Настройка L2TP Клиента на MikroTik
Сегодня сделаем настройку L2TP Client на MikroTik, это продолжение предыдущей статьи в которой мы рассмотрели базовую конфигурацию серверной части L2TP. Подготовили профиль, включили сервер и настроили фаервол. Нам осталось создать пользователя и подключить клиентскую часть. Также немного разберем вопросы безопасности и защитим нашу VPN сеть от ненужных товарищей. Но обо всем этом по порядку.
Конфигурирование
Используем лабораторный стенд с Mikrotik CHR версии 6.46.2 на борту. Мы находимся справа внизу в офисе SPB (Office-SPB). Вводные данные:
- Office-SPB клиент;
- Office-Moscow сервер;
- NetworkCore выполняет роль провайдера, он будет заниматься обычной маршрутизацией;
- Office-Moscow ether1 смотрит в интернет 172.16.10.2/24;
- Office-SPB ether1 смотрит в интернет 172.16.11.2/24;
- Office-Moscow имеет bridge “General-Bridge” в локальной сети 192.168.11.1/24;
- Office-SPB имеет bridge “General-Bridge” в локальной сети 192.168.10.1/24;
- IP ПК в локальной сети Office-Moscow 192.168.11.2;
- IP ПК в локальной сети Office-SPB 192.168.10.2;
- Адресация в VPN сети 172.16.25.0/24.
Тестирование связи
На нашем стенде, как вы заметили, я использую статические частные (серые) IP адреса. В действительности необходим хотя бы один публичный (белый) IP адрес. Он должен быть на том оборудовании, которое выполняет роль сервера. Самым лучшим решением – это использование публичных адресов со всех устройств которые будут подключаться к VPN. Цена в таком решении — это абонентская плата, а результат – улучшенная безопасность на нескольких уровнях. Проверим связь между устройствами. Отправляю ping-запросы между 172.16.10.2 и 172.16.11.2 с московского роутера.
Ping-и идут стабильно, можно идти дальше.
Создание пользователя
Не отключаясь от роутера Office-Moscow создадим пользователя. Переходим в PPP – Secrets.
Задаем следующие параметры:
- Name – SPB-Office — Имя учетной записи;
- Password – passwordspb – пароль;
- Service – l2tp – сервис, который разрешен данной учетной записи;
- Profile – L2TP-Server-General – созданный ранее профиль сервера.
Сохраняем и проверяем результат.
Создание клиентского интерфейса
Подключаемся к клиентскому Mikrotik Office-SPB. Создаем интерфейс в PPP – Interface. 
Указываем параметр Name на вкладке General. Я обычно указываю направление, в которое будет подключаться роутер.
Задавайте понятные имена интерфейсов на английском языке, чтобы вам было все ясно при диагностики неисправностей.
На вкладке Dial Out указываем:
- Connect To – 172.16.10.2 – IP или DNS имя сервера Mikrotik;
- User — SPB-Office – созданный на прошлом шаге пользователь;
- Password – passwordspb – пароль от учетной записи;
- Allow – mschap2 – протокол аутентификации.
Жмем Apply и смотрим на статус в правом нижнем углу, он должен быть connected.
Это символизирует об успешном подключении. Открываем вкладку Status. Взглянем на состояние.
Мы видим, что наш клиент подключился последний раз 25 января 2020 года в 15:11:18, ни одного разрыва с момента подключения, шифрование MPPE 128, адрес клиента в туннеле 172.16.25.10 и шлюза 172.16.25.1. Если ваш провайдер блокирует L2TP без IPSEC, то у вас либо не поднимется соединение, либо будет расти счетчик Link Downs. Так же стоит проверить, создался ли сам интерфейс. 
Проверка соединения
Перейдем к проверке связи. Будем тестировать ping-запросами. Отправим их внутри туннеля.
Убедившись, что запросы по направлению друг к другу отрабатывают корректно, займемся настройкой безопасности.
Настройка firewall
Вы можете пропустить данный пункт если ваш роутер, который выполняет роль клиента имеет динамический IP.
Брутфорс – зло! Но нас не проведешь. В предыдущей статье мы сделали базовую настройку фаервола сервера. Мы знаем, что клиент будет подключаться с 172.16.11.2. Проведем не большие изменения для увеличения безопасности подключения. Подключаемся на московский роутер и открываем ранее созданное правило фаервола для порта UDP 1701. 
Данное правило можно читать следующим образом: если новое соединение с 172.16.11.2 на 172.16.10.2 на сокет UDP:1701 – разрешить. Все устоявшиеся соединения будут жить, т.к. уже есть второе разрешающее правило ниже. Идем дальше PPP – Secrets. Открываем пользователя SPB-Office и указываем адрес в Caller ID, с которого он будет подключаться. 
Читаем правильно – пользователь SPB-Office, с паролем passwordspb, с адреса 172.16.11.2 к сервису L2TP – назначить параметры, указанные в профиле. Подключиться не удастся если хотя бы одно условие не выполнится. На этом все, настройка и подключение l2pt клиента завершено, теперь у нас есть стабильный канал связи. В следующий статье мы прикрутить ко всему этому IPSec для еще большей безопасности.
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.
Настройка L2TP Сервера на Mikrotik
Добрый день коллеги. Сегодня я покажу на деле как настроить L2TP Server на оборудовании Mikrotik. Конфигурация будет простая, без наворотов типа IPSEC. Но не стоит этим пренебрегать, т.к. стандартное шифрование весьма слабое и строить линки site-to-site без IPSEC я бы не рекомендовал.
Немного о протоколе L2TP
L2TP – протокол туннелирования второго уровня. Используется для поддержки виртуальных частных сетей. Отличительной особенностью, является, возможность работы не только в IP сетях, но и в ATM, X.25 и Frame Relay. Клиент-серверный протокол, всегда есть клиент и сервер. Использует на транспортном уровне UDP порт 1701 – большой плюс для трафика, которому не нужно подтверждение каждого пакета (IP телефония, видеонаблюдение), а значит работает быстрее. Но и в этом его минус, шифрование пакетов алгоритмом MPPE 128bit RC4 никого не напугаешь.
Конфигурирование
Используем наш уже знакомый лабораторный стенд с Mikrotik CHR версии 6.46.2 на борту. Мы находимся справа внизу в офисе SPB (Office-SPB).
- Office-SPB клиент;
- Office-Moscow сервер;
- NetworkCore выполняет роль провайдера, он будет заниматься обычной маршрутизацией;
- Office-Moscow ether1 смотрит в интернет 172.16.10.2/24;
- Office-SPB ether1 смотрит в интернет 172.16.11.2/24;
- Office-Moscow имеет bridge “General-Bridge” в локальной сети 192.168.11.1/24;
- Office-SPB имеет bridge “General-Bridge” в локальной сети 192.168.10.1/24;
- IP ПК в локальной сети Office-Moscow 192.168.11.2;
- IP ПК в локальной сети Office-SPB 192.168.10.2;
- Адресация в VPN сети 172.16.25.0/24.
Создание IP пула
На оборудовании Mikrotik есть нюанс с клиент серверными протоколами VPN – соединение не установится до тех пор, пока мы не назначим IP адреса с обоих сторон. Поэтому создадим пул для VPN клиентов. Подключаемся к московскому роутеру и открываем IP-Pool.
Добавляем пул, задаем имя и адреса.
Next Pool указывать не будем. Так же отмечу, что используем мы в VPN /32 маску подсети.
CLI:
/ip pool add name=L2TP-Clients ranges=172.16.25.2-172.16.25.10
Создание профиля подключения
Переходим к созданию профиля L2TP для нашего сервера. Создаем его в PPP – Profiles.
Создаем профайл. Указываем:
- Имя профиля;
- Local Address – следует указать статический адрес внутри VPN, в нашем случае 172.16.25.1;
- Remote Address – созданный на предыдущем шаге пул из выпадающего списка;
- Change TCP MSS – No;
- Use UPnP – No.
Переходим на вкладку Protocols, ставим значения:
Переходим в Limits, выставляем значение Only One в No.
Сохраняем и смотрим на результат.
CLI:
/ppp profile add change-tcp-mss=no local-address=172.16.25.1 name=L2TP-Server-General only-one=no remote-address=L2TP-Clients use-compression=yes use-encryption=yes use-mpls=no use-upnp=no
Включение L2TP сервера
Будем ориентироваться на повышение безопасности аутентификации и отключим старые протоколы. Если у вас есть устройства не поддерживающие современные протоколы аутентификации, то не забудьте включить их обратно. Переходим в PPP – Interface – L2TP Server.
Выставляем следующее параметры:
- Enable – ставим галочку;
- Default Profile – L2TP-Server-General;
- mschapv1, chap, pap – снимаем галочки;
- Use IPsec – ничего не ставим, т.к. мы не будем использовать IPSEC.
Сохраняем и переходим далее.
CLI:
/interface l2tp-server server set authentication=mschap2 default-profile=L2TP-Server-General enabled=yes
Настройка firewall
Необходимо создать разрешающее правило входящего трафика L2TP на нашем mikrotik в firewall для UDP порта 1701. Приступим к реализации. IP – Firewall – Filter создаем новое правило.
В General нас интересует:
- Chain – input;
- Protocol – UDP;
- Dst. Port – 1701;
- Connection State – New.
На вкладке Action нас интересует accept.
Сохраняем.
/ip firewall filter
add action=accept chain=input connection-state=new dst-port=1701 protocol=udp
add action=accept chain=input connection-state=established,related
На самом деле, данное правило будет работать только для новых пакетов пришедших на роутер, для остальных пакетов – нет, а значит сессия не оживет. Чтобы сессии жили и им было хорошо нужно еще одно правило, которое разрешает все устоявшиеся входящие соединения. Создаем еще одно правило.
- Chain – input;
- Connection State – established, related;
- Action – accept.
На этом, пожалуй, все. Настройка сервера L2TP завершена.
Несколько слов про блокировку L2TP – из практики, есть такие товарищи — провайдеры, которые блокируют L2TP. Допустим Билайн в некоторых регионах уже начал блокировать весь L2TP без IPSEC. Обращайте на это внимание, если вы сделали все правильно, но соединение не проходит, значит дело в провайдере.
Далее мы рассмотрим настройку L2TP-клиента и конечно же всеми любимый IPSEC.
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.