Настройка сервера l2 на роутере

Обновлено: 05.07.2024

Настройка PPTP или L2TP VPN-сервера на роутерах Mikrotik

Продолжая актуальную сегодня тему удаленного доступа, сегодня мы рассмотрим настройку роутеров Mikrotik для использования из в качестве PPTP или L2TP VPN-серверов. С одной стороны тема эта, вроде бы простая, с другой, как обычно, имеет свои особенности, которые следует учитывать еще на стадии выбора решения. Ведь хороший специалист выбирает инструмент под задачу, а не пытается делать наоборот, признавая сильные и слабые стороны каждого решения.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор - официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Перед тем, как браться за настройку VPN-сервера на базе Mikrotik мы рекомендуем вам ознакомиться с нашим материалом: Производительность младших моделей Mikrotik hEX и hAP. Экспресс-тестирование. Если коротко: на моделях без аппаратной поддержки AES вы не получите для соединений L2TP/IPsec скоростей более 25-30 МБит/с, на моделях с поддержкой AES скорость упирается в 35-50 МБит/с. В большинстве случаев для сценария удаленного доступа этого достаточно, но все-таки данный момент обязательно следует иметь ввиду, чтобы не получить потом претензию, что Mikrotik работает плохо и этому объективно будет нечего противопоставить.

Что касается PPTP, то здесь все достаточно хорошо, даже недорогие модели роутеров позволяют достигать скоростей около 100 МБит/с, но при этом следует помнить, что PPTP имеет слабое шифрование и не считается безопасным в современных реалиях. Однако он может быть неплохим выбором, если вы хотите завернуть в него изначально защищенные сервисы, например, при помощи SSL.

Предварительная настройка роутера

Прежде чем начинать настройку VPN-сервера нужно определиться со структурой сети и выделить для удаленных клиентов пул адресов. Если брать сценарий удаленного доступа, то здесь есть два основных варианта: Proxy ARP, когда клиенты получают адреса из диапазона локальной сети и имеют доступ к ней без дополнительных настроек и вариант с маршрутизацией, когда клиентам выдаются адреса из диапазона не пересекающегося с локальной сетью, а для доступа в сеть на клиентах добавляются необходимые маршруты. В современных Windows-системах это можно автоматизировать при помощи PowerShell.

После того, как вы определились со структурой сети, следует перейти в IP - Pool и создать новый пул адресов для выдачи удаленным клиентам. Количество адресов в пуле должно соответствовать количеству планируемых VPN-клиентов, либо превышать его.

Эти же действия в терминале:

Затем перейдем в PPP - Profiles и настроим профиль для нашего VPN-сервера, который будет содержать базовые настройки. Если вы настраиваете сразу и PPTP и L2TP-сервера, то можете использовать для них как общий профиль, так и создать отдельные. В случае с общим профилем они будут иметь общий адрес сервера и общий пул адресов. В данном разделе уже существуют два стандартных профиля default и default-encryption, поэтому при желании можете не создавать новые профили, а настроить имеющиеся.

На вкладке General задаем параметры: Local Address - локальный адрес сервера, должен принадлежать к тому же диапазону, что и пул адресов, который вы задали выше, Remote Address - адреса для выдачи удаленным клиентам, указываем в этом поле созданный пул.

Следящая вкладка - Protocols, здесь мы рекомендуем установить параметр Use Encryption в положение required, что будет требовать от клиента обязательного использования шифрования.

Чтобы добавить новый профиль в терминале выполните (в данном случае мы создаем профиль с именем vpn):

Чтобы изменить существующий default-encryption:

Для default вместо set *FFFFFFFE укажите set *0:

Остальные параметры оставляем без изменений, для удаленных клиентов они не применяются (в том числе сжатие) и работают только при соединении между устройствами с RouterOS. Отсутствие сжатия также следует учитывать, особенно если ваши клиенты используют медленные каналы подключения, скажем 3G-модемы.

Теперь добавим пользователей, для этого откроем PPP - Secrets и создадим новую учетную запись. Обязательно заполняем поля: Name и Password, а также Profile, где указываем созданный на предыдущем шаге профиль, если профили клиента и сервера не будут совпадать - подключение окажется невозможным. Поле Service позволяет ограничить действие учетных данных только одним сервисом, для этого нужно указать его явно, если же вы хотите использовать одни учетную запись для всех видов подключения - оставьте значение по умолчанию any.

В терминале:

При создании учетных данных уделите должное внимание политике паролей, особенно для PPTP.

Настройка PPTP-сервера

Настроить PPTP-сервер в RouterOS просто. Откройте PPP - Interface и нажмите кнопку PPTP Server, в открывшемся окне установите флаг Enabled, в поле Default Profile укажите созданный на подготовительном этапе профиль и в разделе Authentication оставьте только mschap2.

Это же действие в терминале:

Следующим шагом следует разрешить подключения к нашему VPN-серверу в брандмауэре, для этого следует разрешить входящие подключения для порта 1723 TCP. Открываем IP - Firewall и создаем новое правило: Chain - input, Protocol - tcp, Dst. Port - 1723, в поле In. Interface указываем внешний интерфейс роутера, в нашем случае ether1. Так как действие по умолчанию - accept то просто сохраняем правило.

В терминале создать правило можно командой:

На этом настройку PPTP-сервера можно считать законченной, он готов принимать подключения.

Настройка L2TP/IPsec -сервера

Точно также, как и при настройке PPTP-сервера переходим в PPP - Interface и нажмите кнопку L2TP Server. В открывшемся окне ставим флаг Enabled, в Default Profile указываем созданный ранее профиль, а в Authentication оставляем только mschap2. Затем включаем использование IPsec - Use IPsec - yes и в поле IPsec Secret вводим предварительный ключ соединения:

Для включения сервера с указанными настройками в терминале выполните:

Обычно на этом инструкции по настройке L2TP-сервера заканчиваются, но если оставить все как есть, то у сервера будут достаточно слабые настройки шифрования, поэтому подтянем их до современного уровня. Для этого нам потребуется изменить параметры IPsec, так как L2TP сервер безальтернативно использует параметры по умолчанию будем менять именно их.

Данные настройки в терминале:

Затем откроем IP - IPsec - Profiles и изменим настройки профиля default: Encryption Algorithm - aes256, DH Group - modp2048, ecp256, ecp384.

В терминале:

Для окончания настройки разрешим подключения к L2TP-серверу в брандмауэре. Для этого нам понадобится создать два правила, первое должно разрешать подключения для протоколов IKE (порт 500 UDP) и протокол NAT-T (порт 4500 UDP), второе для протокола 50 ESP (Encapsulating Security Payload). Переходим в IP - Firewall и создаем первое правило: Chain - input, Protocol - udp, Dst. Port - 500, 4500, в поле In. Interface указываем внешний интерфейс роутера, в нашем случае ether1. Затем второе: Chain - input, Protocol - ipsec-esp, In. Interface -внешний интерфейс (ether1). Так как действие по умолчанию accept достаточно просто сохранить правила.

Для терминала выполните следующие команды:

На этом настройка L2TP/IPsec-сервера закончена.

Загрузить в таблицу GMShop.sql файл
Скопировать 7099.htm в l2j\gameserver\data\html\merchant
Перезагрузить сервер.

Как играть без интернета на своём сервере?

Прописать в . \system32\drivers\etc\host такое:

как сделать себя админом?

Создать чара, выйти им из игры. Зайти в навикат, открываем базу l2jdb, открываем таблицу charaters, и поменять access_lvl на 100 (для проверенного гма, 200 - для админа), заходить чаром

как включить авторег?

заходим gameserver/config/открываем файл server.properties блокнотом и в строке AutoCreateAccounts= пишим false, или на оборот, =true

Как сделать так чтобы не все кто заходил были гмами?

делаем также как в вопросе повыше.
в строке EverybodyHasAdminRights = пиши False, а если не хотите что-бы все были гмами то пишем = true

Где хранятся основные базы, чата, игры т.е. чаров и т.д.

База линейки
Server\diskw\usr\local\mysql\data\l2jdb
База форума
Server\diskw\usr\local\mysql\data\phpbb
Системная база мускула
Server\diskw\usr\local\mysql\data\mysql
База ПХП_Май_Админ
Server\diskw\usr\local\mysql\data\phpmyadmin

Где изменить рейты сервера?

Где изменить скорость Страйдера и виверины?

Как добавить вещь в магазин (продавцу)?

Файлах скиллов gameserver/data/stats/skills/*.xml и в таблицах skill, skill_trees, skill_learn
Например, откат

gameserver/data/stats/armor/*.xml и в таблице armor

gameserver/data/stats/weapon/*.xml и в таблице weapon

Как добавить второй GameServer к Login серверу?

Следуйте данному Мануалу :
Скопируйте папку C:/server на второй компьютер на котором будет располагатся второй сервер.
На первом компьютере запустите C:/server/login/RegisterGameServer.bat
Наберите 1 и нажмите Enter, программа создаст файл hexid(server 1).txt
Примечание : не вводите 0 так как этот ID уже занят первым сервером
Скопируйте этот файл в папку C:/server/gameserver/config второго компьютера
На втором сервере :
Cотрите старый hexid.txt и переименуйте hexid(server 1).txt в hexid.txt
Откройте server.properties и впишите :
ExternalHostname=(blank) -> замените на (звездочку)*
InternalHostname=127.0.0.1 -> замените на *
LoginPort=9014 -> замените на 9015
LoginHost=127.0.0.1 -> Впишите IP login сервера ( 1 комп )
Теперь на первом игровом сервере запустите startLoginServer.bat и startGameServer.bat
На втором компе нужно запустить только startGameServer.bat ( так как оба сервера будут использовать 1 логин сервер).

Как добавть стартовый скилл?

Например я хочу добавить Weight Limit level 2 всем Human Файтерам.
Откройте ДБ через Navicat или PhpMyAdmin.
И запустите такую команду:
Код:
INSERT INTO skill_trees VALUES (0,150,2,'Weight Limit',0,1);
Пояснение:
0 - Class ID (Human Fighter имеет class
150 - Skill ID (Weight Limit имеет skill
2 - Уровень скилла
'Weight Limit' - Название скилла
0 - количество SP необходимое для изучения скилла
1 - Уровень игрока необходимый для изучения скилла

Как добаыть вещей в магазины NPC?

Используйте Навикат.
Откройте merchant_buylists table
В первом поле нужно вписать ID номер вещи, которую хотите добавить.
Во втором поле вводите цену, за которую вы хотите чтобы вещь продавалась.
В третем поле вводите ID номер магазина в котором эта вещь будет продаваться.
( Его можно посмотреть зная ID номер продавца в merchant_shopids table )
В четвертом поле вы вносите номер позиции, которую будет занимать вещь в списке.
( Если например в магазине уже продается 54 вещи, и вы хотите добавить вещь в конец списка, то в четвертом поле нужно написать 55. Позиция предмета уникально и вы не можете иметь 2 предмета в одной и той-же позиции в одном и том же списке )
Теперь обобщим :
Если вы хотите продать сдвоенный SLS у продавца Ttader Jackson ( Fighter Shop ) в Talking Island за 150 адены.
И чтобы он находился в конце списка.
1) Посмотртеть его Shop ID в merchant_shopids table.
ID номер NPC - 7002. Вы заметите что у неё 2 магазина : 11 и 12.
Какой из них какой ?
2) Это можно посмотреть в его html файле ( data/html/merchants/7002.htm )
11 - Магазин Бойца
12 - Магазин Мистика
3) Посмтотреть ID номер спаренного SLS ( wepons table ).
Спареный SLS ID - 2626
У трайдера уже 54 предмета в листе. ( merchant_buylist )
Cледовательно я буду должен вписать следующую строчку в merchant_buylists :
2626 150 11 55
Теперь сохраните в навикате и выйдите из него.
Рестартаните сервер.

Почему я могу играть на локальном сервере а другие игроки не могут играть на моем сервере?

Потому что у вас неоткрыты порты 2106 и 7777 ( TCP и UDP ) на сервере или модеме/файрволе или роутере.

Как ввести SubClass?

Когда игрок достигает 75 уровня, он может выбрать подкласс ( SubClass ). Для этого нужно поговорить с Grand Master в Адене. Так в L2j еще не реалихован Квест на сабклас то в altsettings.properties нужно выставить:
AltSubClassWithoutQuests = True

Как работают Seed Skils?

Должны работать так :
Длительность каждого Seed 5 секунд.
Цель - любой персонаж кроме себя.
Перезарядка скилла 30 минут.
Заредите кого-нибудь Seed'ом и если он кастует магию ( например Aura Symphony, Blizard, Elemental Storm и т.д. ), то она будет наносить масивные повреждения.
Разные комбинации Seed нужны для разных магий :
Aura Symphony: Любой 1 seed. Перезарядка : 30 minutes
Blizzard: 2 water seed. Перезарядка : 30 minutes
Inferno: 2 fire seeds. Перезарядка : 30 minutes
Demon Wind: 2 wind seeds. Перезарядка : 30 minutes
Elemental xxxx: 2 seeds разного вида. 3 категории к этому классу
(разная категория к "xxxx") и каждая имеет разную камбинацию..
Перезарядка : 30 minutes

Как поменять в списке имя сервера Bartz на мой сервер?

Для смены имени нужно изменять клиент для этого вам понадобится вот эта тулза.
Для альтернативы существует L2ClientDat_en - найдите в Google.
И UltraEdit
1) Сначала нужно декодировать servername-e.dat в LineageII/system используя команду :
l2encdec -g servername-e.dat ( если у вас неизменённые ранее файлы )
или l2encdec -s servername-e.dat ( если наоборот )
После этого вы получите файл dec-servername-e.dat.
Теперь открываем его с помощью UltraEdit, и вы увидите текст "Bartz" и перед ним hex код 06, это означает Bartz ( 5 символов ) используется 5 байт и 1 байт для hex ID кода = 06
Теперь высчитайте свое имя.
Например MyServerName имеет 12 символов значит будет использовать 12байт + 1 байт для hex кода = 13 байт ( децимально ) = 0D ( хекс )
Примечание: чтобы переводить децимальные числа в хекс код и наоборот воспользйтесь простым виндовс калькулятором.
Теперь заменяем код 06 на 0D, Замените "Bartz" на "MySer", затем в конце буквы r, нажмите Ctrl+D и вставте ещё 7 байт, так как MyServerName на 7 байт(символов) длиннее "Bartz", и продолжайте набирать "verName". Сохраните - Готово.

Как сделать автоизучение скилов?

Заходим в other.properties и выставляем :
AutoLearnSkills=True

Как изменить время действия Dance and Songs ?

1. Идём в gameserver/data/stats/skills

2. Название каждого файла отвечает за id скила

3. Открываем нужный файл (к примеру 0200-0299.xml, id скила 270 - Song of Invocation)

5. Меняем time="" на нужное нам время (в секундах)

Обьясните пожалуста знаечение настроек выпадения вещей при смерти.

Откройте Task Manager или еквивалент ему. И установите всем java.exe процессам приоритет High/Высокий или Real Time/Реального времени
Примечание : Ставте Real Time/Реального времени только в том случае если у вас выделеный сервер и только под L2j и Веб.
Если после долгой работы сервера java загружает проц под 100% то ресарт делай.

Как сделать что бы на одном компе было два сервера?

Копируеш папку Gameserver, переименовываешь например в Gameserver2 .В конфигах ставиш порт 7778. Создаешь базу l2jdb2. В папке Tools в Instaler.bat вписываешь везде где нужно ставить базы l2jdb2. Запускаешь его. Заходишь в Login. Запускаешь RegisterGameServer нажимаеш 5. Создаеца hexid(server5). Копируешь hexid(server5) в папку gameserver2\config. И в login\config\loginserver..properties вписываешь:

Как поставить статус Героя всем чарам которые входят в игру(Аура Героя)

зайди в \gameserver\config\ там в файлах *.properties иши параметр ShowHeroAura (вроде так) установи True, и зделай всех ГМами с правами 0-50, так должны светиц0 фсЭ ;), внимательно с правами ГМа, почитай в конфигах и установи нормально, чтобы случайно ктото из светящихся игроков не наколдовал 1kkk =)

я создал сервак как мне на него зайти через host не работает скажите точнее как редоктировать l2.ini и нужни какие либо патчи?

L2.ini нужно редактировать file edit'om (на сайте он есть в разделе "Файлы для сервера, сервера"), что бы попасть на свой сервер, нужно будет редактировать только строчку ServerAddr=*

Патч: Проще всего взять с какого-либо сервера (тех же хроник) и поменять там только l2.ini

Как сделать, чтобы другие игроки заходили на мой сервер

Изменяем в настройках, gameserver/config/server.properties и login/config/loginserver.properties, ExternalHostname на свой внешний ip адрес, в других строчках на свой внутренний

Как изменить место телепортации у ГейтКипера? Телепортирует не туда, куда должен

1. Узнаём id гк (шифт + клин левой кнопкой мыши)

2. Идём в gameserver\data\html\teleporter, и редактируем файлы, которые нам нужны (Название файлов - id npc)

Если ссылка на файл уже не работает нажмите на кнопку Нужно Авторизоватся и напишите в окне для жалобы "битая ссылка".
После этого файл будет перезалит в течении суток.

Рассмотрим настройку L2TP-сервера на примере роутера TL-R600VPN v4. Топология сети следующая:

Приступим к настройке TL-R600VPN v4 в качестве L2TP-сервера.

Пошаговая настройка

Шаг 1

Шаг 2

В появившемся окне в качестве IP Pool Name указываем L2TP, в качестве Starting IP Address указываем 192.168.0.200, а в качестве Ending IP Address — 192.168.0.250. Затем нажмите OK. Получился следующий пул VPN-адресов: 192.168.0.200–192.168.0.250, который находится в одной подсети с подсетью LAN.

Пул IP-адресов VPN может находиться в одной подсети с IP-адресом LAN, но может и отличаться. Если он отличается от IP-подсети LAN, необходимо настроить Multi-Nets NAT, если нужно, чтобы VPN-клиент использовал VPN-сервер в качестве proxy-шлюза (выходил в интернет с помощью VPN). Более подробная информация доступна в FAQ Как получить доступ в Интернет с помощью VPN-сервера в качестве proxy-шлюза?

Шаг 3

На этом шаге включаем L2TP-сервер. Перейдите в меню VPN → L2TP → L2TP Server, нажмите Add. В появившемся окне в качестве порта WAN выберите WAN 1, а в IPSec Encryption укажите Encrypted (Encrypted означает, что протокол L2TP зашифрован с помощью IPsec). Введите Pre-shared Key для шифрования IPSec — 123456. Затем нажмите OK.

Шаг 4

Настройка L2TP-сервера на роутере завершена.

Что касается настройки клиента L2TP на удалённом компьютере, её можно выполнить по FAQ Как настроить PPTP/L2TP VPN-клиент на удалённом компьютере?

В этой статье мы покажем, как сделать настройку L2TP Server с IPSec на MikroTik. Постараемся детально описать все нюансы и тонкости конфигурирования.

На сегодняшний день есть множество способов организовать VPN, но на мой взгляд L2TP является оптимальным выбором, так как данный протокол существует во всех ОС и имеет ряд преимуществ о которых мы поговорим ниже.

Настройка L2TP MikroTik для многих может оказаться не такой уж и простой задачей. Давайте разберемся на практике, так ли это сложно?

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Протокол L2TP не предоставляет механизмов шифрования, поэтому рассмотрим связку L2TP IPSec для подключения удаленных устройств к корпоративной сети. Узнаем как выполнить настройку туннеля L2TP IPSec между MikroTik, что позволит объединить офисы по данной технологии.

IPSec – это набор протоколов служащий для шифрования, аутентификации и обеспечения защиты при отправке IP-пакетов. Основное применение нашел при организации VPN-соединений.

Mikrotik. Настройка L2TP Server

Рассмотрим детальную настройку двух видов туннелей L2TP + IPSec:

Client-to-site – туннельное соединение, при котором конкретное устройство (ноутбук, домашний ПК) подключается к маршрутизатору. Примером может служить ситуация, когда сотрудник компании из дома подключается к сети организации и получает доступ к сетевым ресурсам;

Site-to-Site – туннельное соединение, между роутерами Mikrotik.

Настройка туннеля L2TP + IPSec на Mikrotik (site-to-site). Объединяем два офиса

Попробуем объединить два офиса фирмы в одну виртуальную частную сеть (VPN) используя туннельный протокол L2TP в связке с IPSec на оборудовании Mikrotik.

Из схемы мы видим, что Mikrotik в главном офисе (GW1), будет настроен на роль L2TP Server + IPSec, со следующими настройками:

Внешний IP (WAN): 111.111.111.111;
IP-адрес VPN Server: 192.168.77.1;
Адрес в LAN сети: 192.168.13.254.

MIkrotik в филиале (GW2) будет являться VPN-клиентом с настройками:

Внешний IP (WAN): 222.222.222.222;
IP-адрес VPN Client: 192.168.77.10;
Адрес в LAN сети: 192.168.12.254.

Приступаем к настройке.

Настройка Mikrotik L2TP Server. Главный офис

Создаем профиль подключения

У Mikrotik в меню PPP есть два профиля по умолчанию, которые используются для PPP соединений. Рекомендуется не изменять профили по умолчанию, а создать и использовать под свою задачу новый.

Создадим профиль для подключения, в котором укажем имя для соединения, назначим статические IP-адреса для L2TP сервера и клиента. Отроем Winbox, перейдя:

В окне New PPP Profiles, открыв, вкладку “General” укажем информацию:

Рекомендуем для туннеля вида Site-to-Site назначить статические IP.

произвольное имя для профиля(Name);
присвоили IP для L2TP-Сервера (Local Address);
IP-Адрес L2TP-Клиента (Remote Address).

Настраиваем Secret

Secrets => “+”;
Name: office;
Password: qwas1234;
Profile: из выпадающего списка выбираем ранее созданный профиль (l2tp-site-to-site).

Рекомендуем придумывать сложные пароли. Минимум 12 символов разного регистра с использованием спец. символов.

Включаем L2TP Server и IPSec

Следующим шагом включим L2TP Server на Mikrotik указав профиль, метод аутентификации и ключ шифрования для IPSec. Выберем пункт меню Interface, настроим как показано на рисунке ниже:

Не забываем придумывать сложные пароли.

Создаем интерфейс

Создадим статический интерфейс L2TP Server Binding. Это позволит избежать проблемы с маршрутизацией между сетями, которые могут возникнуть при разрыве соединения.

Name – это произвольное имя интерфейса;
User – имя пользователя, которое мы назначили на вкладке Secrets.

Настройка firewall

Добавим правила в наш файрвол, тем самым разрешая трафик для L2TP, два правила для IPSec и протокол Ipsec-esp:

Добавим разрешающее правило для L2TP, который работает на 1701(UDP) порту:

После нажмем правой кнопкой мыши на созданное правило и добавим комментарий, нажав строку Comment из меню:

Добавим правило для UDP портов 4500, 500:

Добавим комментарий для этого правила, как показано выше.

Разрешим протокол IPsec-esp:

Очень важен порядок расположения правил. Ваш firewall после настроек должен выглядеть примерно следующим образом:

Для более глубокого понимания работы брандмауэра рекомендуем ознакомиться со статьей MikroTik настройка firewall.

На этом настройка L2TP Server Mikrotik закончена, перейдем к настройке клиентской части (филиала).

Настройка филиала (L2TP Client)

Выполним настройку L2TP клиента. Для этого необходимо на роутере Mikrotik добавить интерфейс с настройками подключения к главному филиалу указав его IP-адрес, идентичные значения IPSec и аутентификации.

Создадим свой профиль для подключения:

Добавляем L2TP Client:

Connect To – указываем IP-адрес главного филиала (WAN);
User – имя пользователя, созданное в разделе Secrets;
Password – пароль учетной записи;
Profile – профиль подключения созданный в предыдущем шаге;
Устанавливаем галочку на пункте Use IPSec, активируя набор протоколов шифрования;
IPsec Secret – вводим ключ шифрования IPSec как на сервере;
В разделе Allow оставляем метод аутентификации mschap2.

Ждем некоторое время. Если мы все сделали правильно, то увидим букву “R” слева от имени подключения:

Статус туннеля можем посмотреть, зайдя в настройки интерфейса:

Здесь мы видим дату и время, когда туннель поднялся (Last Link Up Time), количество разрывов соединения (Link Downs), время жизни соединения (Uptime), метод шифрования (Encoding) и другие параметры.

Осталось настроить маршрутизацию между подсетями.

Настройка маршрутизации межу офисами

Пропишем маршруты на обоих роутерах Mikrotik. Так подсети увидят друг друга.

Для начала зайдем на роутер главного офиса (GW1), выполним следующие действия:

Укажем удаленную подсеть и шлюз, который будет обрабатывать запросы:

Dst. Address – Адрес удаленной подсети (филиал);
Gateway – шлюз (созданный интерфейс в предыдущем шаге), который будет обрабатывать запросы с сети филиала.

Затем зайдем на Mikrotik филиала (GW2), добавим маршрут:

Укажем подсеть главного офиса и назначим Gateway:

Dst. Address – адрес удаленной подсети (главный офис);
Gateway – шлюз (созданный интерфейс), который будет обрабатывать запросы с сети главного офиса.

Теперь филиалы видят друг друга. На этом настройка L2TP + IPSec между роутерами Mikrotik (Site-to-site), закончена.

Настройка L2TP Server + IPSec на Mikrotik (client-to-site)

Рассмотрим вариант подключения к L2TP Server удаленных сотрудников (client-to-site). На практике данный способ применяется, когда работник компании уехал в командировку и ему надо иметь доступ к внутренним ресурсам локальной сети фирмы. Таким образом, сотрудник со своего ноутбука устанавливает VPN соединение по которому получает доступ к локальным ресурсам сети.

Создаем пул адресов

Первым шагом назначим пул адресов, которые побудут получать клиенты, подключаемые по VPN:

В окне “New IP Pool” укажем название пула и диапазон адресов:

Профиль подключения

Дальше создадим свой профиль для L2TP соединений:

Выполним настройку профиля следующим образом:

Name – произвольное имя профиля;
Local Address – назначим адрес L2TP Серверу;
Pool-адресов, из которого будут назначаться IP подключаемым пользователям (Remote Address);
Change TCP MSS: yes –изменять максимально возможный размер сегмента TCP. Текущая настройка немного повысит устойчивость соединения.
Use UpnP: no – отключим использование службы UPnP.

На вкладке “Limits” ограничим подключение единственным соединением:

Создание пользователя

На вкладке “Secrets” укажем настройки имени пользователя, пароль и профиль для подключения:

Name – произвольное имя пользователя. Желательно создавать интуитивно понятные имена;
Password – пароль пользователя. Желательно использовать сложные пароли;
Profiles – ранее созданный профиль для подключения.

Включаем L2TP Server

Осталось активировать L2TP Server на Mikrotik, выбрать метод аутентификации, задать профиль по умолчанию, включить IPSec и установить для него ключ шифрования:

Interface => L2TP Server.

Поставим галочку у пункта “Enabled”;
Default Profile – укажем ранее созданный профиль, который будет использоваться по умолчанию для подключений.
Оставим метод аутентификации mschap2;
Use IPsec: yes – включаем использование IPSec;
IPsec Secret – придумаем и установим ключ шифрования для IPSec.
OK.

Настройка подключения на стороне клиента

На компьютере или ноутбуке сотрудника настроим VPN-соединение до L2TP Сервера. Приведу пример, как это можно сделать на ОС Windows 10.

Откроем “Центр управления сетями…”, затем создадим подключение, как показано на рисунке ниже:

Следующим шагом выберем вариант подключения:

Выполним подключение через Интернет с помощью VPN:

Следующим шагом введем внешний адрес (WAN) роутера Mikrotik и произвольное имя для соединения:

В нашем примере маршрутизатору Mikrotik назначен внешний IP 111.111.111.111, у вас это будет свой адрес.

Продолжим настройку VPN соединения:

Откроем свойства созданного соединения:

Перейдем на вкладку “Безопасность”, выполнив настройку как показано на рисунке ниже:

Откроем дополнительные параметры (5 шаг на рисунке) и укажем ключ IPSec, который мы указали ранее в настройках L2TP Server, параметром IPsec Secret:

Далее откроем вкладку “Сеть”, уберем галочку с протокола TCP/IPv6 и откроем свойства протокола TCP/IPv4:

Нажмем кнопку “Дополнительно” и запретим использовать основной шлюз в удаленной сети, сняв галочку с соответствующего пункта:

Важно! Игнорируя текущий пункт настройки, после установки VPN соединение пропадет интернет.

Подключаем созданное VPN-соединение:

Настройка маршрутизации L2TP-клиента

Подключение установилось. Следующим шагом укажем постоянный статический маршрут прописав шлюз для удаленной подсети.

Откроем командную строку с правами администратора и выполним команду:

route add 192.168.13.0 mask 255.255.255.0 10.10.10.1 if 49 /p

192.168.13.0 – локальная подсеть организации;
255.255.255.0 – маска этой подсети;
10.10.10.1 – шлюз (адрес устройства Mikrotik, который мы задавали в настройках профиля);
49 – номер созданного VPN интерфейса (можно узнать командой route print);
/p – параметр, указывающий на то, что сделать маршрут постоянным. Иначе после перезагрузки данный маршрут удалится.

Пример, как можно посмотреть номер интерфейса:

На этом настройка L2TP Server + IPSec на Mikrotik закончена. Надеюсь, данная статья была для вас полезной.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Не редко, требуется иметь полноценный доступ к внутренним ресурсам сети из любой точки, где имеется выход в Интернет. И тут на первое место выходит вопрос безопасности и защиты передаваемых данных по открытым каналам связи.

Для организации защищенных каналов я предпочитаю использовать OpenVPN, о настройке которого уже не раз рассказывал на страницах блога. Но что делать, если у вас нет возможности, желания или навыков поднимать OpenVPN-сервер? Для небольшого офиса, а уж тем более домашнего использования, подобное решение не всегда оправдано. Гораздо проще организовать безопасное подключение к ресурсам вашей сети используя готовый L2TP VPN-сервер на базе роутера Keenetic и сегодня я наглядно покажу как это делается.

Перед тем как начать, хотелось бы отметить, что PPTP VPN-сервер на Keenetic настраивается аналогичным образом, но в виду того, что соединения по протоколу PPTP не обеспечивают требуемого уровня безопасности, его настройку рассматривать не будем. В свежих версиях macOS поддержку PPTP вообще выпилили из системы.

Настройка L2TP-сервера на роутерах Keenetic

Со времени появления первых "кинетиков", проделана большая работа и теперь эти роутеры обладают весьма не плохим функционалом, оставаясь простыми в настройке (тут засылаю огромный булыжник в огород MikroTik). Для примера, взял роутер Keenetic Extra II с прошивкой версии 2.14.C.0.0-4.

Итак, расширение функциональности Keenetic OS, на которой работает роутер, достигается за счёт установки дополнительных компонентов. Как вы уже поняли, нам потребуется установить компонент L2TP/IPsec VPN-сервера:

В поле Общий ключ IPsec пишем любой набор символов или секретную фразу, которая будет использоваться в качестве ключа шифрования (чем сложнее, тем лучше).

Ставим галочку, напротив поля Множественный вход, если планируется использовать одну учётную запись пользователя для нескольких соединений одновременно. Здесь же можно указать количество выдаваемых IP-адресов клиентам и задать начальный IP-адрес, с которого роутер будет их отсчитывать.

Нас избавили от решения вопросов маршрутизации, получаемой виртуальной сети, все необходимые правила роутер добавляет автоматически. Не забудьте только поставить галочку напротив пункта NAT для клиентов.

Остаётся только отметить галочками пользователей (мы их создали в третьем пункте) и активировать L2TP VPN-сервер.

Настройка соединения L2TP/IPsec на Windows и маке

Настройка VPN L2TP соединений под macOS или Windows делается штатными средствами. Если требуется подробная инструкция по их настройке, пишите в комментариях. А не сегодня это всё. Не забывайте ставить лайки и подписываться.

Яндекс.Дзен и узнавайте первыми о новых материалах, опубликованных на сайте.

Если считаете статью полезной,
не ленитесь ставить лайки и делиться с друзьями.

Комментариев: 4

Кинетик Гига 2, это гавно. Мучался я с ним два года. Ничего не настроить! Потом пропал вай-фай, не понятно почему. Может в настройках что то, а может просто сдох. Взял TP-Link двухдиапазонный - доволен как слон, с дерьмовым Кинетик Гига 2 даже и сравнивать не стоит.

Уахаха, видимо просто руки не из того места растут!

Константин, сравнивать Кинетик с ТП-линк, это как Мерседес с Жигулями.

Обе машины, но сильно разные.

У самого 4 кинетика, если понять их философию , то лучше сложно представить

Читайте также: