Mikrotik RoutersOS VPN L2TP-IPSec.md

Title: Настройка сервера VPN L2TP/IPSec на Mikrotik RoutersOS Date: 2013-05-31 17:25 Category: Mikrotik Tags: mikrotik, vpn Slug: mikrotik-lt2p-vpn Summary: Краткое описание настройки сервера VPN L2TP/IPSec на Mikrotik RoutersOS c возможностью подключения с помощью встроенных VPN клиентов Windows 7, Mac OS X и IOS.

Замечение: Если несколько клиентов находятся за NAT, то только одно L2TP/IPSec соединение может быть установлено.

Базовая настройка

/ip address 
add address=91.219.55.10/24 interface=ether1
add address=10.20.0.1/24 interface=ether2

/ip route 
add gateway=91.219.55.1

/ip firewall nat 
add chain=srcnat action=masquerade out-interface=ether1

/ip dns
set allow-remote-requests=yes servers=91.219.55.1,8.8.8.8

/ip pool 
add name=lan_dhcp ranges=10.20.0.100-10.20.0.199

/ip dhcp-server 
add name=lan_dhcp address-pool=lan_dhcp interface=ether2 disabled=no  
/ip dhcp-server network
add address=10.20.0.0/24 dns-server=10.20.0.1 gateway=10.20.0.1 

Настройка L2TP

Создадим еще один пул IP адресов из той-же подсети, который будет использоваться для VPN клиентов:

/ip pool add name=lan_vpn ranges=10.20.0.200-10.20.0.254

Создайте новый PPP профиль:

/ppp profile add name=l2tp-vpn-lan local-address=10.20.0.1 \
   remote-address=lan-vpn dns-server=10.20.0.1

Включите L2TP сервер. Для наших целей достаточно только метода аутентификации mschap2.

/interface l2tp-server server set enabled=yes authentication=mschap2 \
   default-profile=l2tp-vpn-lan

Создайте пользователя:

/ppp secret add name=userlogin password=userpassword service=l2tp \
   profile=l2tp-vpn-lan

Настройка IPSec

Созадем ipsec peer:

   /ip ipsec peer add address=0.0.0.0/0 port=500 auth-method=pre-shared-key \
      secret="shared_password_key" exchange-mode=main-l2tp send-initial-contact=yes \
      nat-traversal=yes proposal-check=obey hash-algorithm=sha1 \
      enc-algorithm=3des dh-group=modp1024 generate-policy=yes \
      lifetime="1d 00:00:00" dpd-interval=120 dpd-maximum-failures=5

Некоторые разъяснения:

• address=0.0.0.0/0 - разрешаем подключение с любого IP адреса;
• auth-method=pre-shared-key - аутентификация компьютера с помощью общего ключа;
• secret="shared_password_key" - пароль общего ключа;

Созадем ipsec proposal

/ip ipsec proposal set default auth-algorithms=sha1 \
    enc-algorithms=3des,aes-256 lifetime=30m pfs-group=

Включение Proxy-ARP

Поскольку компьютеры в локальной сети и удаленные клиенты используют IP адреса из одной и той же подсети, необходимо включить proxy-arp на интерфейсе подключенном к локальной сети. В нашем примере это ether2:

/interface ethernet
set ether2 arp=proxy-arp

Ссылки

• http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Ipsec.2FL2TP_behind_NAT
• http://forum.mikrotik.com/viewtopic.php?f=2&t=65513
• http://www.nextofwindows.com/microsoft-warns-that-vpn-via-pptp-with-ms-chap-v2-is-not-secure/
• http://nejc.skoberne.net/2011/03/mikrotik-sstp-with-windows-sbs-2008-nps-radius/
• http://forum.mikrotik.com/viewtopic.php?f=2&t=59998
• https://libc6.org/page/openvpn-vs-ipsec

"Замечание: Если несколько клиентов находятся за NAT, то только одно L2TP/IPSec соединение может быть установлено." - А вот это как-то можно обойти? Или это принципиальное ограничение?

В первой команде имя пула lan_vpn, а во второй уже lan-vpn - опечатка, похоже.
Просто aes-256 в proposal в текущей роутероси не прокатит - там aes-256-ctr, aes-256-cbc и aes-256-gcm, последний для данного алгоритма не подходит.