L2TP VPN Server

Материал из darklurker wiki
Перейти к: навигация, поиск

Настройка сервера

  • Создаем пул адресов для впн
ip pool add comment="l2tp" name=l2tp_pool ranges=192.168.110.2-192.168.110.10
  • Создаем PPP профиль
ppp profile add name=l2tp_profile local-address=l2tp_pool remote-address=l2tp_pool change-tcp-mss=yes use-mpls=default use-compression=default use-encryption=default only-one33m=default
  • Создаем пользователя L2TP
ppp secret add name=vasya password=pass service=l2tp profile=l2tp_profile
  • Включаем и настраиваем сам L2TP сервер
interface l2tp-server server set enabled=yes max-mtu=1450 max-mru=1450 keepalive-timeout=30 default-profile=l2tp_profile authentication=mschap2 use-ipsec=yes ipsec-secret=ваш_секретный_ключ
  • Изменим название дефолтной групповой полики IPsec
ip ipsec policy group set default name=policy_group1
  • Настроим пиров:
ip ipsec peer add address=0.0.0.0/0 passive=yes auth-method=pre-shared-key secret="ваш_секретный_ключ" generate-policy=port-override [mpolicy-template-group=policy_group1 exchange-mode=main-l2tp send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-256,aes-128,3des dh-group=modp1024 lifetime=1d dpd-interval=2m dpd-maximum-failures=5
  • Настраиваем опции подключения:
ip ipsec proposal add name="default" auth-algorithms=sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m pfs-group=modp1024
  • Открываем доступ к необходимым портам в фаерволе
/ip firewall filter
add chain=input action=accept protocol=udp port=1701,500,4500
add chain=input action=accept protocol=ipsec-esp

Не забываем поднять их выше, чем любые запрещающие правила, можнос делать командой move

  • Если по-умолчанию политика forward установлена в drop (последнее правило для forward "chain=forward action=drop"), необходимо разрешить forward с ip-адресов l2tp_pool в локальную сеть:
add chain=forward action=accept src-address=192.168.112.0/24 in-interface=!ether1 out-interface=bridge-local comment="allow vpn to lan" log=no log-prefix=""


Настройки для клиента


Здесь все достаточно просто, создаем новое подключение VPN со следующими параметрами

L2tp 1.png L2tp 2.png