1888 подписчиков

MikroTik VPN PPTP/L2TP IPsec

21 августа 202321 авг 2023

963

1 мин

PPTP и L2TP IPsec в плане настройки в RouterOS практически идентичны.

Использовать PPTP или L2TP IPsec выбор каждого. Но PPTP не безопасен (хотя кому нужен наш трафик?), а L2TP IPsec создает значительную нагрузку и 2 клиента за 1 NAT’ом могут не правильно работать. Голый L2TP можно использовать наравне с голым GRE, когда нечего шифровать. /ip pool

add name=pool_VPN_PPTP ranges=172.16.1.1-172.16.1.100

add name=pool_VPN_L2TP ranges=172.16.2.1-172.16.2.100 /ppp profile

add change-tcp-mss=yes local-address=pool_VPN_L2TP name

remote-address=pool_VPN_L2TP use-encryption=yes

add change-tcp-mss=yes local-address=pool_VPN_PPTP name

remote-address=pool_VPN_PPTP use-encryption=yes Не забываем разрешить в firewall входящие подключения для PPTP (tcp:1723) и L2TP IPsec (udp:1701,500,4500) /ip firewall filter

add action=accept chain=input comment=PPTP dst-port=1723 protocol=tcp

add action=accept chain=input comment=L2TP dst-port=1701,500,4500 protocol=udp Будет работать доступ в сеть на основ

PPTP и L2TP IPsec в плане настройки в RouterOS практически идентичны.

add name=pool_VPN_PPTP ranges=172.16.1.1-172.16.1.100

add name=pool_VPN_L2TP ranges=172.16.2.1-172.16.2.100 /ppp profile

add change-tcp-mss=yes local-address=pool_VPN_L2TP name

remote-address=pool_VPN_L2TP use-encryption=yes

add change-tcp-mss=yes local-address=pool_VPN_PPTP name

add action=accept chain=input comment=PPTP dst-port=1723 protocol=tcp

add action=accept chain=input comment=L2TP dst-port=1701,500,4500 protocol=udp Будет работать доступ в сеть на основ

PPTP и L2TP IPsec в плане настройки в RouterOS практически идентичны.
Использовать PPTP или L2TP IPsec выбор каждого. Но PPTP не безопасен (хотя кому нужен наш трафик?), а L2TP IPsec создает значительную нагрузку и 2 клиента за 1 NAT’ом могут не правильно работать. Голый L2TP можно использовать наравне с голым GRE, когда нечего шифровать.

/ip pool
add name=pool_VPN_PPTP ranges=172.16.1.1-172.16.1.100
add name=pool_VPN_L2TP ranges=172.16.2.1-172.16.2.100

/ppp profile
add change-tcp-mss=yes local-address=pool_VPN_L2TP name
remote-address=pool_VPN_L2TP use-encryption=yes
add change-tcp-mss=yes local-address=pool_VPN_PPTP name
remote-address=pool_VPN_PPTP use-encryption=yes

Включаем PPP -> PPTP и L2TP сервер, указываем профиль и IPsec Secret

Не забываем разрешить в firewall входящие подключения для PPTP (tcp:1723) и L2TP IPsec (udp:1701,500,4500)

/ip firewall filter
add action=accept chain=input comment=PPTP dst-port=1723 protocol=tcp
add action=accept chain=input comment=L2TP dst-port=1701,500,4500 protocol=udp

Создаем пользователя и указываем тип сервиса и профиль
Если пользователю нужно выдать конкретный IP адрес — указываем
Local Address (IP на стороне сервера)
Remote Address (IP выдаваемый клиенту)
Используется /32 маска — Создаем пользователя и указываем тип сервиса и профиль Если пользователю нужно выдать конкретный IP адрес — указываем Local Address (IP на стороне сервера) Remote Address (IP выдаваемый клиенту) Используется /32 маска

Будет работать доступ в сеть на основе маршрутизации! Выдавать IP адреса из локальной сети не рекомендуется! PPP это отдельный интерфейс со своей адресацией!

Для корпоративной сети с Active Directory можно настроить:

VPN авторизация через Active Directory

Для доступа в интернет через VPN нужно:

Правильный NAT MikroTik

Если вы используете сеть из 10.0.0.0/8, то можете отключать использование шлюза VPN, маршруты прописывать не придется.

Личный MikroTik VPN сервер L2TP/SSTP/PPTP

Открытие портов MikroTik VPN

Настройка-Микротик.РФ

Больше статей по настройке MikroTik на моем сайте https://настройка-микротик.рф

СЕТЕВЫЕ УСЛУГИ

Настройка
Мониторинг
Консультация
Подбор оборудования
Telegram: @Engineer_MikroTik
Все услуги без предоплаты
Работаю с юридическими и физическими лицами

Гаджеты и электроника

5,73 млн интересуются