Vpn сервер ipsec mikrotik

Сегодня на примере Zyxel USG20 и какого-то микротика попробуем настроить IPsec VPN между Mikrotik и Zyxel соответственно.

В нашем примере у Zyxel внутренняя подсеть будет 172.16.240.0/24, внешний адрес: 98.213.46.5
Микротик – внутренняя подсеть: 172.16.220.0/24, внешний адрес 145.16.220.86. Все адреса вымышленные совпадение с реальностью – случайно.

mikrotik zyxel usg ipsec

zyxel

Начнём с usg. Эта девайсина настраивается через веб браузер.

Предполагается что Вы уже настроили USG, и он успешно раздаёт интернет сотрудникам. В статье описывается только IPsec.


Первым делом нам надо будет добавить адреса.
Переходим ObjectAddress, кликаем Add.
zyxel usg object address

Первым делом нам надо будет добавить адреса.Переходим, кликаем

Для микротика заполняем имя (name) у меня это ipsec-one, выбираем тип – host, вписываем адрес 145.16.220.86.
Картинка для другого адреса, но суть думаю всем будет понятна.

zyxel usg add address rule

После того как добавили внешний адрес, надо добавить адрес внутренней подсети. Для подсети за миротиком заполняем так же имя (у меня это  vpn-end-net), тип – subnet, адрес 172.16.220.0 маска 255.255.255.0

zyxel usg add address rule

Выглядеть список после этого будет примерно так:

Дальше настраиваем фаервол. ConfigurationFirewallAdd.

zyxel usg firewall

В появившемся окне выбираем to: ZyWALL, вписываем описание, в поле source выбираем адрес который добавляли для микротика на предыдущем этапе,

zyxel usg firewal create new rule

Так же неплохо заполнить поле Description, что бы Вы потом вспомнили для чего это правило вообще создавалось.

Следующий этап создание vpn. ConfigurationVPN – IPSec VPN вкладка VPN Gateway:

zyxel usg ipsec

Включаем Show Advanced Settings заполняем имя, вписываем руками IP микротика 145.16.220.86, выбираем интерфейс для интернета. Для упрощения инструкции  мы будем использовать Pre-Shared Key, но я рекомендую использовать сертификаты.

zyxel usg vpn gateway

На картинке указан второй адрес, его указывать не обязательно. А в случае с микротиком, просто добавления второго адреса будет мало.
Спускаемся ниже.

zyxel usg vpn gateway

Снимаем галочку NAT, выбираем Encryption– AES128, Key Group – DH2, сохраняем – ok
Затем переходим на вкладку VPN Connection жмём Add.

zyxel ipsec vpn connection

Заполняем имя, выбираем созданный на предыдущем шаге Gateway. Local policy – выбираем локальную подсеть zyxel, Remote policy – локальную подсеть микротика.

Show Advanced Settings. Encryption – AES128, Auth – SHA1, PFS – none.

Cохраняем. Переходим к миротику.

mikrotik firewall

Начнём с фаервола. IP – Firewall – address-list. Для того что бы не создавать правило под каждый зиксель или любое другое устройство которое мы потом будем подключать к миротикку будем использовать address-list итак, жмём add (+)

mikrotik address list

Name – имя списка, Address – внешний ip зикселя. Переходим на вкладку Filter Rules и создаем правило (+).
На вкладке generalchain – input

mirktotirk filter rule

На вкладке Advanced в Src. Address List выбираем наш список

mikrotik filter rule address list

На вкладке Action ставим accept

Ставим правило ВЫШЕ всех запрещающих.

Если нам потом потребуется подключить ещё какие-то устройство, правило создавать уже не надо будет, надо будет только добавить адрес в address list.
Дальше так же в Address-list добавляем ещё один список – anti-nat, поскольку с zyxel ipsec будет работать в тунельном режиме, надо исключить пакеты предназначающиеся в сеть зикселя из маскарада.

Переходим на вкладку NAT и в правилах где есть srcnat на вкладке Аdvanced добавляем наш список с галочкой в dst.

В данном случае рассматривается дефолтная настройка микротика, где в NAT будет всего одно правило.

Галочка в правилах означает отрицание. Т.е. правило будет срабатывать для всех адресов назначения КРОМЕ тех что мы добавили в список anti-nat.

Если будем добавлять ещё устройство, то правила уже менять не надо, только подсети в список anti-nat добавляем.

mikrotik IPsec

Переходим в раздел IPIPsec
Начнём с вкладки Proposals, как водится (+) имя – zyxel, Auth – sha1, Encr – aes128cbc, PFS – none. Т.е. заполняем так же как заполняли раздел VPN Connection на зикселе.

mikrotol ipsec proposal

Переходим к вкладке Peers и снова (+).
Address – внешний адрес зикселя, Auth Method – pre shared key, Secret – тот же что вводили на зикселе, снимаем галочку NAT, Hash – sha1, Encr – aes128, DH – modp1024.

mikrptik ipsec peer

Пару слов про DPD, в поле DPD Interval указывается значение в секундах между попытками. Maximum Failures – указывается количество неудачных попыток. Т.е. если значения выставлены как на скриншоте, то при недоступности туннеля в течении 15 секунд, микротик попытается установить подключение повторно. Дефолтное значение – 10 минут, очень долго.

Собственно тут тоже всё, переходим в раздел Policies.

Снова (+). На вкладке GeneralSrc. Addr – подсеть локальная микротика – 172.16.220.0/24
Dst. Addr – подсеть локальная зикселя – 172.16.240.0/24
mikrotik ipsec policy

Переходим на вкладку Action. Ставим галочку Tunnel, заполняем SA src – внешний IP миротика, SA dst – внешний IP zyxel, Proposal – выбираем тот что создавали ранее.

mikrotik ipsec policy

Всё, можно проверять работу.
Как и прежде если остались какие-либо вопросы – пишите в комментариях, по возможности буду отвечать.

Стоимость Земли — пять квадриллионов долларов.

Некоторые важные особенности смотрите в конце страницы!

1. Откройте Центр уведомлений в правом нижнем углу экрана:

windows 10 pptp l2tp vpn to home network (vpnki)

2. Далее выберите Виртуальная сеть (VPN):

windows 10 pptp l2tp vpn to home network (vpnki)

3. В открывшемся окне Параметры во вкладке VPN нажмите на кнопку Добавление VPN-подключения:

windows 10 pptp l2tp vpn to home network (vpnki)

4. В окне Добавить VPN-подключение заполните следующие параметры:

Поставщик услуг VPN: Windows (встроенные)

Имя подключения: VPNki

Имя или адрес подключения: vpnki.ru

Тип VPN: Протокол PPTP (либо Протокол L2TP/IPSec)

Тип данных для входа: Имя пользователя и пароль

Имя пользователя и пароль: полученные в системе vpnki (например userXXX)

windows 10 pptp l2tp vpn to home network (vpnki)

5. Cохраните подключение

6. Далее выберите пункт Настройка параметров адаптера:

windows 10 pptp l2tp vpn to home network (vpnki)

7. Нажмите правой кнопкой мыши на адаптер VPNki и выберите Свойства:

windows 10 pptp l2tp vpn to home network (vpnki)

8. Выберите в списке IP версии 4 (TCP/IPv4) и нажмите кнопку Свойства:

windows 10 pptp l2tp vpn to home network (vpnki)

9. Оставьте получение IP-адреса и адреса DNS-сервера автоматически и нажмите кнопку Дополнительно:

windows 10 pptp l2tp vpn to home network (vpnki)

10. Во вкладке Параметры IP Снимите галочку с Использовать основной шлюз в удаленные сети и нажмите кнопку OK

windows 10 pptp l2tp vpn to home network (vpnki)

11. Далее во вкладке Безопасность в поле Проверка подлинности выберите:

Разрешить следующие протоколы и оставьте только Протокол проверки пароля (CHAP)

windows 10 pptp l2tp vpn to home network (vpnki)

12. (Только для L2TP) нажмите кнопку Дополнительные параметры и выберите

Для проверки подлинности использовать общий ключ и введите ключ: vpnki

5 7 windows 10 pptp l2tp vpn to home network (vpnki)    5 8 windows 10 pptp l2tp vpn to home network (vpnki)

13. На этом настройка завершена, нажмите кнопку Подключиться и при успешном подключении

состояние VPNki должно измениться на Подключено

5 9 windows 10 pptp l2tp vpn to home network (vpnki)

Особенность 1

Для использования соединения с шифрованием вам необходимо в настройках соединения:
- использовать авторизацию MS-CHAPv2 и указать что будет использоваться шифрование (MPPE)

Для соединения без шифрования вам необходимо:
- использовать авторизацию CHAP и указать, что шифрование использоваться не будет.

Будьте внимательны,
все иные сочетания методов авторизации и шифрования будут приводить к неработоспособности подключения!!!

Особенность 2

Работа протокола PPTP осуществляется с использованием протокола GRE, с которым у некоторых интернет провайдеров России имеются технические сложности. Эти сложности не позволят вам использовать PPTP для построения VPN туннлей. К таким провайдерам относятся МГТС (Московская городская телефонная сеть), Yota, Мегафон. Однако, такая ситуация не во всех частях их сетей.

Для пользователя ситуация будет выглядеть так, что проверка имени пользователя и пароля проходить не будут. Точнее до этого момента даже не дойдет...В пункте меню "События безопасности" вы будете видеть начало успешного подключения и последней будет являться фраза, говорящая о том, что мы готовы проверять имя и пароль, но ...

Access granted. No whitelist is set for user. Ready to check username / password.

Отсуствие соединения и дальнейших записей в логе (при том, что вы твердо уверены в том, что логин и пароль верные), скорее всего, говорит о том, что GRE у вашего провайдера не пропускается. Можете погуглить на этот счет.

PS: В целях борьбы с зависшими сессиями мы принудительно отключаем пользовательские туннели с протоколами PPTP, L2TP, L2TP/IPsec через 24 часа после установления соединения. При правильной настройке соединения должны автоматически переустановиться.

В сегодняшней статье расскажем про способ настройки IPsec сервера на Mikrotik, который будет особенно актуален для пользователей MacOS и iOS - L2TP

Дело в том, что в старших релизах iOS и macOS, компания Apple убрала поддержку PPTP из-за уязвимостей безопасности данного протокола. Поэтому, если раньше вы использовали PPTP для подключения к ресурсам локальной сети, то начиная с версий macOS 10.12 и iOS 10 этого сделать не получится.

Настройка

Итак, давайте перейдём к настройке. В нашем случае используется роутер RB951Ui-2HnD и RouterOS версии 6.23. Для настройки будем пользоваться утилитой WinBox последней версии.

Для начала назначим IP адресацию для VPN сети:

IP адресация для VPN сети

Теперь необходимо включить и настроить L2TP сервер, для этого в меню WinBox слева открываем PPPL2TP Server, включаем сервер, отметив галочкой Enabled, выбираем Use IPsec и задаём пароль:

Включить L2TP сервер

Далее нужно создать пул адресов, который будет назначаться пользователям, которые будут подключаться к нашему серверу. Вы также можете назначить IP адреса вручную, однако, если пользователей будет много, рекомендуется всё же создать пул. Для этого открываем IPPool и создаём новый пул.

Пул адресов для VPN сети

Создадим профиль для пользователей, которые будут подключаться к нашему серверу, в котором укажем ранее созданный пул назначаемых адресов. Для этого открываем PPPProfile+ и добавляем новый профиль, в котором указываем пул, адреса из которого нужно назначать и DNS серверы:

Профиль для пользователей L2TP

Теперь создадим учётную запись для пользователей, которые будут подключаться к нашему серверу и укажем в ней ранее созданный профиль. Для этого открываем PPPSecret+ и заполняем следующие поля:

Создать учётную запись для пользователей

Осталось создать IPsec Peer для L2TP и можно подключаться к нашему новому серверу. Для этого открываем IPIPsecPeers+ и заполняем поля следующим образом:

IPsec Peer для L2TP

Поля во вкладках Advanced и Encryption можно оставить по умолчанию.

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас :( Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации :) Просто оставьте свое данные в форме ниже.

P.S. Если укажите свою дату рождения, то мы обязательно Вас поздравим и подарим небольшой подарок :)

Please enable JavaScript to view the comments powered by Disqus.
More Reading