Mikrotik VPN IPsec+L2TP

Skratka z novimi posodobitvami za IOS in MAC os je Apple izločil navaden VPN, ki sicer še vedno deluje na Microsoft gajbicah. Kakorkoli za pridobitev SLO IP + ostale zadeve sem bil primoran nastaviti nov VPN. Odločil sem se za IPsec+L2TP, ki naj bi bil precej varen. Ne bom razglabljal v detajle….zopet ti pomagam spraviti zadevo skupaj. Najprej sem pogledal navodila na mikrotik strani in se izgubil: http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Apple_iOS_.28iPhone.2FiPad.29_Client

V “” so ukazi ali podatki, ki jih moraš prirediti za svoj router.
Ok….kakor že poznano sem uporabil remote dostop preko SSH:

Če se boš povezoval preko SSH je ukaz sledeči:  ssh “user”@”ip mikrotik”

Najprej omogočimo L2TP server:
/interface l2tp-server server
set authentication=mschap2 enabled=yes

oz. tokrat bo lažje klikati preko browserja. Poiščeš PPP>interfaces>L2TP server.
enabled – DA
Default profile – ipsec+L2TP
Authentication – mschap2
Use IPsec – DA
IPsec Secret “vneseš neko geslo, ki se ga zapomni saj ga boš kasneje moral vnesti na klientu, ki se povezuje na VPN – imenuje se SECRET”

PPP>Profiles >Add New
name: “ipsec+L2TP”
Local Address: “IP tvojega routerja”
Remote Address: ipsec-pool (ga skreiramo v naslednjem koraku, zato moraš priti nazaj popraviti zadevo)
DNS Server:  “IP tvojega routerja”
Change TCP MSS: yes
Use Encryption: yes
ostalo pustiš na default
Comment: ipsec+L2TP

IP>pool>Add new
Name: ipsec-pool
Adresses: “192.168.x.120-192.168.x.122” – poljubno, vsekakor pa iz ranga DHCP

PPP>secrets>Add new
enabled – DA
Name: “uporabniško ime” – se ga zapomni, saj ga boš kasneje moral vnesti na klientu, ki se povezuje na VPN.
Password: “geslo” – se ga zapomni, saj ga boš kasneje moral vnesti na klientu, ki se povezuje na VPN.
Service: l2tp
Profile: ipsec+L2TP
Comment: “ipsec+L2TP secret”

Nadaljujemo z konfiguracijo IPsec:
poiščeš levo IP>IPsec>Groups
Name: ipsec+l2tp

v zavihku zraven Groups poiščeš Proposals
uredil sem kar default, ki je že obstajal in sicer:
Enabled – DA
Auth. Algorithms – sha1
Encr. Algorithms – 3des, aes-128 cbc, aes-256 cbc

v zavihku zraven Proposals poiščeš Peers>Add New
Enabled – DA
Address: 0.0.0.0/0
Secret – vneseš isto geslo, kot zgoraj za  – “SECRET”
Exchange Mode – main l2tp
Send Initial Contact – DA
NAT Traversal – DA
Proposal Check – obey
Hash Algorithm – sha1
Encryption Algorithm: aes-192, aes-256, 3des, aes-128
Generate Policy – izbereš port-strict

v zavihku zraven Peers poiščeš Policies in Add New
Enabled – DA
Src. Address: 0.0.0.0/0
Dst. Address: 0.0.0.0/0
Protocol: 17 (udp)
Template: DA
Group: ipsec+l2tp
Action: encrypt

Skoraj smo na koncu. Potrebno je še skonfigurirati požarni zid.
IP>firewall>Add New
dodamo tri iste, razlike so samo v dst. port, ki so 500, 1701, 4500.
enabled – DA
Chain – input
Protocol – 17 (udp)
Dst. port (500, 1701, 4500)
In. interface: ether 1
action: accept
Comment: VPN

In že lahko skonfiguriraš klienta. Spišem v kratkem navodila še za to.

Če ugotoviš izboljšave ali napake pa me prosim kontaktiraj.