Введение
L2TP (Layer 2 Tunneling Protocol) с IPsec — это безопасный протокол для создания VPN-соединений, который поддерживается MikroTik RouterOS и встроенными средствами Windows и macOS. Настройка L2TP-подключения к MikroTik позволяет организовать безопасный удаленный доступ к вашей сети. В этой статье мы пошагово разберем, как настроить L2TP-сервер на MikroTik и подключиться к нему с устройств на Windows и macOS.
Что понадобится
- MikroTik роутер с RouterOS (версия 6.16 или новее).
- Публичный IP-адрес на роутере (или настроенный проброс портов через NAT).
- WinBox или доступ к WebFig для настройки MikroTik.
- Компьютер с Windows 10/11 или macOS (Catalina или новее).
Шаг 1: Настройка L2TP-сервера на MikroTik
Для настройки используем WinBox или WebFig. Следуйте инструкции:
1.1. Создание пула IP-адресов
- Откройте WinBox, перейдите в IP → Pool.
- Нажмите «+», задайте имя пула, например, vpn-pool.
- Укажите диапазон адресов, например, 192.168.100.2-192.168.100.10 (не пересекающийся с вашей локальной сетью).
- Нажмите OK.
1.2. Настройка PPP-профиля
- Перейдите в PPP → Profiles.
- Нажмите «+», задайте имя профиля, например, vpn-profile.
- Укажите:
- Local Address: 192.168.100.1 (IP роутера в VPN).
- Remote Address: vpn-pool (пул, созданный ранее).
- DNS Server: 8.8.8.8 (или ваш DNS).
- Оставьте остальные настройки по умолчанию, нажмите OK.
1.3. Создание пользователя
- В разделе PPP → Secrets нажмите «+».
- Заполните:
- Name: имя пользователя (например, vpnuser).
- Password: пароль (например, StrongPass123).
- Service: l2tp.
- Profile: vpn-profile.
- Нажмите OK.
1.4. Включение L2TP-сервера
- Перейдите в PPP → Interface → L2TP Server.
- Включите сервер, установив галочку Enabled.
- Выберите:
- Default Profile: vpn-profile.
- Use IPsec: Yes.
- IPsec Secret: задайте секретный ключ (например, MySecretKey).
- Установите Authentication: mschap1, mschap2.
- Нажмите OK.
1.5. Настройка IPsec
Для совместимости с macOS и Windows настройте IPsec:
- Перейдите в IP → IPsec → Proposals.
- Отредактируйте профиль по умолчанию:
- Auth. Algorithms: sha1, sha256.
- Encr. Algorithms: aes-128-cbc, aes-256-cbc.
- PFS Group: none.
- Перейдите в IP → IPsec → Peer Profiles.
- Отредактируйте профиль по умолчанию:
- Hash Algorithm: sha256.
- Encryption Algorithm: aes-256.
- DH Group: modp1024.
- Нажмите OK.
1.6. Настройка файрвола
Разрешите трафик L2TP/IPsec:
- Перейдите в IP → Firewall → Filter Rules.
- Добавьте два правила (нажмите «+»):
- Правило 1:
- Chain: input.
- Protocol: udp.
- Dst. Port: 500,1701,4500.
- Action: accept.
- Comment: Allow L2TP.
- Правило 2:
- Chain: input.
- Protocol: ipsec-esp.
- Action: accept.
- Comment: Allow IPsec.
- Правило 1:
- Перетащите правила выше любых правил с действием «drop».
Добавьте правило NAT для маскировки:
- Перейдите в IP → Firewall → NAT.
- Нажмите «+», задайте:
- Chain: srcnat.
- Out. Interface: ваш WAN-интерфейс (например, ether1).
- Action: masquerade.
- Нажмите OK.
Шаг 2: Настройка подключения на Windows
- Откройте Панель управления → Сеть и Интернет → Центр управления сетями.
- Выберите Настройка нового подключения или сети → Подключение к рабочему месту → Использовать мое подключение к Интернету (VPN).
- Введите:
- Интернет-адрес: публичный IP-адрес роутера (например, 78.142.25.35).
- Имя: любое (например, MikroTik VPN).
- Нажмите Создать.
- Перейдите в Центр управления сетями → Изменение параметров адаптера.
- Кликните правой кнопкой на созданное подключение → Свойства.
- На вкладке Безопасность:
- Тип VPN: L2TP/IPsec.
- Нажмите Дополнительные параметры, выберите Использовать предварительный ключ, введите IPsec Secret (MySecretKey).
- Протоколы данных: выберите CHAP, MS-CHAP v2.
- Нажмите OK.
- Подключитесь, введя имя пользователя (vpnuser) и пароль (StrongPass123).
Шаг 3: Настройка подключения на macOS
- Откройте Системные настройки → Сеть.
- Нажмите «+» в левом нижнем углу, выберите:
- Интерфейс: VPN.
- Тип VPN: L2TP через IPsec.
- Имя службы: MikroTik VPN.
- Заполните:
- Адрес сервера: публичный IP-адрес роутера (например, 78.142.25.35).
- Имя учетной записи: vpnuser.
- Нажмите Настройки аутентификации:
- Пароль: StrongPass123.
- Общий секрет: MySecretKey.
- Нажмите Дополнительно, включите Отправлять весь трафик через VPN (если нужно).
- Нажмите OK, затем Применить.
- Выберите созданное подключение и нажмите Подключить.
Частые проблемы и их решения
- Ошибка «Сервер не отвечает»:
- Проверьте, открыт ли порт 1701 (UDP) и 500, 4500 (UDP) в файрволе роутера.
- Убедитесь, что IPsec-секрет совпадает на сервере и клиенте.
- Подключение есть, но нет доступа к локальной сети:
- Проверьте, включен ли proxy-arp на мосту (Bridge → Ports).
- Убедитесь, что NAT-правило для masquerade активно.
- MacOS: «L2TP-сервер не отвечает»:
- Проверьте настройки IPsec (sha256, aes-256, modp1024).
- Попробуйте отключить «Отправлять весь трафик через VPN».
Частые вопросы и ответы
Да, но это не рекомендуется, так как без IPsec данные не шифруются, и соединение становится уязвимым. Использование IPsec обеспечивает 256-битное шифрование, что делает L2TP безопасным.
Эта ошибка обычно связана с неправильным IPsec-секретом или неподдерживаемыми алгоритмами шифрования. Убедитесь, что:
IPsec-секрет на клиенте совпадает с сервером.
В IPsec Proposals выбраны sha1, aes-128-cbc, aes-256-cbc.
В реестре Windows включена поддержка L2TP (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent, параметр AssumeUDPEncapsulationContextOnSendRule = 2).
Для этого настройте маршрутизацию на клиенте:
Windows: В свойствах VPN-соединения (IPv4) снимите галочку «Использовать шлюз по умолчанию в удаленной сети».
macOS: В настройках VPN отключите опцию «Отправлять весь трафик через VPN».
Заключение
Настройка L2TP/IPsec на MikroTik для Windows и macOS — это простой процесс, если следовать пошаговой инструкции. После настройки вы получите безопасное VPN-соединение для удаленного доступа к вашей сети. Если у вас возникли проблемы, проверьте файрвол, IPsec-настройки и логи MikroTik. Хотите узнать больше? Читайте наш гайд по настройке OpenVPN на MikroTik.
