Mikrotik VPN IPsec+L2TP – update 2020

Leta 2016 sem veselo spisal prvo verzijo Mikrotik VPN IPsec+L2TP, ki pa je žal prenehala delovati. Nekako je vseeno trajalo nekaj mesecev, da sem se polotil popravljanja in ponovnega rekonfiguriranja Mikrotik Routerja. Kakor se je na koncu izkazalo so fantje spremenili nekaj funkcij in se je zadeva enostavno podrla.

2020 nastavitve so sledeče, deluje tudi na iPhone 😉

Najprej omogočimo L2TP server:

Poiščeš PPP>interfaces>L2TP server.
enabled – DA
Default profile – default-encryption
Authentication – mschap2
Use IPsec – NO

PPP>Profiles >Add New
name: “ipsec+L2TP”
Local Address: “IP tvojega routerja”
Remote Address: ipsec-pool (ga skreiramo v naslednjem koraku, zato moraš priti nazaj popraviti zadevo)
DNS Server:  “IP tvojega routerja”
Change TCP MSS: yes
Use Encryption: yes
ostalo pustiš na default
Comment: ipsec+L2TP

IP>pool>Add new
Name: ipsec-pool
Adresses: “192.168.x.120-192.168.x.122” – poljubno, vsekakor pa iz ranga DHCP

PPP>secrets>Add new
enabled – DA
Name: “uporabniško ime” – se ga zapomni, saj ga boš kasneje moral vnesti na klientu, ki se povezuje na VPN.
Password: “geslo” – se ga zapomni, saj ga boš kasneje moral vnesti na klientu, ki se povezuje na VPN.
Service: l2tp
Profile: default-encryption
Comment: ipsec+L2TP

Nadaljujemo z konfiguracijo IPsec:

IP>IPsec>Policies
Enabled – DA
Src. Address: 0.0.0.0/0
Dst. Address: 0.0.0.0/0
Protocol: 255 (all)
Template: DA
Group: ipsec+l2tp
Action: encrypt
comment: ipsec+l2tp

IP>IPsec>Proposals
uredil sem kar default, ki je že obstajal in sicer:
Enabled – DA
Auth. Algorithms – sha1
Encr. Algorithms – 3des, aes-128 cbc, aes-256 cbc

IP>IPsec>Groups
Name: ipsec+l2tp

IP>IPsec>Peers
Enabled – DA
Name: peer1
Address: 0.0.0.0/0
Profile: profile_1
Exchange Mode: main
Passive: DA
Send INITIAL_CONTACT – DA
comment: ipsec+l2tp

IP>IPsec>Identites
Enabled – DA
Name: peer1
Auth. Metod: pre shared key
Profile: profile_1
Secret: vneseš geslo, ki ga boš kasneje še v klienta, zapomni se ga 😉
Policy Template Group: ipsec+l2tp
comment: ipsec+l2tp

IP>IPsec>Profiles
Name: profile_1
Hash Algoritms: sha1
Encryption Algorithm: aes-128, 192, 256 in modp1024
NAT Traversal: DA

Skoraj smo na koncu. Potrebno je še skonfigurirati požarni zid.
IP>firewall>
dodamo tri iste, razlike so samo v dst. port, ki so 500, 1701, 4500.
enabled – DA
Chain – input
Protocol – 17 (udp)
Dst. port (500, 1701, 4500)
In. interface: ether 1
action: accept
Comment: VPN

Na koncu ko se uspeš povezat na routerju lahko pod PPP>Active Connections vidiš svojo povezavo in dodeljen lokalni IP naslov kot tudi zunanji IP s katerega se naprava povezuje, ter čas povezave.

Za dodatne informacije in izboljšave sem vedno na voljo na kontaku.