Jak na Mikrotiku nastavit L2PT VPN

Ukážeme si, jak na Mikrotiku nastavit VPN přístup pomocí protokolu L2TP. V minulém návodu jsem ukazoval, jak nastavit VPN pomocí PPTP. Nicméně tento protokol je již zastaralý, nebezpečný, a tak si ukážeme, jak nastavit VPN na novějším L2PT.

Nejprve je potřeba zkontrolovat nastavení Interface, zdali je povolen ARP. Ten se totiž stará o překlad komunikace, a pokud by nebyl zapnut, při připojení k VPN bychom neměli přístup do lokální sítě.

Poté si pro připojené klienty nachystáme adresy, které jim budeme přidělovat. V menu Ip vybereme volbu Pool. Nový rozsah pojmenujeme VPN a dáme mu adresaci 192.168.9.10 – 192.168.9.20.

V menu PPP klikneme na tlačítko L2TP server. Tlačítkem Enable zapneme L2PT server. Jako Autentifikaci zvolíme mschap2 a mschap1. Volba Use IPsec zvolíme YES a nastavíme tajné heslo.

Ze stejného menu PPP vybereme panel Profiles a vytvoříme nový profil. Název zadáme L2TP jako lokální adresu zvolíme 192.168.9.1 a remote addres vybereme náš dříve vytvořený Ip rozsah VPN. Ve spodní části na řádku Use Encryption vyberme Yes.

V dalším kroku vytvoříme uživatele, který se do naší sítě bude přihlašovat. Menu PPP > panel Secrets tlačítko ADD New. Jako Name uvedeme název uživatele, dále nastavíme dostatečně dlouhé heslo. Service zvolíme L2TP, v poli Profile vybereme výše vytvořený L2TP profil. Tím připravíme uživatelský účet, který se bude moct přihlásit.

Aby se však mohli připojit, musíme nejdříve povolit na Firewallu pravidlo pro komunikaci. V menu Ip vybereme položku Firewall. Klikněte na tlačítko ADD NEW. Řádek Chain zvolíme input. Protokol ipsec-esp. Ve spodní na řádku Action zvolíme accept a v položce comment doporučuji napsat VPN L2TP.

Dále vytvoříme druhé pravidlo. Chain input. Protokol zvolíme UDP. Dst.Port bude 500,1701,4500. In.Interface vybereme ether1, ve které je připojená internetová konektivita a ve spodní části pravidla v položce Action vybereme accept.