Настрока L2TP/IPsec сервера на роутере MikroTik.

Настрока L2TP/IPsec сервера на роутере MikroTik.

В данном примере показано как легко можно настроить сервер L2TP/IPsec на маршрутизаторе Mikrotik с конфигурацией по умолчанию (RouterOS 6.16 или поздней) в интерфейсе winbox для соединений типа roadwarrior (который работает с Windows, Android и iPhone).
Первый шаг — включить L2TP-сервер:
Заходим в раздел PPP > Interface , сверху жмем по кнопке L2TP Server, откроется окно настройки сервера:

Отмечаем галочку Enabled, в поле Default Profile выбираем “default”, в поле “Use IPsec” выбираем “required”. В поле IPsec Secret прописываем свой уникальный пароль, который будет необходим для всех подключенных VPN клиентов, остальное оставляем по умолчанию. Жмем OK, закрываем все окна.

Следующий шаг – выделить диапазон адресов и шлюз для подключенных VPN клиентов, а также создание профилей подключения для отдельных пользователей. Важно – диапазон адресов не должен пересекаться с диапазонами других сервисов на устройстве во избежании конфликтов (например DHCP).
Заходим в раздел IP > Pool , в появившемся окне жмем по синему плюсу – появится новое окошко.

В поле “Name” даем любое название нашему диапазону адресов для, в поле “Adresses” указываем сам диапазон (Не забываем оставить один адрес в диапазоне под шлюз). Жмем OK, закрываем все окна.

Теперь открываем раздел PPP, заходим во вкладку Profiles, двойным нажатием в списке жмем по default. В открывшемся окне в поле “Local Address” справа жмем на черную стрелочку вниз и прописываем оставленный ранее адрес шлюза. В поле “Remote Address” из списка выбираем название ранее созданного нами диапазона. Жмем ок.

В этом же окне заходим в раздел “Secrets”, жмем на синий плюс, появится окно создания профиля пользователей.

Здесь в поле “Name” прописываем имя пользователя клиента, который будет подключатся по VPN соединению, в поле “Password” соответственно пишется пароль для данного пользователя. Жмем ок, повторяем так для каждого нам необходимого пользователя, закрываем все окна.

Последний шаг – убедится что на маршрутизаторе открыты необходимые порты для принятия соединений IPsec. Заходим в раздел IP > Firewall. Во вкладке “Filter Rules” жмем на синий плюс, появится новое окно.

В новом окне меняем настройки как показано на картинке (в поле “Dst. Port” числа указываются через запятую), жмем ок.

Повторяем предыдущее действие, только в этот раз со следующими настройками, жмем ок.

В окне “Firewall” в разделе “Filter Rules” в самом конце списка теперь должно появится два новых пункта – их необходимо мышкой передвинуть в самый вверх списка под первым пунктом.

Все готово! Маршрутизатор готов к подключению L2TP/IPsec VPN клиентов используя ранее введенные IPsec secret и данные профиля пользователя.

Полезные ссылки:
1.  Описание и примеры конфигураций L2TP сетей для различных условий их использования (англ.)
2. Подробная теория и описание всех настроек связанных с протоколом IPsec, а также примеры к их применению на практике, описание возможностей и поддержки устройств данного протокола и ответы на часто задаваемые вопросы (англ.)