной ее могут служить неполадки с таких службах Windows, как Plug and Play, Диспетчер автоматических подключений удаленного доступа, Диспетчер подключений удаленного доступа, Телефония, Служба SSTP.

  Для исправления необходимо зайти в раздел «Службы» Windows и проверить каждую из них. При необходимости можно вручную их остановить и перезапустить.

• Ошибка 720 часто появляется у абонентов Билайн и связана с некорректной работой протокола TCP/IP, к которому привязан к адаптеру удаленного доступа. Необходимо удалить, а потом заново установить данный компонент в Windows 10. Более подробно про решении проблемы читайте на сайте Microsoft.

Цены в интернете

АлександрВыпускник образовательного центра при МГТУ им. Баумана по специальностям «Сетевые операционные системы Wi-Fi», «Техническое обслуживание компьютеров», «IP-видеонаблюдение». Автор видеокурса «Все секреты Wi-Fi»

В этой статье мы покажем, как сделать настройку L2TP Server с IPSec на MikroTik. Постараемся детально описать все нюансы и тонкости конфигурирования.

На сегодняшний день есть множество способов организовать VPN, но на мой взгляд L2TP является оптимальным выбором, так как данный протокол существует во всех ОС и имеет ряд преимуществ о которых мы поговорим ниже.

Настройка L2TP MikroTik для многих может оказаться не такой уж и простой задачей. Давайте разберемся на практике, так ли это сложно?

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Протокол L2TP не предоставляет механизмов шифрования, поэтому рассмотрим связку L2TP IPSec для подключения удаленных устройств к корпоративной сети. Узнаем как выполнить настройку туннеля L2TP IPSec между MikroTik, что позволит объединить офисы по данной технологии.

L2TP — это туннельный протокол служащий для организации виртуальных частных сетей, объединивший в себе лучшие функции протоколов PPTP (Microsoft) и L2F (Cisco).

IPSec – это набор протоколов служащий для шифрования, аутентификации и обеспечения защиты при отправке IP-пакетов. Основное применение нашел при организации VPN-соединений.

Содержание

Mikrotik. Настройка L2TP Server

Рассмотрим детальную настройку двух видов туннелей L2TP + IPSec:

• Client-to-site – туннельное соединение, при котором конкретное устройство (ноутбук, домашний ПК) подключается к маршрутизатору. Примером может служить ситуация, когда сотрудник компании из дома подключается к сети организации и получает доступ к сетевым ресурсам;

• Site-to-Site – туннельное соединение, между роутерами Mikrotik.

Настройка туннеля L2TP + IPSec на Mikrotik (site-to-site). Объединяем два офиса

Попробуем объединить два офиса фирмы в одну виртуальную частную сеть (VPN) используя туннельный протокол L2TP в связке с IPSec на оборудовании Mikrotik.

Схема подключения:

Из схемы мы видим, что Mikrotik в главном офисе (GW1), будет настроен на роль L2TP Server + IPSec, со следующими настройками:

• Внешний IP (WAN): 111.111.111.111;
• IP-адрес VPN Server: 192.168.77.1;
• Адрес в LAN сети: 192.168.13.254.

MIkrotik в филиале (GW2) будет являться VPN-клиентом с настройками:

• Внешний IP (WAN): 222.222.222.222;
• IP-адрес VPN Client: 192.168.77.10;
• Адрес в LAN сети: 192.168.12.254.

Приступаем к настройке.

Настройка Mikrotik L2TP Server. Главный офис

Создаем профиль подключения

У Mikrotik в меню PPP есть два профиля по умолчанию, которые используются для PPP соединений. Рекомендуется не изменять профили по умолчанию, а создать и использовать под свою задачу новый.

Создадим профиль для подключения, в котором укажем имя для соединения, назначим статические IP-адреса для L2TP сервера и клиента. Отроем Winbox, перейдя:

• PPP => Profiles => “+”.

В окне New PPP Profiles, открыв, вкладку “General” укажем информацию:

• Name: l2tp-site-to-site;
• Local Address: 192.168.77.1;
• Remote Address: 192.168.77.10.

Рекомендуем для туннеля вида Site-to-Site назначить статические IP.

Мы указали:

• произвольное имя для профиля(Name);
• присвоили IP для L2TP-Сервера (Local Address);
• IP-Адрес L2TP-Клиента (Remote Address).

Настраиваем Secret

На вкладке «Secrets» мы настраиваем имя, пароль и профиль подключения для L2TP-Клиента. Для этого выполним действия:

• Secrets => “+”;
• Name: office;
• Password: qwas1234;
• Profile: из выпадающего списка выбираем ранее созданный профиль (l2tp-site-to-site).

Рекомендуем придумывать сложные пароли. Минимум 12 символов разного регистра с использованием спец. символов.

Включаем L2TP Server и IPSec

Следующим шагом включим L2TP Server на Mikrotik указав профиль, метод аутентификации и ключ шифрования для IPSec. Выберем пункт меню Interface, настроим как показано на рисунке ниже:

Не забываем придумывать сложные пароли.

Создаем интерфейс

Создадим статический интерфейс L2TP Server Binding. Это позволит избежать проблемы с маршрутизацией между сетями, которые могут возникнуть при разрыве соединения.

Заполним открывшееся окно New interface. Вкладка «General»:

Где:

• Name – это произвольное имя интерфейса;
• User – имя пользователя, которое мы назначили на вкладке Secrets.

Настройка firewall

Добавим правила в наш файрвол, тем самым разрешая трафик для L2TP, два правила для IPSec и протокол Ipsec-esp:

• IP => Firewall => Filter Rules => “+”.

Добавим разрешающее правило для L2TP, который работает на 1701(UDP) порту:

После нажмем правой кнопкой мыши на созданное правило и добавим комментарий, нажав строку Comment из меню:

Добавим правило для UDP портов 4500, 500:

Добавим комментарий для этого правила, как показано выше.

Разрешим протокол IPsec-esp:

Очень важен порядок расположения правил. Ваш firewall после настроек должен выглядеть примерно следующим образом:

Для более глубокого понимания работы брандмауэра рекомендуем ознакомиться со статьей MikroTik настройка firewall.

На этом настройка L2TP Server Mikrotik закончена, перейдем к настройке клиентской части (филиала).

Настройка филиала (L2TP Client)

Выполним настройку L2TP клиента. Для этого необходимо на роутере Mikrotik добавить интерфейс с настройками подключения к главному филиалу указав его IP-адрес, идентичные значения IPSec и аутентификации.

Создадим свой профиль для подключения:

• PPP => Profiles => “+”.

На вкладке «General» укажем имя профиля:

Далее откроем вкладку «Protocols», установим обязательное шифрование:

• Use Encryption: Yes;
• OK.

Добавляем L2TP Client:

• Interface => “+”;
• L2TP Client.

Вкладка «General»:

• Укажем имя интерфейса.

Вкладка «Dial Out»:

• Connect To – указываем IP-адрес главного филиала (WAN);
• User – имя пользователя, созданное в разделе Secrets;
• Password – пароль учетной записи;
• Profile – профиль подключения созданный в предыдущем шаге;
• Устанавливаем галочку на пункте Use IPSec, активируя набор протоколов шифрования;
• IPsec Secret – вводим ключ шифрования IPSec как на сервере;
• В разделе Allow оставляем метод аутентификации mschap2.

Ждем некоторое время. Если мы все сделали правильно, то увидим букву “R” слева от имени подключения:

Статус туннеля можем посмотреть, зайдя в настройки интерфейса:

Здесь мы видим дату и время, когда туннель поднялся (Last Link Up Time), количество разрывов соединения (Link Downs), время жизни соединения (Uptime), метод шифрования (Encoding) и другие параметры.

Осталось настроить маршрутизацию между подсетями.

Настройка маршрутизации межу офисами

Пропишем маршруты на обоих роутерах Mikrotik. Так подсети увидят друг друга.

Для начала зайдем на роутер главного офиса (GW1), выполним следующие действия:

• IP => Routes => “+”.

Укажем удаленную подсеть и шлюз, который будет обрабатывать запросы:

Где:

• Dst. Address – Адрес удаленной подсети (филиал);
• Gateway – шлюз (созданный интерфейс в предыдущем шаге), который будет обрабатывать запросы с сети филиала.

Затем зайдем на Mikrotik филиала (GW2), добавим маршрут:

• IP => Routes => “+”.

Укажем подсеть главного офиса и назначим Gateway:

Где:

• Dst. Address – адрес удаленной подсети (главный офис);
• Gateway – шлюз (созданный интерфейс), который будет обрабатывать запросы с сети главного офиса.

Теперь филиалы видят друг друга. На этом настройка L2TP + IPSec между роутерами Mikrotik (Site-to-site), закончена.

Настройка L2TP Server + IPSec на Mikrotik (client-to-site)

Рассмотрим вариант подключения к L2TP Server удаленных сотрудников (client-to-site). На практике данный способ применяется, когда работник компании уехал в командировку и ему надо иметь доступ к внутренним ресурсам локальной сети фирмы. Таким образом, сотрудник со своего ноутбука устанавливает VPN соединение по которому получает доступ к локальным ресурсам сети.

Схема:

Создаем пул адресов

Первым шагом назначим пул адресов, которые побудут получать клиенты, подключаемые по VPN:

• IP => Pool => “+”.

В окне “New IP Pool” укажем название пула и диапазон адресов:

Профиль подключения

Дальше создадим свой профиль для L2TP соединений:

• PPP => Profiles => “+”.

Выполним настройку профиля следующим образом:

Где:

• Name – произвольное имя профиля;
• Local Address – назначим адрес L2TP Серверу;
• Pool-адресов, из которого будут назначаться IP подключаемым пользователям (Remote Address);
• Change TCP MSS: yes –изменять максимально возможный размер сегмента TCP. Текущая настройка немного повысит устойчивость соединения.
• Use UpnP: no – отключим использование службы UPnP.

Вкладка “Protocols”:

• Use MPLS: no – отключим многопротокольную коммутацию по меткам;
• Требовать шифрование.

На вкладке “Limits” ограничим подключение единственным соединением:

Создание пользователя

На вкладке “Secrets” укажем настройки имени пользователя, пароль и профиль для подключения:

Где:

• Name – произвольное имя пользователя. Желательно создавать интуитивно понятные имена;
• Password – пароль пользователя. Желательно использовать сложные пароли;
• Profiles – ранее созданный профиль для подключения.

Включаем L2TP Server

Осталось активировать L2TP Server на Mikrotik, выбрать метод аутентификации, задать профиль по умолчанию, включить IPSec и установить для него ключ шифрования:

• Interface => L2TP Server.

• Поставим галочку у пункта “Enabled”;
• Default Profile – укажем ранее созданный профиль, который будет использоваться по умолчанию для подключений.
• Оставим метод аутентификации mschap2;
•  Use IPsec: yes – включаем использование IPSec;
• IPsec Secret – придумаем и установим ключ шифрования для IPSec.
• OK.

Настройка подключения на стороне клиента

На компьютере или ноутбуке сотрудника настроим VPN-соединение до L2TP Сервера. Приведу пример, как это можно сделать на ОС Windows 10.

Откроем “Центр управления сетями…”, затем создадим подключение, как показано на рисунке ниже:

Следующим шагом выберем вариант подключения:

Выполним подключение через Интернет с помощью VPN:

Следующим шагом введем внешний адрес (WAN) роутера Mikrotik и произвольное имя для соединения:

В нашем примере маршрутизатору Mikrotik назначен внешний IP 111.111.111.111, у вас это будет свой адрес.

Продолжим настройку VPN соединения:

Откроем свойства созданного соединения:

Перейдем на вкладку “Безопасность”, выполнив настройку как показано на рисунке ниже:

Откроем дополнительные параметры (5 шаг на рисунке) и укажем ключ IPSec, который мы указали ранее в настройках L2TP Server, параметром IPsec Secret:

Далее откроем вкладку “Сеть”, уберем галочку с протокола TCP/IPv6 и откроем свойства протокола TCP/IPv4:

Нажмем кнопку “Дополнительно” и запретим использовать основной шлюз в удаленной сети, сняв галочку с соответствующего пункта:

Важно! Игнорируя текущий пункт настройки, после установки VPN соединение пропадет интернет.

Подключаем созданное VPN-соединение:

Настройка маршрутизации L2TP-клиента

Подключение установилось. Следующим шагом укажем постоянный статический маршрут прописав шлюз для удаленной подсети.

Откроем командную строку с правами администратора и выполним команду:

route add 192.168.13.0 mask 255.255.255.0 10.10.10.1 if 49 /p

Где:

• 192.168.13.0 – локальная подсеть организации;
• 255.255.255.0 – маска этой подсети;
• 10.10.10.1 – шлюз (адрес устройства Mikrotik, который мы задавали в настройках профиля);
• 49 – номер созданного VPN интерфейса (можно узнать командой route print);
• /p – параметр, указывающий на то, что сделать маршрут постоянным. Иначе после перезагрузки данный маршрут удалится.

Пример, как можно посмотреть номер интерфейса:

На этом настройка L2TP Server + IPSec на Mikrotik закончена. Надеюсь, данная статья была для вас полезной.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Используемые источники:

• https://selectel.ru/blog/vpn-on-mikrotik-chr/
• https://wifika.ru/soedinenie-pppoe-internet.html
• https://smartadm.ru/mikrotik-l2tp-server-ipsec/