Пошаговая инструкция: как настроить VPN через L2tp MikroTik?

Реальность меняется, теперь работать в офисе – совершенно не обязательно. Работу можно выполнять из дома или из любой точки мира. Вместе с тем, встает вопрос подключения к рабочему компьютеру удаленно. При этом важно, чтобы передача данных была стабильной. Сегодня мы поговорим о подключении удаленной сети при помощи оборудования L2tp Mikrotik.

Многофункциональный роутер «Микротик» подходит для частного использования и для бизнеса.

Для крупных фирм, в которых сотрудники работают удаленно, самой популярной опцией в роутере служит объединение нескольких компьютеров в одну локальную сеть. Количество возможных удаленных офисов, которое поддерживает RouterOS, будет зависеть от модификации прошивки:

• 4 lvl – 200;
• 5 lvl – 500;
• 6 lvl – без ограничений.

Варианты VPN сервера в “Микротике”

Существует 2 способа реализации ВПН при помощи «Микротика». Отличие их в том, что в первом случае вы настраиваете подключение NPN между абонентами и Mikrotik, а во втором – два отдельных прибора.

Самый легкий и быстрый способ объединения двух Mikrotik IpSec VPN состоит в создании туннеля «site-to-site». Такой вид объединения часто используется для передачи данных между офисами по VPN-access. Это делается с применением EOIP Tunnel. Если вы решите не шифровать передаваемые данные, то соединение будет работать максимально быстро. Для настройки вам понадобятся два «белых» IP на каждом маршрутизаторе.

Соединение «Клиент — сервер» через Mikrotik (L2tp, SSTP, PPTP) гораздо удобнее, ведь с его помощью можно подключать к удаленному серверу через VPN не только несколько офисов, но и отдельных удаленных сотрудников. При этом достаточно иметь только один «белый» IP.

Как настроить домашнюю сеть через Интернет

Сейчас одним из самых простых и популярных типов подключения VPN-access служит L2tp. Его востребованность обоснована тем, что L2tp-клиент уже встроен в ОС Windows 10.

Для того, чтобы управлять рабочей сетью, находясь в командировке, отпуске или на удаленке — ваш маршрутизатор должен иметь реальный IP. Что это значит?

Что такое реальный IP?

Когда вы подключаетесь к Интернету, ваш компьютер (маршрутизатор) автоматически получает IP-адрес, при помощи которого происходит взаимодействие с сетью. Адрес может быть назначен как локальной сетью, так и вашим провайдером. При назначении адреса сетью — ваше оборудование будет скрыто от общего доступа. Если IP назначается провайдером, то компьютер или маршрутизатор становятся доступными через Интернет.

Что делать, если нет реального IP, но нужен доступ к локальной сети?

Как произвести настройку

Эту проблему просто решить при помощи маршрутизатора. Рассмотрим несколько вариантов построения ВПН-туннеля – для тех, кто никогда не работал с RouterOS и тех, кто уже имеет базовые знания по настройке.

Вариант настройки №1: для новичков

Маршрутизатор, в данном случае – VPN-клиент, а в качестве главного сервера используем рабочий сервер, которому присвоен реальный IP.

Далее объясняем, как настраивается маршрутизация на практике:

1. Открываем поле меню PPP – Interface нажимаем «+» (добавить) и кликаем на L2tp Client.

https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_1.png

2. Затем перед вами откроется окно, на вкладке General которого вы должны прописать название, например, «Удаленная работа». Затем кликаем на Dial Out и приступаем к настройке ключевых параметров соединения сервера:

• Connect to: IP реальный (например, 192.168.5.1).
• USER: ваше имя.
• Password: пароль.

Для обеспечения надежной защиты данных возможно поднять VPN с помощью L2tp IpSec VPN. Скорость работы будет ограничена параметрами Mikrotik. Если в ходе работы не нужно передавать большие объемы информации, то возможно приобрести недорогое оборудование одной из предыдущих модификаций, без аппаратной поддержки IpSec. Без этой опции вы сможете передавать 200-300 Мб по L2tp IpSec server.

3. Если соединение начнет «подвисать», то берите более новую модель, уже с поддержкой. В этом случае, вам подойдут модели CRR серии.

Важно! L2tp IpSec VPN корректно работает только, если вы используете оборудование Mikrotik. В противном случае, шифрование данных лучше отключить!

https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_2.png

https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_3.png

С настройкой VPN-клиента мы справились. Теперь приступаем к настройке VPN-сервера: его функцию будет выполнять маршрутизатор Mikrotik L2tp.

4. Открываем вкладку PPP – Interface, затем кликаем на L2tp Server и ставим отметку в поле Enable. Добавляем шифрование, как описано ранее, нажимаем «Принять» (Yes), вводим пароль в поле IPsec Secret. Сохраняем внесенные данные.

https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_4.png

5. Мы подключили сервер. Теперь добавляем пользователя. Вписываем логин и пароль, которые мы уже прописывали со стороны клиента.
6. Кликаем в Secrets, затем «+» (добавить) и добавляем данные, и выбираем ВПН-туннель.

https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_5.png

Основная настройка VPN клиента завершена. Теперь вы можете открыть с удаленного ноутбука Winbox и подключиться к рабочему компьютеру или маршрутизатору.

Winbox – программное обеспечение, с интуитивно понятным интерфейсом, которое поможет управлять настройками Mikrotik.

Метод подключения пригодится тем, кто хочет работать удаленно, при этом имеет стабильное Интернет-соединение и реальный IP. Если получить его невозможно, то стоит воспользоваться платными сервисами, обеспечивающими DDNS. Бесплатные – нестабильные в работе и могут подвести вас в важный момент «отвалившись».

Но для этого компания, которая производит оборудование Mikrotik VPN, разработала собственный облачный сервис, который предоставляет услуги DDNS.

Вариант настройки №2: для опытных пользователей

1. Кликаем на «Быстрые настройки» (Quick Set), в появившемся окне активизируем VPN.

https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_6.png

2. Единственное, что останется сделать – придумать пароль. Лучше воспользоваться генератором паролей, чтобы избежать взлома. Запишите пароль, чтобы не забыть его!

https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_7.png

*********.sn.mynetname.net – это внешний адрес вашей рабочей сети. «*» – цифры номера вашего маршрутизатора.

3. По завершении всех настроек мы можем переходить к подключению себя, как клиента сети.

VPN-подключение к сети при помощи встроенного клиента MS Windows

4. Открываем «Панель управления» Windows из компонентов «Пуск». Кликаем на «Центр управления сетями и общим доступом». Кликаем «Настройка нового подключения – Подключение к рабочему месту – Подключение к VPN».

https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_8.png

https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_10.png

https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_9.png

5. Затем в поле «Интернет-адрес» вносим IP VPN и прописываем «Имя местоназначения».

https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_11.png

6. Вводим пароль и имя, которое мы придумали в предыдущих шагах. Нажимаем «Подключить».

https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_12.png

С помощью чего выполнить шифрование

Шифровать поток данных, направленных через Mikrotik, возможно через Proton VPN. Также можно скачать бесплатную версию программы. В полной платной версии Proton VPN будут доступны такие функции, как

• безлимитный трафик;
• шифрование и передача ключей;
• защита информации DNS;
• Always-on VPN и Killswitch;
• поддержка сетей Top, поддержка p2p и т.д.

Для передачи данных от Mikrotik, Proton VPN использует особую систему шифрования:

Так решается проблема отслеживания IP пользователя. Технология в чем-то схожа с Double или TrippleVPN.

У программы Proton VPN есть три версии: Visionary, Plus, Basic, которые различаются по стоимости, но все совместимы с Mikrotik.

Создание ВПН через командную строку

Как поднять подключение при помощи командной строки? Для кого-то способ может быть более понятным.

Создаем пул IP

Для создания вам понадобится «серая» подсеть и IP-адреса для подключения.

Применяем команду:

ip pool add name=<название> ranges=<IP-адреса>

Диапазон адресов, для ускорения процесса, можно прописать через дефис в формате:

/ip pool add name=vpn-pool ranges=172.24.0.*-172.24.0.***

Начиная от первого и заканчивая последним.

Создание PPP-профиля

PPP-профиль используется для привязки пула IP к VPN-серверу.

Применяем команду:

/ppp profile add name=vpn-profile local-address=172.24.0.254 remote-address=vpn-pool use-mpls=no use-compression=yes use-encryption=yes only-one=no

где:

• name=vpn-profile – имя профиля;
• local-address=***.**.*.*** – адрес сервера;
• remote-address=vpn-pool – какой пул будет отдавать адреса для пользователей;
• use-mpls=no – запрет на использование MPLS:
• use-compression=yes – «поджимаем» трафик;
• use-encryption=yes – при надобности запускаем шифрование данных;
• only-one=no – подключение сразу нескольких пользователей к серверу (пользователь не один).

Настройка NAT

Теперь нам нужно разрешить вход клиентам в сеть. Настраиваем VPN за провайдерским NAT.

Применяем команду:

/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Как создать пользователя

Пользователь создается командой:

/ppp secret add name=<логин> password=<пароль> service=<тип сервера>

Параметр «service» обозначает, к каким сервисам у пользователя будет доступ.

Создаем нового пользователя:

/ppp secret add name=vpn-user password=vpn-password service=any

Затем приступаем к генерации сертификатов.

Генерируем сертификаты

Нам понадобятся два сертификата: Certification authority и server.

Применяем команду:

/certificate add name=ca-template common-name=”MikroTik” days-valid=3650 key-usage=crl-sign,key-cert-sign

/certificate sign ca-template ca-crl-host=185.X.X.83 name=”MikroTik”

где параметр «ca-crl-host» – IP или домен.

Далее создаем сертификат «server»:

/certificate add name=server-template common-name=185.X.X.83 days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server

/certificate sign server-template ca=”MikroTik” name=”server@MikroTik”

Подключаемся к IP, а не к домену.

Экспортируем CA:

/certificate export-certificate “MikroTik” export-passphrase=””

Настройка VPN под L2tp/IPsec Mikrotik

Алгоритм шифрования протокола сейчас практически не имеет багов. Значит шифрование при помощи AES будет безопасным.

Применяем команду:

/interface l2tp-server server set enabled=yes default-profile=vpn-profile authentication=mschap2 use-ipsec=required ipsec-secret=super-secret

Ipsec-secret – общий ключ, поэтому в настройках клиента нужно выбрать аутентификацию при помощи общего ключа.

https://selectel.ru/blog/wp-content/uploads/2020/10/2_L2TP-IPsec_1-1525×1356.jpg

Заключение

Мы надеемся, что наша инструкция поможет вам в работе и расширит возможности компании. Больше интересной и полезной информации вы можете найти в нашем блоге.