L2TP/IPSec Mikrotik Windows
Więcej miejsc do posłuchania:
Link do artykułu.
0:00 Wprowadzenie
0:22 Dlaczego Warto Wykorzystywać L2TP i IPSec?
1:13 Konfiguracja Połączenia VPN przez L2TP
4:48 Podsumowanie
Transkrypcja
Cześć. Chciałbyś się dowiedzieć jak można bezpiecznie i szybko bez jakiejś nadmiernej konfiguracji skonfigurować MikroTika do L2TP przez IPSec i klienta czyli stację Windowsową? Jeżeli tak to w tym odcinku pokażę jak kilka kroków wykonać żeby spiąć taki bezpieczny tunel.
Dlaczego warto wykorzystywać L2TP i IPSec? Zaletami przede wszystkim jest to, że jest gotowy klient na stacji końcowej, czyli nie musisz nic instalować jeżeli chodzi o klienta VPN’owego. Jest to w oparciu o IPSec czyli jest szyfrowany i jest zabezpieczone bardzo dobrze. No i trzecia rzecz, że możesz po prostu sobie taki dostęp stworzyć w dowolnym momencie wszędzie tam, gdzie masz Mikrotika. Czyli wystarczy tylko minimalna konfiguracja do urządzenia, które pełni jednocześnie funkcję routera, firewalla i masz dostęp zdalny. To jest zalecane podejście niezależnie od tego jaką metodę VPN’a przyjmiesz, jest zalecane to podejście do każdego serwera czy usługi, który nie ma być publiczny, czyli ma być tylko dla Ciebie albo pracowników firmy w której pracujesz.
Serwer L2TP na Mikrotiku. Konfigurację połączenia VPN przez L2TP zacznę od konfiguracji puli czyli IP, potem Pool. Czyli najpierw nazwa puli następnie adres jaki będziemy używać czyli zakres adresów przypisywany dla klientów końcowych, Pula stworzona. Kolejny krok to konfiguracja profilu PPP. Czyli jakąś nazwę musimy oczywiście tego profilu nadać, następnie wybieramy adres IP, dla tego połączenia adres IP serwera. Adresy zdalne wybieramy z Pool’i. Zaznaczam tutaj, że nie będę używał IPv6 dla tego profilu MPLS’a i będzie to połączenie szyfrowane. Kompresja domyślna.
Kolejnym krokiem jest stworzenie profilu z hasłem. Czyli użytkownik netadmin, ustawiam hasło i przypisuje do serwisu L2TP, profil L2TP. Wcześniej stworzony. Czyli użytkownika z hasłem mamy, teraz konfiguracja serwera L2TP. Czyli w kontekście interfejsu serwer L2TP włączamy. Trzeba tylko wybrać domyślny profil z którego będziemy korzystać, uwierzytelnienie w oparciu o mschap2 i wykorzystujemy IPSec ze współdzielonym hasłem. Pozostało nam jeszcze do konfiguracji Firewall czyli reguły, które będą zezwalały na ruch przychodzący do naszego Mikrotika. Tutaj będzie w chain input. Porty wymagane to 500, 4500, 1701, Action accept i to są protokoły przychodzące.
Kolejna reguła to na wejściu, na input protokół IPSec. esp, również accept. I dodatkowo reguła source NAT i maskarada na interfejsie eth 1 czyli NAT’owanie będziemy robić dla ruchu przychodzącego przez tunel. No i teraz możemy sprawdzić jak nasza konfiguracja zadziała. Najpierw interfejs LAN’owy, który widzimy, czyli nie ma tunelu, nie pingujemy adresu naszego Mikrotika w tunelu L2TP, czyli widać, że tunel nie jest zestawiony. To co potrzebujemy zrobić to wejść w ustawienia VPN, dodać nowy profil, nazwę wpisać tego profilu, nazwa lub adres IP, w tym przypadku adres IP. No i wybieramy tryb L2TP IPSec z kluczem wstępnym, czyli z tym współdzielonym hasłem do IPSec’a. No i wpisujemy nazwę użytkownika, którego konfigurowaliśmy w tym profilu Secret i to wszystko co w tej opcji potrzebujemy skonfigurować. Łączymy tunel, widać, że tunel jest zestawiony.
Sprawdźmy teraz jakie mamy interfejsy. Widać, że pojawił się dodatkowo interfejs PPP i adres dla tego interfejsu z końcówką 10. Możemy zapingować Mikrotika czyli końcówka 1. Widać, że działa ten ruch przez tunel jak również pingujemy ruch do internetu czyli maskarada również działa. Rozłączymy ten tunel to możemy sprawdzić czy pingujemy adres IP Mikrotika w tunelu. Widać, że time out, tunel nie jest podniesiony więc zgodnie z oczekiwaniem te pakiety ICMP nie przechodzą. Możemy jeszcze zobaczyć w tej sekcji Active Connections dla PPP jaki klient jest tutaj aktywny i jaka jest jego sesja aktywna.
Na dzisiaj to tyle, jeżeli masz jakieś pytania do tego odcinka to oczywiście pisz w komentarzu. Jeżeli masz jakieś sugestie do innego tematu również napisz do mnie w komentarzu. Dziękuję Ci za uwagę i do usłyszenia już za tydzień.