Устранение неполадок с подключением виртуальных частных сетевых клиентов Microsoft L2TP/IPSec

Опубликовано: 21.01.2021 Обновлено: 25.01.2021 Категория: windows Автор: myWEBpc

Ошибка 720 – означает, что не удалось установить соединение с удаленным компьютером. Скорее всего, вы используете подключение через VPN и ошибка может быть связана с программным обеспечением самого VPN. Если вы подключаетесь к другой сети, то нужно посмотреть и перепроверить параметры для подключения. Также, сторонние программы как фаервол, брандмауэр и антивирус, могут блокировать соединение VPN и выдавать ошибку 720 при подключении в Windows 10. В некоторых случаях, если нет настроенных протоколов управления PPP или не удалось согласовать совместимый набор сетевых протоколов, то причина может быть в протоколе TCP/IP.

Исправить ошибку 720 при подключении к интернету в Windows 10

1. Параметры подключения

Если вы используете стороннюю программу VPN, то переустановите её, или попробуйте другую. Если вы подключаетесь к сети VPN через параметры Windows 10, то проверьте настройки данного подключения.

2. Переустановка адаптера WAN Miniport

Нажмите Win+X и выберите “Диспетчер устройств“. Разверните список “Сетевые адаптеры” и удалите все WAN Miniport, нажимая по ним правой кнопкой мыши. Далее перезагрузите компьютер или ноутбук и драйвера переустановятся автоматически. Ошибка 720 устраниться, если проблема была в мини-портах.

3. Обновить драйвер сетевой карты

В сетевых адаптерах, удалите драйвера для устройства, после чего перезагрузите ПК. Возможно, потребуется посетить сайт производителя сетевого адаптера и скачать последнюю версию драйвера. Это можно загуглить по модели материнской платы, если сетевая карта встроена.

4. Сбросить Winsock и очистить DNS

Если ошибка 720 все еще появляется при подключении к интернету через VPV, попробуем очистить кеш DNS и сбросить IP. Для этого, запустите командную строку от имени администратора и введите следующие команды по очереди, нажимая Enter после каждой.

1. ipconfig /flushdns
2. ipconfig /registerdns
3. ipconfig /release
4. ipconfig /renew
5. NETSH winsock reset catalog
6. NETSH int ipv4 reset reset.log
7. NETSH int ipv6 reset reset.log

Перезагрузите Windows 10, и проверьте, устранена ли ошибка 720.

5. Установите IP-адрес вашего роутера

Заставим VPN-сервер использовать IP-адрес вашего маршрутизатора, что должно помочь исправить ошибку 720 в Windows 10.

1. Запустите командную строку от имени админа и введите ipconfig.
2. Не закрывайте CMD и запомните IP “Основной шлюз“.
3. Нажимаем Win+R и вводим ncpa.cpl, чтобы открыть сетевые адаптеры.
4. Нажимаем правой кнопкой мыши по сетевому адаптеру, через который осуществляем подключение к интернету, и выбираем “Свойства“.
5. Выделяем IP версии 4 (TCP/IPv4) и ниже жмем “Свойства“.
6. Вписываем в “Основной шлюз” IP адрес, который в командной строке.

6. Ошибка 720 в МТС и Билайн

Если ошибка 720 появляется при использовании модемов от Билайн или МТС, то откройте локальный диск С:, где Windows 10, и в поиске справа сверху напишите nettcpip. Когда файл будет найден, нажмите по нему правой кнопкой мыши и выберите “Открыть с помощью“, после чего выберите блокнот. В текстовом файле, найдите строку TCP/IP Primary Install (TCPIP has properties to display) и замените значение в Characteristics = на 0x80. Перезагрузите ПК.

7. Брандмауэр и открытые порты

Если вы используете антивирус, то большинство из них имеют свой брандмауэр, который будет работать, даже, если вы отключите на время сторонний антивирус. Рекомендую полностью удалить сторонний антивирус и проверить ошибку 720.

Если она появляется, то перейдите в параметры брандмауэра Windows 10 и нажмите слева на графу “Правила для исходящего подключения“. Далее в списке проверьте статус удаленного порта в зависимости от предпочитаемого вами протокола VPN:

• PPTP – порт 1723 через TCP и порт 47 через GRE.
• L2TP/IPsec – порт 1701 по UDP (L2TP) и порты 500 и 4500 по UDP (IPsec).
• SSTP – порт 443 по TCP.
• IKEv2 – порты 500 и 4500 по UDP.

Эти правила задаются на том компьютере, который подключается к сети VPN.

Если вы пытаетесь открыть удаленный доступ с помощью VPN, вам также следует проверить “Входящие подключения” на серверном ПК (к которому вы пытаетесь подключиться):

• Маршрутизация и удаленный доступ (PPTP-Out)
• Маршрутизация и удаленный доступ (GRE-Out)
• Маршрутизация и удаленный доступ (L2TP-Out)

Если порты, связанные с вашим параметрами VPN, закрыты, вам необходимо открыть их.

Смотрите еще:

• Исправить ошибки подключения к Интернету и веб-сайтам 
• Нет подключения к Интернету, защищено в Windows 10 
• DHCP не включен на сетевом адаптере WiFi или Ethernet 
• Сетевой адаптер не имеет допустимых параметров настройки IP
• Проблема адаптера беспроводных сетей или точки доступа

Загрузка комментариев

Канал Чат

Данный VPN работает для удаленного подключения пользователя в локальную сеть компании и использование внутренних ресурсов (шара, удаленное подключение к своей рабочей станции и etc…)

Примерная схема

Предполагается, что базовые настройки интернета/dhcp/firewall сделаны. Вся настройка происходит, через WinBox. В моём примере есть сеть 192.168.51.0/24 (офис).

Переходим в IP=>Addreses. Создаем отдельную подсеть для VPN-подключений. Это может быть как отдельная маска так и просто другая подсеть. В примере у нас будет другая маска.

1. Адрес микротика для этой подсети и префикс маски;
2. Маска;
3. Указываем на каком интерфейсе это всё работает;
4. Не забываем указать комментарий для чего эта настройка;

Переходим IP=>Pool и создаем пул адресов в нашей подсети, которую мы создали в предыдущем шаге. Эти адреса будут выдаваться VPN-клиентам.

Переходим в PPP, дальше кликаем Profiles, нажимаем на плюсик. В окне вписываем данные.

1. Имя профиля можно указать любое удобное (я же пишу %протокол%_default)
2. Local Address указываем тот, который мы назначали микротику в первом пункте (в примере это 10.13.0.1)
3. Remote Adress указываем пул, который мы создали (в примере это l2tp_pool)
4. Bridge указываем основной Bridge
5. Важный момент с DNS-серверами. Если в вашей сети есть домен контроллер — указываем его, если нет, то либо провайдерский, либо какой вам нравится, например, 8.8.8.8 🙂
6. В WINS-сервера указываем IP домен контроллера, если его нет, то адрес микротика.

Переходник на вкладку PPP, раздел Interface, нажимаем на L2TP Server

1. Включаем L2TP-Server
2. Default profile указываем тот, что мы создали (в примере l2tp_default)
3. Use IPsec ставим Required
4. IPsec Secret придумываем/генерируем ключ
5. Caller ID Type указываем Number

Переходим в PPP, далее Secrects, нажимаем на «+». Заполняем данные:

1. Name можно указывать любое удобное. Я предпочитаю указывать в формате: первая буква имени + фамилия на латинском. (S.Gultyaev, например). Это не просто так. Так сразу будет видно, кто когда подключался, какой трафик бежит, можно проснифать пакеты. Ни в коем случае не делайте одну учётку на несколько сотрудников. Если человек уйдет из компании, то у него могут остаться данные для подключения в вашу сеть, а это не есть хорошо;
2. Password лучше сгенерировать;
3. Service оставляем либо Any (то есть любой) или указываем l2tp;
4. Profile оставляем без изменений, т.к. мы уже все настроили в предыдущих шагах.

Остальные параметры не трогаем.

Важно сделать Для удаленных подключений нужно открыть порты 1701,500,4500 по UPD

/ip firewall filter add action=accept chain=input dst-port=1701,500,4500 protocol=udp

В результате у нас получилось две подсети 192.168.51.0/24 (внутренняя офисная) и 10.13.0.0/24 (для VPN сегмента). Нам надо сделать так, что те, кто подключались по VPN могли «видеть» внутренние ресурсы.

Для начала настроим режим работы моста, чтобы видеть сеть за микротиком.

Переходим в раздел Bridge, выбираем Bridge на котором крутиться наша подсеть 10.13.0.1. И включаем proxy-arp.

Настраиваем правила для того, чтобы VPN-клиенты видели сеть за микротиком.

Переходим в IP=>FireWall вкладка Filter Rules, создаем правило.

1. Chain ставим forward (мы указываем, что правило работает на исходящий трафик);
2. В Scr. Address пишем подсеть созданную для VPN-клиентов (в примере это 10.13.0.0/24);
3. В Dst. Addreses пишем подсеть офиса или туда, куда могут ходить VPN-клиенты (в примере это 192.168.51.0/24);
4. Переходим на вкладку Action и выбираем Accept;
5. Неплохо было бы указать комментарий к правилу;

Такой не хитрой настройкой мы получили стабильно работающий VPN для небольшой компании. Можно также настроить приоритет трафика, скоро загрузки/отдачи, но об этом поговорим отдельно.

• Если есть сайт компании, то можно добавить поддомен (например gate.*.ru или vpn.*.ru) и прицепить к нему DNS A-запись с ip вашего офиса;
• Для проверки работы VPN можете попробовать подключиться с своего смартфона;

Если вам тоже интересна работа с микротиком, то приглашаю почитать запись: Курсы по Микротику

Зачем

Организация VPN-подключений может использоваться в различных сценариях:

1. Подключение удалённых клиентов к корпоративной сети (работа на дому, из командировок).
2. Объединение сегментов локальной сети двух офисов, находящихся на удалении.

Несмотря на великое множество различных протоколов и типов VPN, применительно к Mikrotik чаще всего используется связка L2TP + IPsec, т.к. для клиентов на основе Microsoft Windows не требуется установка дополнительного программного обеспечения (в отличие от OpenVPN, например), что существенно облегчает интеграцию пользователей, не обладающих высоким навыком работы на компьютере.

Итак, настраиваем сервер и клиент L2TP + IPsec.

Шаг 1. Диапазон адресов клиентов

Для того, чтобы избежать путаницы, выделим всех клиентов, подключаемых по VPN в отдельный пул адресов. Так проще будет настроить маршрутизацию и правила межсетевого экрана, при необходимости.

IP – Pool

Добавляем новый пул, назвав его как-нибудь примечательно, чтобы потом не затупить.

Шаг 2. Профиль для VPN-подключения

Следующим шагом создадим настройки профиля подключений по VPN.

PPP

Перейдём на вкладку Profiles и добавим новый профиль. Зададим имя для удобства. Не мудрствуя лукаво, я просто оставил L2TP. А также указал локальный и удалённый адреса из нашего пула (по счастливой случайности он так же называется L2TP).

Я также отметил возможность изменять максимальный размер сегмента TCP (опция Change TCP MSS). Есть подозрение, что это поможет избежать фрагментацию сегментов.

Шаг 3. Секреты

Под секретом в данном случае понимаются учётки VPN-юзеров. Заходим также в раздел PPP, на вкладку Secrets и под каждого пользователя создаём свой секрет.

В качестве сервиса выбираем l2tp, а в качестве профиля – созданный на шаге № 2 профиль PPP.

Создал одну учётку пока, для эксперимента. Если уж с ней получится, то и с другими по аналогии должно пойти на УРА.

Шаг 4. Запускаем сервер L2TP

Здесь просто убедимся, что у нас запущены соответствующие сервисы.  Заходим в L2TP Server и убеждаемся в наличии соответствующих настроек:

Здесь, кстати, важный нюанс – для шифрования будем использовать IPsec. Серьёзных уязвимостей протокол не имеет, поэтому этого нам будет достаточно. Нужно указать предварительный ключ – в примере на скрине это слово «ipsec». Можно придумать что-нибудь посекурнее, например «123» или «password» – каждый решает сам J

Шаг 5. Тюним IPsec

Важнячок: «из коробки» мой IPSEC глючил и не давал подключиться. Решение было такое: идём в IP – IPSEC и создаём новую группу в разделе Group. А потом на вкладке «Policies» добавить политику, указав нашу новую группу в качестве шаблона. Видимо какой-то глюк, но с ним многие сталкивались.

Шаг 6. Файрволл

На сетевом экране IP – Firewall необходимо открыть следующие порты (цепочка input – входящий): протокол udp, порты 500, 4500, 1701.

Можно уточнить правила, указав In. Interface, чтобы ожидать пакеты именно с внешнего интерфейса, а также указать конкретные Src. или Dst. адреса, но это уже будет зависеть от конкретной ситуации. Чем точнее описано правило, тем оно более “секурно”, но одновременно и менее гибкое.

Соответственно, если политика по умолчанию у вас accept – то делать ничего не надо. Если drop – скорректировать правила соответствующим образом. Настройка файрволла – тема очень интересная, заслуживает отдельной статьи.

Шаг 7. Настраиваем клиента Windows

VPN-сервер настроен! Самое время настроить клиента. Делать это мы будем из операционной системы Windows 7, хотя настройки в общем-то типовые. Дополнительный софт ставить не надо.

Открываем “Центр управления сетями и общим доступом” через “Панель управления” и нажимаем кнопку “Настройка нового подключения или сети”:

Тут нужно найти пункт, содержащий в сете три волшебные буквы “VPN”, а именно: “Подключение к рабочему месту”.

Предлагаются два варианта. Нам подходит первый – подключение через уже имеющееся Интернет-соединение. Условно говоря, поверх уже существующего канала создаётся шифрованный, прямиком “на работу”.

На следующем шаге указываем IP-адрес нашего VPN-сервера (в данном случае – внешний интерфейс Mikrotik) и даём подключению хорошо читаемое имя. Я укажу наш сайт )

И вот здесь пригодится имя пользователя и пароль, которые мы создавали на этапе “секреты”.

Если попытаться подключиться сейчас, то ничего хорошего не выйдет! Всё правильно, открываем свойства созданного VPN-подключения и идём на вкладку “Безопасность”.

Выбираем тип VPN: L2TP IPsec, а также нажимаем на кнопку “Дополнительные параметры” и вводим предварительный ключ (ipsec)

 И вот теперь уже подключение происходит сразу. Откроем окно состояния и видим, что криптозащита трафика включена, можно работать дальше.

Данную статью можно закончить! Оставайтесь с нами, рассмотрим и другие варианты подключений!

Написать отзыв

Ставил на днях последний дистрибутив Ubuntu 21.04 и понадобилось мне настроить подключение к VPN серверу по протоколу L2TP. Каково было моё удивление что такого столь популярного типа соединения не было в стандартной поставке. Это мы исправим. Давайте разбираться как происходит настройка L2TP в Ubuntu.

Настройки по умолчанию

В настройках по умолчанию в Ubuntu присутствует лишь OpenVPN и PPTP протоколы.

Про OpenVPN ничего плохого сказать не могу, хорошо что он есть «из коробки». А вот PPTP в принципе уже морально устарел. Не говоря уже о том что данный тип шифрования был взломан не однократно. В этом плане L2TP значительно надежнее, но почему-то в стандартную поставку его не добавили. Придется делать все самим.

Добавление клиента L2TP

Добавим клиент L2TP в Network Manager чтобы наравне с остальными протоколами была возможность добавить L2TP соединение.

 sudo apt-get install network-manager-l2tp  network-manager-l2tp-gnome 

После окончания установки перезагрузим компьютер. Также не забывайте сразу после установки новых пакетов ставить все последние обновления на систему.

 sudo reboot 

После перезагрузки заходим в Settings — Network и пробуем добавить VPN соединение

Из предложенного выбираем Layer 2 Tunneling Protocol (L2TP) и заполняем необходимые для подключения поля

Заполняем все необходимые поля. Необходимый минимум:

• Name — название соединения может быть любым
• Gateway — IP адрес сервера VPN либо его доменное имя
• User name — имя пользователя
• Password — пароль

Обычно для соединения по L2TP необходимо знать 4 вещи: адрес сервера, логин и пароль пользователя для подключения, и PSK ключ. Первые три параметра мы уже ввели. Теперь нажимаем кнопку IPsec Settings

В данном окне ставим галочку Enable IPsec tunnel to L2TP host и вводим Pre-shared key (PSK)

Сохраняем все настройки и пробуем подключиться. Если все работает, отлично. Когда есть проблемы с подключением, необходимо смотреть системный журнал Ubuntu и диагностировать проблемы на стороне сервера VPN. Настройка L2TP в Ubuntu возможна и из консоли, но рассмотренный вариант прост и удобен.

Видео к статье:

Хотите отблагодарить автора статьи? Это даст ему дополнительный стимул к написанию новых статей.

Поделиться:

В этой статье мы покажем, как сделать настройку L2TP Server с IPSec на MikroTik. Постараемся детально описать все нюансы и тонкости конфигурирования.

На сегодняшний день есть множество способов организовать VPN, но на мой взгляд L2TP является оптимальным выбором, так как данный протокол существует во всех ОС и имеет ряд преимуществ о которых мы поговорим ниже.

Настройка L2TP MikroTik для многих может оказаться не такой уж и простой задачей. Давайте разберемся на практике, так ли это сложно?

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Протокол L2TP не предоставляет механизмов шифрования, поэтому рассмотрим связку L2TP IPSec для подключения удаленных устройств к корпоративной сети. Узнаем как выполнить настройку туннеля L2TP IPSec между MikroTik, что позволит объединить офисы по данной технологии.

L2TP — это туннельный протокол служащий для организации виртуальных частных сетей, объединивший в себе лучшие функции протоколов PPTP (Microsoft) и L2F (Cisco).

IPSec – это набор протоколов служащий для шифрования, аутентификации и обеспечения защиты при отправке IP-пакетов. Основное применение нашел при организации VPN-соединений.

Содержание

Mikrotik. Настройка L2TP Server

Рассмотрим детальную настройку двух видов туннелей L2TP + IPSec:

• Client-to-site – туннельное соединение, при котором конкретное устройство (ноутбук, домашний ПК) подключается к маршрутизатору. Примером может служить ситуация, когда сотрудник компании из дома подключается к сети организации и получает доступ к сетевым ресурсам;

• Site-to-Site – туннельное соединение, между роутерами Mikrotik.

Настройка туннеля L2TP + IPSec на Mikrotik (site-to-site). Объединяем два офиса

Попробуем объединить два офиса фирмы в одну виртуальную частную сеть (VPN) используя туннельный протокол L2TP в связке с IPSec на оборудовании Mikrotik.

Схема подключения:

Из схемы мы видим, что Mikrotik в главном офисе (GW1), будет настроен на роль L2TP Server + IPSec, со следующими настройками:

• Внешний IP (WAN): 111.111.111.111;
• IP-адрес VPN Server: 192.168.77.1;
• Адрес в LAN сети: 192.168.13.254.

MIkrotik в филиале (GW2) будет являться VPN-клиентом с настройками:

• Внешний IP (WAN): 222.222.222.222;
• IP-адрес VPN Client: 192.168.77.10;
• Адрес в LAN сети: 192.168.12.254.

Приступаем к настройке.

Настройка Mikrotik L2TP Server. Главный офис

Создаем профиль подключения

У Mikrotik в меню PPP есть два профиля по умолчанию, которые используются для PPP соединений. Рекомендуется не изменять профили по умолчанию, а создать и использовать под свою задачу новый.

Создадим профиль для подключения, в котором укажем имя для соединения, назначим статические IP-адреса для L2TP сервера и клиента. Отроем Winbox, перейдя:

• PPP => Profiles => “+”.

В окне New PPP Profiles, открыв, вкладку “General” укажем информацию:

• Name: l2tp-site-to-site;
• Local Address: 192.168.77.1;
• Remote Address: 192.168.77.10.

Рекомендуем для туннеля вида Site-to-Site назначить статические IP.

Мы указали:

• произвольное имя для профиля(Name);
• присвоили IP для L2TP-Сервера (Local Address);
• IP-Адрес L2TP-Клиента (Remote Address).

Настраиваем Secret

На вкладке «Secrets» мы настраиваем имя, пароль и профиль подключения для L2TP-Клиента. Для этого выполним действия:

• Secrets => “+”;
• Name: office;
• Password: qwas1234;
• Profile: из выпадающего списка выбираем ранее созданный профиль (l2tp-site-to-site).

Рекомендуем придумывать сложные пароли. Минимум 12 символов разного регистра с использованием спец. символов.

Включаем L2TP Server и IPSec

Следующим шагом включим L2TP Server на Mikrotik указав профиль, метод аутентификации и ключ шифрования для IPSec. Выберем пункт меню Interface, настроим как показано на рисунке ниже:

Не забываем придумывать сложные пароли.

Создаем интерфейс

Создадим статический интерфейс L2TP Server Binding. Это позволит избежать проблемы с маршрутизацией между сетями, которые могут возникнуть при разрыве соединения.

Заполним открывшееся окно New interface. Вкладка «General»:

Где:

• Name – это произвольное имя интерфейса;
• User – имя пользователя, которое мы назначили на вкладке Secrets.

Настройка firewall

Добавим правила в наш файрвол, тем самым разрешая трафик для L2TP, два правила для IPSec и протокол Ipsec-esp:

• IP => Firewall => Filter Rules => “+”.

Добавим разрешающее правило для L2TP, который работает на 1701(UDP) порту:

После нажмем правой кнопкой мыши на созданное правило и добавим комментарий, нажав строку Comment из меню:

Добавим правило для UDP портов 4500, 500:

Добавим комментарий для этого правила, как показано выше.

Разрешим протокол IPsec-esp:

Очень важен порядок расположения правил. Ваш firewall после настроек должен выглядеть примерно следующим образом:

Для более глубокого понимания работы брандмауэра рекомендуем ознакомиться со статьей MikroTik настройка firewall.

На этом настройка L2TP Server Mikrotik закончена, перейдем к настройке клиентской части (филиала).

Настройка филиала (L2TP Client)

Выполним настройку L2TP клиента. Для этого необходимо на роутере Mikrotik добавить интерфейс с настройками подключения к главному филиалу указав его IP-адрес, идентичные значения IPSec и аутентификации.

Создадим свой профиль для подключения:

• PPP => Profiles => “+”.

На вкладке «General» укажем имя профиля:

Далее откроем вкладку «Protocols», установим обязательное шифрование:

• Use Encryption: Yes;
• OK.

Добавляем L2TP Client:

• Interface => “+”;
• L2TP Client.

Вкладка «General»:

• Укажем имя интерфейса.

Вкладка «Dial Out»:

• Connect To – указываем IP-адрес главного филиала (WAN);
• User – имя пользователя, созданное в разделе Secrets;
• Password – пароль учетной записи;
• Profile – профиль подключения созданный в предыдущем шаге;
• Устанавливаем галочку на пункте Use IPSec, активируя набор протоколов шифрования;
• IPsec Secret – вводим ключ шифрования IPSec как на сервере;
• В разделе Allow оставляем метод аутентификации mschap2.

Ждем некоторое время. Если мы все сделали правильно, то увидим букву “R” слева от имени подключения:

Статус туннеля можем посмотреть, зайдя в настройки интерфейса:

Здесь мы видим дату и время, когда туннель поднялся (Last Link Up Time), количество разрывов соединения (Link Downs), время жизни соединения (Uptime), метод шифрования (Encoding) и другие параметры.

Осталось настроить маршрутизацию между подсетями.

Настройка маршрутизации межу офисами

Пропишем маршруты на обоих роутерах Mikrotik. Так подсети увидят друг друга.

Для начала зайдем на роутер главного офиса (GW1), выполним следующие действия:

• IP => Routes => “+”.

Укажем удаленную подсеть и шлюз, который будет обрабатывать запросы:

Где:

• Dst. Address – Адрес удаленной подсети (филиал);
• Gateway – шлюз (созданный интерфейс в предыдущем шаге), который будет обрабатывать запросы с сети филиала.

Затем зайдем на Mikrotik филиала (GW2), добавим маршрут:

• IP => Routes => “+”.

Укажем подсеть главного офиса и назначим Gateway:

Где:

• Dst. Address – адрес удаленной подсети (главный офис);
• Gateway – шлюз (созданный интерфейс), который будет обрабатывать запросы с сети главного офиса.

Теперь филиалы видят друг друга. На этом настройка L2TP + IPSec между роутерами Mikrotik (Site-to-site), закончена.

Настройка L2TP Server + IPSec на Mikrotik (client-to-site)

Рассмотрим вариант подключения к L2TP Server удаленных сотрудников (client-to-site). На практике данный способ применяется, когда работник компании уехал в командировку и ему надо иметь доступ к внутренним ресурсам локальной сети фирмы. Таким образом, сотрудник со своего ноутбука устанавливает VPN соединение по которому получает доступ к локальным ресурсам сети.

Схема:

Создаем пул адресов

Первым шагом назначим пул адресов, которые побудут получать клиенты, подключаемые по VPN:

• IP => Pool => “+”.

В окне “New IP Pool” укажем название пула и диапазон адресов:

Профиль подключения

Дальше создадим свой профиль для L2TP соединений:

• PPP => Profiles => “+”.

Выполним настройку профиля следующим образом:

Где:

• Name – произвольное имя профиля;
• Local Address – назначим адрес L2TP Серверу;
• Pool-адресов, из которого будут назначаться IP подключаемым пользователям (Remote Address);
• Change TCP MSS: yes –изменять максимально возможный размер сегмента TCP. Текущая настройка немного повысит устойчивость соединения.
• Use UpnP: no – отключим использование службы UPnP.

Вкладка “Protocols”:

• Use MPLS: no – отключим многопротокольную коммутацию по меткам;
• Требовать шифрование.

На вкладке “Limits” ограничим подключение единственным соединением:

Создание пользователя

На вкладке “Secrets” укажем настройки имени пользователя, пароль и профиль для подключения:

Где:

• Name – произвольное имя пользователя. Желательно создавать интуитивно понятные имена;
• Password – пароль пользователя. Желательно использовать сложные пароли;
• Profiles – ранее созданный профиль для подключения.

Включаем L2TP Server

Осталось активировать L2TP Server на Mikrotik, выбрать метод аутентификации, задать профиль по умолчанию, включить IPSec и установить для него ключ шифрования:

• Interface => L2TP Server.

• Поставим галочку у пункта “Enabled”;
• Default Profile – укажем ранее созданный профиль, который будет использоваться по умолчанию для подключений.
• Оставим метод аутентификации mschap2;
•  Use IPsec: yes – включаем использование IPSec;
• IPsec Secret – придумаем и установим ключ шифрования для IPSec.
• OK.

Настройка подключения на стороне клиента

На компьютере или ноутбуке сотрудника настроим VPN-соединение до L2TP Сервера. Приведу пример, как это можно сделать на ОС Windows 10.

Откроем “Центр управления сетями…”, затем создадим подключение, как показано на рисунке ниже:

Следующим шагом выберем вариант подключения:

Выполним подключение через Интернет с помощью VPN:

Следующим шагом введем внешний адрес (WAN) роутера Mikrotik и произвольное имя для соединения:

В нашем примере маршрутизатору Mikrotik назначен внешний IP 111.111.111.111, у вас это будет свой адрес.

Продолжим настройку VPN соединения:

Откроем свойства созданного соединения:

Перейдем на вкладку “Безопасность”, выполнив настройку как показано на рисунке ниже:

Откроем дополнительные параметры (5 шаг на рисунке) и укажем ключ IPSec, который мы указали ранее в настройках L2TP Server, параметром IPsec Secret:

Далее откроем вкладку “Сеть”, уберем галочку с протокола TCP/IPv6 и откроем свойства протокола TCP/IPv4:

Нажмем кнопку “Дополнительно” и запретим использовать основной шлюз в удаленной сети, сняв галочку с соответствующего пункта:

Важно! Игнорируя текущий пункт настройки, после установки VPN соединение пропадет интернет.

Подключаем созданное VPN-соединение:

Настройка маршрутизации L2TP-клиента

Подключение установилось. Следующим шагом укажем постоянный статический маршрут прописав шлюз для удаленной подсети.

Откроем командную строку с правами администратора и выполним команду:

route add 192.168.13.0 mask 255.255.255.0 10.10.10.1 if 49 /p

Где:

• 192.168.13.0 – локальная подсеть организации;
• 255.255.255.0 – маска этой подсети;
• 10.10.10.1 – шлюз (адрес устройства Mikrotik, который мы задавали в настройках профиля);
• 49 – номер созданного VPN интерфейса (можно узнать командой route print);
• /p – параметр, указывающий на то, что сделать маршрут постоянным. Иначе после перезагрузки данный маршрут удалится.

Пример, как можно посмотреть номер интерфейса:

На этом настройка L2TP Server + IPSec на Mikrotik закончена. Надеюсь, данная статья была для вас полезной.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.