03.02.

2021 MikroTik Wiki | Настройка L2TP и L2TP/IPSec client-to-site

VPN:L2TP и L2TP/IPsec client-to-site (удаленное

подключение с мобильных устройств)

Содержание
Схема сети
Настройка
Настройка маршрутизатора
Через графический интерфейс
Через консоль
Настройка маршрутизации
Следует учесть
Проверка
Типичные проблемы
Полезные статьи

В статье разбирается настройка L2TP- и L2TP/IPSec-туннеля на оборудовании MikroTik с целью подключения

рабочего места сотрудника (client-to-site VPN). После создания VPN-канала между сетями будет работать
маршрутизация и будет выполнена проверка работоспособности. Также будут разобраны типичные проблемы,
которые могут возникнуть в процессе настройки и проверки.

Схема сети

В головном офисе установлен маршрутизатор GW1. Он же будет настроен в качестве VPN-сервера. В этом же офисе
работает сервер DC1, который является контроллером домена и параллельно выполняет функции DNS и WINS-
сервера. К головному офису будет подключаться компьютер, который будет настроен как VPN-клиент.

https://mikrotik.wiki/wiki/VPN:L2TP_и_L2TP/IPsec_client-to-site_(удаленное_подключение_с_мобильных_устройств) 1/7
03.02.2021 MikroTik Wiki | Настройка L2TP и L2TP/IPSec client-to-site

Головной офис
IP-адрес внешней сети головного офиса: 10.1.100.0/24
IP-адрес внешнего интерфейса маршрутизатора GW1: 10.1.100.1/24

IP-адрес внутренней сети головного офиса: 192.168.15.0/24

IP-адрес внутреннего интерфейса маршрутизатора GW2: 192.168.15.1/24
IP-адрес сервера DC1: 192.168.15.10/24

Удаленный компьютер
IP-адрес удаленного компьютера: 10.1.200.1/24

VPN-канал
IP-адрес VPN-интерфейса маршрутизатора GW1: 172.16.30.101/32
Пулл адресов VPN-канала: 172.16.30.102 - 172.16.30.253

Чек-лист по настройке MikroTik

Проверьте свою конфигурацию по 28-ми пунктам

Настройка

Настройка маршрутизатора

Через графический интерфейс

Включить L2TP-сервер. Не смотря на то, что L2TP не несет в себе нормального шифрования, лучше оставить
только аутентификацию "mschap2" как наиболее надежную.

Создать пул адресов для VPN-подключений:

https://mikrotik.wiki/wiki/VPN:L2TP_и_L2TP/IPsec_client-to-site_(удаленное_подключение_с_мобильных_устройств) 2/7
03.02.2021 MikroTik Wiki | Настройка L2TP и L2TP/IPSec client-to-site

Создать профиль для VPN подключений. Указать адрес сервера DC1, который является DNS и WINS сервером.
Без указания DNS и WINS VPN-подключение произойдет, но не будет возможности обращаться к узлам по именам.

https://mikrotik.wiki/wiki/VPN:L2TP_и_L2TP/IPsec_client-to-site_(удаленное_подключение_с_мобильных_устройств) 3/7
03.02.2021 MikroTik Wiki | Настройка L2TP и L2TP/IPSec client-to-site

Добавить аккаунт пользователя:

https://mikrotik.wiki/wiki/VPN:L2TP_и_L2TP/IPsec_client-to-site_(удаленное_подключение_с_мобильных_устройств) 4/7
03.02.2021 MikroTik Wiki | Настройка L2TP и L2TP/IPSec client-to-site

На интерфейсе маршрутизатора, который смотрит в локальную сеть включить arp-proxy. Это нужно для того, чтобы
удаленный клиент мог связываться с локальными хостами:

Создать профиль IPSec для подключения клиента (адрес 0.0.0.0/0 т.к. удаленный адрес клиента неизвестен):

https://mikrotik.wiki/wiki/VPN:L2TP_и_L2TP/IPsec_client-to-site_(удаленное_подключение_с_мобильных_устройств) 5/7
03.02.2021 MikroTik Wiki | Настройка L2TP и L2TP/IPSec client-to-site

Через консоль

/interface l2tp-server server

set authentication=mschap2 enabled=yes

/ip pool
add name=vpn-pool ranges=172.16.30.102-172.16.30.253

/ppp profile
add name="L2TP client-to-site" change-tcp-mss=yes local-address=172.16.30.101
remote-address=vpn-pool dns-server=192.168.15.10 wins-server=192.168.15.10

/ppp secret
add name=user-laptop password=user-laptop-password profile="L2TP client-to-site"
service=l2tp

/interface ethernet
set ether1-LAN1 arp=proxy-arp

https://mikrotik.wiki/wiki/VPN:L2TP_и_L2TP/IPsec_client-to-site_(удаленное_подключение_с_мобильных_устройств) 6/7
03.02.2021 MikroTik Wiki | Настройка L2TP и L2TP/IPSec client-to-site

/ip ipsec peer

add address=0.0.0.0/0 comment=client-to-site enc-algorithm=3des,aes-128,aes-256
exchange-mode=main-l2tp generate-policy=port-strict nat-traversal=yes secret=ipsec-
password send-initial-contact=no auth-method=pre-shared-key

Настройка маршрутизации

Не требуется.

Следует учесть
AES является единственным алгоритмом, который поддерживается модулем аппаратного
шифрования, если такой установлен на маршрутизатор.
Если требуется подключение только по L2TP без IPsec, то достаточно пропустить последний пункт по
настройке IPsec. При этом надо учесть, что встроенный VPN-клиент Windows не поддерживает
подключение по L2TP без IPSec. Для того, чтобы такое подключение заработало необходимо править
реестр операционной системы.

Проверка
Для того, что бы проверить VPN-соединение достаточно запустить ping с компьютера VPN-клиента на любой
компьютер в сети за маршрутизатором GW1.

Типичные проблемы
Если VPN-соединение не устанавливается, то надо проверить:
1. Не мешает ли файервол. Для уверенности лучше временно отключить все правила файервола на
маршрутизаторе.
2. Совпадают ли имя пользователя, пароль и ключ IPsec.
3. На VPN-клиенте указан правильный адрес VPN-сервера к которому должно происходить подключение.

Чек-лист по настройке MikroTik

Проверьте свою конфигурацию по 28-ми пунктам

Полезные статьи

Источник — https://mikrotik.wiki/w/index.php?title=VPN:L2TP_и_L2TP/IPsec_client-to-
site_(удаленное_подключение_с_мобильных_устройств)&oldid=5490

Эта страница в последний раз была отредактирована 6 декабря 2020 в 14:20.

https://mikrotik.wiki/wiki/VPN:L2TP_и_L2TP/IPsec_client-to-site_(удаленное_подключение_с_мобильных_устройств) 7/7