RB3011UiAS-RM

RB3011UiAS-RM Хостинг
Содержание
  1. Настраиваем VPN на MikroTik — протоколы PPtP и PPPoE
  2. Разблокируем интернет с помощью Mikrotik и VPN
  3. Настройка VPN на MikroTik
  4. Сервер PPtP
  5. Настройка PPPoE-сервера
  6. Настройка маршрутизатора как клиента сервера
  7. Устанавливаем VPN соединение
  8. Выбор протокола для VPN
  9. Eurasian Conformity Mark
  10. Powering
  11. Accessories
  12. Norma Oficial Mexicana
  13. Reset button
  14. CE Declaration of Conformity
  15. Firewall
  16. Operating system support
  17. Federal Communication Commission Interference Statement
  18. Записки IT специалиста
  19. Настройка шифрования данных в «туннеле» (IPSec)
  20. Mikrotik rb3011uias rm ipsec
  21. Re: RB3011 IPSEC Hardware Encryption?
  22. Re: RB3011 IPSEC Hardware Encryption?
  23. Re: RB3011 IPSEC Hardware Encryption?
  24. Re: RB3011 IPSEC Hardware Encryption?
  25. Re: RB3011 IPSEC Hardware Encryption?
  26. Re: RB3011 IPSEC Hardware Encryption?
  27. Re: RB3011 IPSEC Hardware Encryption?
  28. Re: RB3011 IPSEC Hardware Encryption?
  29. Re: RB3011 IPSEC Hardware Encryption?
  30. Re: RB3011 IPSEC Hardware Encryption?
  31. Re: RB3011 IPSEC Hardware Encryption?
  32. Re: RB3011 IPSEC Hardware Encryption?
  33. Re: RB3011 IPSEC Hardware Encryption?
  34. Re: RB3011 IPSEC Hardware Encryption?
  35. Строим маршрут через VPN
  36. Specifications
  37. Login MikroTik Router to setup VPN
  38. Enable VPN in MikroTik Router board
  39. Create a VPN client connection in Windows 10
  40. Create a New VPN connection
  41. Connect VPN connection from Windows 10
  42. Related Post
  43. Настройка VPN-подключения в роутерах Mikrotik
  44. PPTP-клиент
  45. L2TP-клиент
  46. SSTP-клиент
  47. OpenVPN-клиент
  48. Маршрутизация
  49. Дополнительные материалы:
  50. Mikrotik
  51. The Dude
  52. Настройка туннелирования (L2TP)
  53. First use
  54. Mounting
  55. Safety Warnings
  56. Extension slots and ports
  57. Настройка VPN IPSec/L2TP сервера Mikrotik

Настраиваем VPN на MikroTik — протоколы PPtP и PPPoE

RB3011UiAS-RM

MikroTik производят профессиональное сетевое оборудование с возможностью тонкой настройки. Поэтому для VPN-сервера или клиента маршрутизаторы этой фирмы подходят просто отлично.

Разблокируем интернет с помощью Mikrotik и VPN

RB3011UiAS-RM

В этом пошаговом руководстве я расскажу, как настроить Mikrotik, чтобы запрещённые сайты автоматом открывались через этот VPN и вы могли избежать танцев с бубнами: один раз настроил и все работает.

В качестве VPN я выбрал SoftEther: он настолько же прост в настройке как и RRAS и такой же быстрый. На стороне VPN сервера включил Secure NAT, других настроек не проводилось.

В качестве альтернативы рассматривал RRAS, но Mikrotik не умеет с ним работать. Соединение устанавливается, VPN работает, но поддерживать соединение без постоянных реконнектов и ошибок в логе Mikrotik не умеет.

Настройка производилась на примере RB3011UiAS-RM на прошивке версии 6.46.11.
Теперь по порядку, что и зачем.

Настройка VPN на MikroTik

Маршрутизаторы MikroTik настраиваются через утилиту WinBox, которая доступна для скачивания на официальном сайте. Поэтому перед началом работы скачайте и установите её.

RB3011UiAS-RM

Нажав на кнопку Winbox, вы увидите список версий, доступных для скачивания

Сервер PPtP

Для начала включим сам сервер:

  1. Откройте Winbox и выберите раздел PPP.
  2. Выберите в верху окна вкладку Interface.
  3. Чуть ниже вы найдёте кнопку PPTP Server. Нажмите её.
  4. У вас откроется окно настроек сервера. Поставьте галочку напротив строки Enabled — это включит сервер с протоколом PPtP.
  5. Теперь перейдём к его настройке. Установите максимальные значения MTU и MRU на 1460.
  6. Снимите галочки с рар и chap.
  7. Установите галочки напротив mschap1 и mschap2.

RB3011UiAS-RM

Так должно выглядеть окошко настроенного сервера PPtP

Теперь добавим пользователей, которые смогут пользоваться нашим зашифрованным туннелем:

  1. Не выходим из PPP.
  2. Переходим на вкладку Secrets.
  3. Слева вверху видим плюсик. Он нам и нужен — нажимаем.
  4. Откроется окно создания пользователей. Первые две строки — логин и ключ для будущего юзера. Именно их нужно будет вводить потом при подключении к маршрутизатору, поэтому лучше сразу запишите их.
  5. В третьей строке (Service) выбираем протокол. В нашем случае — PPtP.
  6. Профиль оставьте default.
  7. Далее нужно вписать два IP-адреса. В строке Local мы указываем адрес нашего MikroTik — то есть сервера. В строке Remote — IP пользовательского компьютера, который планируем подключать.

RB3011UiAS-RM

В каждом окошке вы создаёте нового пользователя, поэтому действия придётся повторить, если вы хотите подключить больше одного

Мы создали нашего первого пользователя! Если вы хотите подключить больше пользователей, то снова повторите шаги с 2 по 7, вводя новые имя, пароль и remote-адрес.

Теперь пришло время добавить исключения в Firewall, чтобы обеспечить подключение. Нам нужно добавить правило, чтобы открыть порт. Для этого:

  1. Выберите раздел IP.
  2. Перейдите на вкладку Firewall.
  3. Найдите кнопку Filter Rules.
  4. Справа вверху вы увидите красный плюсик. Нажмите его — так мы создадим новое правило.
  5. В новом окошке убедитесь, что находитесь на вкладке General.
  6. В первое поле (Chain) введите input.
  7. В поле Protocol выберите 6 (tcp).
  8. В Dst. Port пропишите 1723 — это и есть номер нужного порта.

RB3011UiAS-RM

Мы сделали правило, которое откроет 1723 порт

Теперь нужно добавить разрешение на использование протокола GRE:

  1. Ещё раз нажмите на красный плюсик, чтобы создать новое правило.
  2. Заполните первую строку как input
  3. В поле Protocol из выпадающего списка выберите протокол gre (пусть вас не смущает строчное написание).
  4. Поле Dst.Port оставьте пустым. Нажмите Apply.
  5. Перейдите на вкладку Action и выберите accept из выпадающего списка.
  6. Apply — OK.

Создав правила, перетяните их в самый верх списка на вкладке Filter Rules, иначе они будут подавляться другими правилами.

На этом настройка VPN-сервера на протоколе PPtP завершена.

Настройка PPPoE-сервера

Для настройки PPPoE мы также будем использовать Winbox:

  1. Перейдите в раздел PPP, откройте пункт Profiles.
  2. Нажмите красный плюсик в углу окна.
  3. В открывшемся окне на вкладке General введите произвольное название профиля, укажите IP-адрес сервера (то есть маршрутизатора) и поставьте флажок Yes в разделе Change TSP MSS.

RB3011UiAS-RM

Корректировка MSS обеспечивает правильное открытие сайтов

RB3011UiAS-RM

Шифрование (Encryption) лучше оставить включённым, потому что в противном случае VPN-соединение становится не таким защищённым

RB3011UiAS-RM

На этой вкладке мы вводим ограничения на использование нашего сервера

Мы создали профиль сервера, теперь пришло время добавить пользователей, которые смогут к нему подключаться:

  1. Как и в прошлый раз, идём в раздел РРР, переходим на вкладку Secrets и нажимаем на красный плюсик.
  2. Заполнять форму теперь нужно чуть по-другому. В первых двух полях укажите имя и пароль для будущего юзера.
  3. В поле Service выберите рррое.
  4. В поле Profile выберите профиль, который мы только что создали.
  5. Адрес маршрутизатора вводить не нужно. В строке Remote введите IP устройства-клиента.

RB3011UiAS-RM

Как и прежде, для создания нескольких пользователей проделайте этот алгоритм нужное количество раз

Теперь привяжем интерфейс маршрутизатора к профилю:

  1. В разделе РРР находим кнопку PPPoE Servers.
  2. В поле Default Profile выбираем из выпадающего списка настроенный ранее профиль.
  3. В поле Interface выбираем интерфейс маршрутизатора. Это физический порт, к которому подсоединяют устройства-клиенты. Его номер можно посмотреть на корпусе.
  4. В поле Keepalive Timeout рекомендуется поставить 30 секунд, но при малой пропускной способности туннеля или слабом сервере стоит установить 40–50 секунд.

RB3011UiAS-RM

Последние четыре галочки можно оставить, но продвинутые пользователи для улучшения работоспособности могут снять ненужные им

Если вы создавали локальный сервер без доступа в интернет, то на этом настройка закончена. Если же вас интересует доступ к глобальной сети, то нужно также настроить NAT:

  1. Перейдите в раздел IP.
  2. Выберите пункт Firewall.
  3. Нажмите на красный плюсик. Мы создаём новое правило.
  4. В поле Chain пропишите srcnat.
  5. В поле Src.Address мы укажем диапазон адресов. Прописывается он так: 10.1.0.0/16.
  6. В поле Dst.Address вначале вводим восклицательный знак, а затем 10.0.0.0/8. Это тоже диапазон адресов, а не конкретный IP.

RB3011UiAS-RM

NAT обеспечит вам защищённый доступ в интернет

Теперь ваш сервер готов к работе в глобальной сети.

Настройка маршрутизатора как клиента сервера

Если же наш маршрутизатор будет использоваться не в качестве сервера, а в качестве его клиента, подключение осуществляем следующим образом:

  1. В Winbox открываем раздел РРР.
  2. В нём выбираем пункт Interface.
  3. Находим строку «PPPoE-клиент» и нажимаем на плюсик.
  4. В открывшемся окне настроек в последней строке выбираем тот интерфейс, через который маршрутизатор подключён к серверу. Больше на вкладке General ничего не меняем.

RB3011UiAS-RM

Значения MTU и MRU оставляем нетронутыми

RB3011UiAS-RM

Логин и пароль вы можете уточнить у владельца сервера

Настройка VPN-сервера не так сложна, как может показаться на первый взгляд. И хотя утилита Winbox может поначалу отпугнуть своей сложностью и огромной функциональностью, благодаря пошаговым инструкциям можно без труда разобраться в настройке MikroTik.

Источник

Устанавливаем VPN соединение

В качестве VPN решения был выбран, конечно, SoftEther, L2TP с предварительным ключом. Такого уровня безопасности достаточно кому угодно, потому что ключ знает только роутер и его владелец.

Переходим в раздел interfaces. Сначала добавляем новый интерфейс, а потом вводим ip, логин, пароль и общий ключ в интерфейс. Жмем ок.

RB3011UiAS-RM

RB3011UiAS-RM

То же самое командой:

/interface l2tp-client
name=»LD8″ connect-to=45.134.254.112 user=»Administrator» password=»PASSWORD» profile=default-encryption use-ipsec=yes ipsec-secret=»vpn»

SoftEther заработает без изменения ipsec proposals и ipsec profiles, их настройку не рассматриваем, но скриншоты своих профилей, на всякий случай, автор оставил.

RB3011UiAS-RM

Для RRAS в IPsec Proposals достаточно изменить PFS Group на none.

Теперь нужно встать за NAT этого VPN сервера. Для этого нам нужно перейти в IP > Firewall > NAT.

Тут включаем masquerade для конкретного, или всех PPP интерфейсов. Роутер автора подключен сразу к трём VPN’ам, поэтому сделал так:

RB3011UiAS-RM

RB3011UiAS-RM

То же самое командой:

/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp

Выбор протокола для VPN

В этой статье мы рассмотрим два наиболее популярных протокола: PPPoE и PPtP.

PPtP чаще всего используется для удалённого доступа к корпоративной сети. К его преимуществам относят простоту настройки и стабильность. Среди минусов — сравнительно слабая система защиты, наличие изъянов в безопасности, невозможность использовать динамические IP-адреса. Настройку PPtP можно представить в виде простой последовательности:

  1. Создание сервера на маршрутизаторе.
  2. Создание и подключение профилей пользователей.
  3. Запись исключений для файервола.

PPPoE — протокол, популярный среди провайдеров интернета. Он отличается хорошей масштабируемостью (вы без особого труда сможете расширить сеть), стабильностью, устойчивостью к атакам, использующим уязвимости протокола ARP. При подключении на PPPoE можно использовать динамические адреса и не прописывать IP каждому конечному узлу сети. Минус РРРоЕ — более сложный процесс подключения.

MikroTik также поддерживают протоколы L2TP, OpenVPN, IPSec. Но они встречаются реже и настраиваются сложнее, поэтому их касаться в этой статье, ориентированной на начинающих, не будем.

Eurasian Conformity Mark

Информация о дате изготовления устройства указана в конце серийного номера на его наклейке через дробь. Первая цифра означает номер года (последняя цифра года), две последующие означают номер недели.

Изготовитель: Mikrotikls SIA, Aizkraukles iela 23, Riga, LV-1006, Латвия, support@mikrotik.com. Сделано в Китае, Латвии или Литве. Cм. на упаковке.

Для получения подробных сведений о гарантийном обслуживании обратитесь к продавцу. Информация об импортерах продукции MikroTik в Российскую Федерацию: https://mikrotik.com/buy/europe/russia

Продукты MikroTik, которые поставляются в Евразийский таможенный союз, оцениваются с учетом соответствующих требований и помечены знаком EAC, как показано ниже:

RB3011UiAS-RM

Powering

The device accepts powering from either the power jack or from the LAN1 Ethernet port:

  • Direct-input power jack (5.5 mm outside and 2 mm inside diameter, female, pin positive plug) accepts 14-30 V DC ⎓ (overvoltage protection starts at 30 V).
  • Eth1 port accepts 14-30 V DC ⎓ input (at the board; higher voltage needed to compensate for power loss on long cables) from non-standard (passive) Power over Ethernet injectors. The board does not support IEEE802.3af compliant 48 V power injectors.

The power consumption under maximum load can reach 30 W.
Connecting to a POE Adapter:

  1. Connect the Ethernet cable from the device to the POE port of the POE adapter.
  2. Connect an Ethernet cable from your LAN to the LAN port of the POE adapter, please mind arrows for data and power flow.
  3. Connect the power cord to the adapter, and then plug the power cord into a power outlet.
Читайте также:  Легкая передача почты: полное руководство

Accessories

The package includes the following accessories that come with the device:

  • EU/US Switching Power Supply DC ⎓ 24 V, 1.2 A, 28.8 W, 86.8%, VI, cable:220 cm.
  • 1U rackmount bracket black.
  • Fastening set for RB2011 rackmount case K-19 v3.

Norma Oficial Mexicana

EFICIENCIA ENERGETICA CUMPLE CON LA NOM-029-ENER-2017.

La operacion de este equipo esta sujeta a las siguientes dos condiciones:

  • Es posible que este equipo o dispositivo no cause interferencia perjudicial y.
  • Este equipo debe aceptar cualquier interferencia, incluyendo la que pueda causar su operacion no deseada.

Fabricante: Mikrotikls SIA, Brivibas gatve 214i, Riga, LV-1039, Latvia.

País De Origen: Letonia; Lituania; China (Republica Popular); Estados Unidos De America; Mexico.

Por favor contacte a su distribuidor local para preguntas regionales específicas. La lista de importadores se puede encontrar en nuestra página de inicio – https://mikrotik.com/buy/latinamerica/mexico.

Reset button

To use the reset button, hold it and then turn on the device, while still holding the button.

  • Release the button when the green LED starts flashing, to reset the RouterOS configuration. To not load the backup bootloader, you can start holding the button after power is already applied.
  • Release the button after LED is no longer flashing (

20 seconds) to cause a device to look for Netinstall servers (required for reinstalling RouterOS over the network). You can also release the button at the time when the device has appeared on the Netinstall utility device list.

Regardless of the above option used, the system will load the backup RouterBOOT loader if the button is pressed before power is applied to the device. Useful for RouterBOOT debugging and recovery.

CE Declaration of Conformity

Manufacturer: Mikrotikls SIA, Brivibas gatve 214i Riga, Latvia, LV1039.

Источник

Firewall

Давайте уж к консоли, что-ли для разнообразия:

/ip firewall filter
add chain=input action=accept protocol=udp port=1701,500,4500
add chain=input action=accept protocol=ipsec-esp

Если у вас по-умолчанию политика forward установлена в drop (последнее правило для forward «chain=forward action=drop»), вам может быть необходимым разрешить forward с ip-адресов vpn_pool в локальную сеть:

add chain=forward action=accept src-address=192.168.112.0/24 in-interface=!ether1 out-interface=bridge-local comment=»allow vpn to lan» log=no log-prefix=»»

Вот теперь с сервером все.

Operating system support

The device supports RouterOS software version 6. The specific factory-installed version number is indicated in the RouterOS menu /system resource. Other operating systems have not been tested.

RB3011UiAS-RM

To avoid pollution of the environment, please separate the device from household waste and dispose of it in a safe manner, such as in designated waste disposal sites. Familiarize yourself with the procedures for the proper transportation of the equipment to the designated disposal sites in your area.

Federal Communication Commission Interference Statement

This equipment has been tested and found to comply with the limits for a Class B digital device, pursuant to Part 15 of the FCC Rules. These limits are designed to provide reasonable protection against harmful interference in a residential installation.

This equipment generates, uses, and can radiate radio frequency energy and, if not installed and used in accordance with the instructions, may cause harmful interference to radio communications. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures:

  • Reorient or relocate the receiving antenna.
  • Increase the separation between the equipment and receiver.
  • Connect the equipment into an outlet on a circuit different from that to which the receiver is connected.
  • Consult the dealer or an experienced radio/TV technician for help.

FCC Caution: Any changes or modifications not expressly approved by the party responsible for compliance could void the user’s authority to operate this equipment.
This device complies with Part 15 of the FCC Rules. Operation is subject to the following two conditions: (1) This device may not cause harmful interference, and (2) this device must accept any interference received, including interference that may cause undesired operation.
Note: This unit was tested with shielded cables on the peripheral devices. Shielded cables must be used with the unit to ensure compliance.

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

  • Главная
  • Настройка VPN-подключения в роутерах Mikrotik

Настройка шифрования данных в «туннеле» (IPSec)

На предыдущем этапе мы создали туннель для передачи данных и включили IPSec. В этом разделе мы настроим параметры IPSec.

5. IP — IPSec — Groups

Статья эта уже прошла немало редакций с 2015 года, и тогда была велика вероятность появления ошибки соединения с сервером из-за дефолтной группы, что лечилось удалением и пересозданием ее. Например, с именем «policy_group1». Также можно просто удалить эту группу, но через веб-интерфейс будут показываться ошибки. В последней редакции с дефолтной группой все работает нормально, но все же имейте ввиду.

6. IP — IPSec — Peers

RB3011UiAS-RM

Address: 0.0.0.0/0
Port: 500
Auth method: pre shared key
Passive: yes (set)
Secret: tumba-yumba-setebryaki (это не пароль пользователя!)

Policy template group: policy_group1
Exchange mode: main l2tp
Send Initial Contact: yes (set)
NAT Traversal: yes (set)
My id: auto
Proposal check: obey
Hash algorithm: sha1
Encryption Algorithm: 3des aes-128 aes-256

DH Group: modp 1024
Generate policy: port override
Lifitime: 1d 00:00:00
DPD Interval: 120
DPD Maximum failures: 5

Сейчас пир создается автоматически при включении L2TP-сервера с Use IPSec. А если у вас он был создан ранее, то после обновления прошивки микротика будет два пира — автоматически созданый и ваш старый, над которым будет красная надпись: This entry is unreachable. Так что идем дальше.

7. IP — IPSec — Proposals / «Предложения».

Что-то вроде «что мы можем вам предложить». Другими словами, задаем опции подключения, которые смогут пытаться использовать удаленные клиенты.

Name: default
Auth algorithms: sha1
Enrc. algorithms: aes-256 cbc, aes-256 ctr
Life time: 00:30:00
PFS Group: mod 1024

Этот пункт очень важен, здесь указываются не просто алгоритмы шифрования, но поддерживаемые удаленными клиентами алгоритмы шифрования. Что толку, что вы выставите крутые настройки на сервере, а клиенты их «не умеют»? Задача — выдержать баланс.

Mikrotik rb3011uias rm ipsec

Sun Jan 08, 2017 7:37 pm

Does the RB3011 have hardware encryption ability and is it enabled?

» The Bitterness of Poor Quality Remains Long After the Sweetness of Low Price is Forgotten «

RB3011UiAS-RM

Re: RB3011 IPSEC Hardware Encryption?

Mon Jan 09, 2017 1:47 am

Re: RB3011 IPSEC Hardware Encryption?

Mon Jan 09, 2017 7:39 am

Not yet unfortunately:

Re: RB3011 IPSEC Hardware Encryption?

Mon Jan 09, 2017 12:28 pm

Is there any plan to implement it?

It will great to have it in the next release.

Re: RB3011 IPSEC Hardware Encryption?

Mon Jan 09, 2017 12:29 pm

Re: RB3011 IPSEC Hardware Encryption?

Tue Jan 10, 2017 8:19 pm

Re: RB3011 IPSEC Hardware Encryption?

Sun Jan 15, 2017 10:10 pm

Re: RB3011 IPSEC Hardware Encryption?

Wed Jan 18, 2017 8:45 am

Re: RB3011 IPSEC Hardware Encryption?

Sat Jun 30, 2018 11:16 am

Re: RB3011 IPSEC Hardware Encryption?

Tue Sep 18, 2018 12:08 pm

What’s new in 6.43.1 (2018-Sep-17 06:53):

Changes in this release:
*) rb3011 — added IPsec hardware acceleration support;

Re: RB3011 IPSEC Hardware Encryption?

Tue Sep 18, 2018 10:48 pm

What’s new in 6.43.1 (2018-Sep-17 06:53):

Changes in this release:
*) rb3011 — added IPsec hardware acceleration support;

Is there any example about how to configure a IPSec tunnel between 2 RB3011 devices?

Re: RB3011 IPSEC Hardware Encryption?

Tue Sep 18, 2018 11:06 pm

Re: RB3011 IPSEC Hardware Encryption?

Wed Sep 19, 2018 4:53 pm

Re: RB3011 IPSEC Hardware Encryption?

Mon Sep 24, 2018 1:53 pm

I’ve install 6.43.1 on a 3011 but the IPSEC HW accelartion does not seem to work, it works fine on 750r3 an 1100ahx2.

Installed SAs of the 3011

One of the conexion is between the 1100 and 3100. On the 1100 side has EH, but on the 3011 has only E.

Re: RB3011 IPSEC Hardware Encryption?

Mon Sep 24, 2018 2:12 pm

For first sight might the problem is:
* supported only 128 bit and 256 bit key sizes

On your captured picture is see 192 bit size encription keys.

I’ve install 6.43.1 on a 3011 but the IPSEC HW accelartion does not seem to work, it works fine on 750r3 an 1100ahx2.

Installed SAs of the 3011

Installed SAs of the 1100

One of the conexion is between the 1100 and 3100. On the 1100 side has EH, but on the 3011 has only E.

Источник

Строим маршрут через VPN

Переходим в IP → Routes и создаем новые маршруты.

Маршрут для маршрутизации HTTP по VPN. Указываем название наших VPN интерфейсов и выбираем Routing Mark.

RB3011UiAS-RM

На этом этапе вы уже почувствовали, как ваш оператор перестал встраивать рекламу в ваш HTTP трафик.

То же самое командой:

/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP

Ровно так же будут выглядеть правила для защиты DNS, просто выбираем нужную метку:

RB3011UiAS-RM

Тут вы ощутили, как ваши DNS запросы перестали прослушивать. То же самое командами:

/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router

Ну под конец, разблокируем Rutracker. Вся подсеть принадлежит ему, поэтому указана подсеть.

RB3011UiAS-RM

Вот настолько было просто вернуть себе интернет. Команда:

/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org

Ровно этим же способом, что и с рутрекером вы можете прокладывать маршруты корпоративных ресурсов и других заблокированных сайтов.

Автор надеется, что вы оцените удобство захода на рутрекер и корпоративный портал в одно и тоже время не снимая свитер.

Источник

Specifications

For more information about this product, specifications and pictures please visit our web page: https://mikrotik.com/product/RB3011UiAS-RM

Login MikroTik Router to setup VPN

To configure VPN in the Mikrotik router board need to access the router via a Winbox or web login.

Connect Mikrotik router using LAN port and open in Winbox configuration utility.

Use MikroTik default username admin and  MikroTik default password not required and leave the password option blank. If you are using configured MikroTik device use the password you have configured before to log in.

  • 192.168.88.1 Login MikroTik RouterOS with Admin

Enable VPN in MikroTik Router board

To configure the VPN on Mikrotik device enable VPN first and setup the VPN password.

Go to the Quick Set option as shown below image.

mikrotik vpn site to site

Find the VPN settings just Below the Local Network option.

Check VPN Access Option to enable it.

VPN User: VPN (default username)

VPN Address: It will show automatically.

VPN Password: create a VPN password.

site to site vpn router

After VPN access settings now create profile settings and add DNS and gateway.

  • MikroTik RB2011UiAS Vs MikroTik RB3011UiAS | Which one Best?

Go to the PPP option and click on the Profile tab as shown below image.

how to setup a vpn tunnel between two routers

1: Now double-click one default encryption.

2: Local Address: 192.168.89.1 (this address will auto-configure while VPN enable)

Читайте также:  Выбор панели управления для VPS. Топ-5 бесплатных систем управления

Remote Address: this will auto-configure.

3: DNS Server: give MikroTik LAN IP to DNS.

4: Click Apply and OK buttons to finish settings.

Mikrotik L2TP / IPsec VPN Server Step by Step configuration

MikroTik VPN setup for remote access of router finish now test the VPN configuration.

  • How to Setup MikroTik WiFi Router as Repeater mode

Create a VPN client connection in Windows 10

If you are using Windows 10 or Windows 8.1 you can directly create a VPN connection using a VPN client option.

Just open the start menu and search for VPN.

Click on VPN

“Add a VPN Connection”

mru login

Create a New VPN connection

VPN provider: Windows (built-in)

Connection Name: give the name of the VPN connection

Server Name or address: give the WAN IP address of the Mikrotik router you have set up a VPN.

VPN type: Automatic

Type of Sing-in info: username and password

Username: VPN

Password: (use the password set on the VPN password)

Click the Save button.

pptp port number

Connect VPN connection from Windows 10

Click on VPN connection and press the Connect button to dial VPN.

how to setup a vpn server on Windows 10

Wait for a VPN connection connecting to the Mikrotik Router VPN tunnel.

Successful authentication will show the connected status on the VPN connection name.

See the below image for reference.

VPN and how to install/configure

Now you can access your MikroTik CCR RB3011 or any MikroTik cloud core router as well as other device using VPN server configuration.

If you are using older Windows you can configure OpenVPN in MikroTik or also can use OpenVPN client software to access the Mikrotik VPN network from different networks.

Related Post

  • Mikrotik groove Login and AP Mode configuration
  • TP-Link AC1750 Range Extender Mode Setup [Archer C8]
  • How to Access Phone screen to PC (Mirror Phone)
  • TP-link L2 Managed Switch Bandwidth limit configuration
  • Login Time Warner Router to change WiFi password

Настройка VPN-подключения в роутерах Mikrotik

RB3011UiAS-RMС ростом значения интернета в нашей повседневной жизни все более востребованными становятся различные сетевые технологии. Если раньше VPN был преимущественно уделом крупных организаций, то сегодня он используется чуть ли не в каждой сети, действительно, сотрудники стали мобильными и удаленный доступ к ресурсам сети уже не блажь, а насущная необходимость. Настройка роутера Mikrotik как VPN-клиента вопрос, на первый взгляд, простой, но есть некоторые не очевидные моменты, которые мы разберем в данной статье.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

В прошлых материалах мы уже коротко рассматривали типы VPN и обращали внимание на неоднозначность используемой терминологии, традиционно термином VPN называют клиент-серверные соединения, где кроме туннельного протокола применяются вспомогательные технологии для установления соединения и контроля его состояния, аутентификации пользователя, согласования параметров подключения и т.д. и т.п. Одним из таких протоколов является PPP.

В рамках данной статьи мы будем рассматривать варианты настройки Mikrotik именно в качестве клиента для поддерживаемых типов VPN-серверов, оставив за кадром туннельные подключения (GRE, IP-IP, EoIP и т.д.). Для работы с этим типом соединений используется специальный раздел PPP, на закладке Interfaces которого можно добавить сетевой интерфейс для нужного типа VPN-клиента. Поддерживаются PPTP, L2TP, SSTP и OpenVPN подключения. Также в списке присутствуют устаревший PPP и PPPoE, который используется для организации доступа в интернет, в данном контексте эти протоколы интереса не представляют.

RB3011UiAS-RMТакже аналогичные действия можно выполнить и в разделе Interfaces, никакой разницы откуда вы будете добавлять сетевой интерфейс нет. Но не будем спешить и перейдем на закладку Profiles, где находятся профили используемые при коммутируемых подключениях. По умолчанию созданы два профиля: default и default-encryption, в которых содержатся некоторые настройки для подключения. Почему некоторые? Потому что большинство опций подключения задаются сервером и клиент должен применять именно их, иначе подключение будет невозможным. Поэтому если вы заглянете в эти профили, то увидите, что большинство настроек там не активно.

RB3011UiAS-RMЕдинственным различием двух профилей является опция Use Encryption, которая в default-encryption установлена в положение yes и требует обязательного шифрования подключения. Данная опция игнорируется протоколами SSTP и OpenVPN, которые всегда используют шифрованные подключения.

Означает ли это, что если мы выберем профиль default, то ваше соединение не будет шифроваться? Нет, если сервер использует шифрование и не допускает небезопасных подключений, то ваше соединение также будет зашифровано. Но вот если сервер разрешает небезопасные подключения, то клиент вполне может подключиться без шифрования, таким образом можно осуществить атаку с подменой сервера, когда вы получите незашифрованное подключение и не будете знать об этом. Поэтому если вам явно требуется шифрование канала всегда выбирайте профиль default-encryption.

Мы не советуем менять настройки в стандартных профилях, если вам нужно явно задать иные настройки подключения, то создайте собственный профиль. Также учтите, что опция Use Compression игнорируется для OpenVPN соединений, которые в реализации от Mikrotik не могут использовать сжатие трафика.

PPTP-клиент

Пожалуй, это самый простой в настройке тип соединений. Несмотря на то, что используемое в PPTP шифрование не является надежным, этот протокол продолжает широко использоваться благодаря низким накладным расходам и высокой скорости работы, например, для доступа в интернет.

Для настройки PPTP клиента добавьте интерфейс типа PPTP Client и перейдите на закладку Dial Out, где расположены сетевые настройки.

RB3011UiAS-RMНастроек немного, и они просты. В поле Connect To укажите FQDN или IP-адрес VPN-сервера, в поля User и Password — имя пользователя и пароль. В Profile выбирается в зависимости от необходимости шифрования нужный профиль. В самом низу рядом с опцией Allow (разрешить) указаны допустимые к использованию протоколы аутентификации, на сегодня безопасным считается только MS-CHAP v2 и следует использовать по возможности только его. Однако помните, что используемый протокол аутентификации должен поддерживаться сервером, в противном случае установить связь вы не сможете.

Опция Keepalive Timeout указывает время переподключения соединения в случае обрыва связи. Бытует мнение, что лучше делать это значение поменьше, мол быстрее будет переподключаться туннель. Но это не так, во-первых, при неполадках на сервере вы будете активно забивать канал и нагружать сервер служебным трафиком, а во-вторых, при кратковременных перебоях связи короткое время будет вызывать переподключение с обрывом всех соединений в канале, а большее значение позволит сохранить туннель. Особенно это актуально для мобильного интернета или беспроводных каналов.

Опция Add Default Route создаст маршрут по умолчанию через туннель, т.е. направит туда весь исходящий трафик, указывайте ее только в том случае, если данный туннель основной способ доступа в интернет.

Никаких иных особенностей и подводных камней здесь нет и если вы правильно указали настройки, то клиент должен будет без проблем подключиться к серверу.

L2TP-клиент

Говоря про L2TP, обычно подразумевают L2TP/IPsec, потому как без шифрования данный протокол в корпоративной среде не используется. Но есть и исключения, некоторые провайдеры, например, Билайн, используют чистый L2TP без шифрования. В этом случае настройки подключения будут выглядеть так:

RB3011UiAS-RMОбратите внимание на используемый профиль — default, так как соединение не зашифрованное, с профилем default-encryption вы не сможете подключиться к серверу провайдера. Add Default Route ставим только если это основное соединение с интернет. Также имеет смысл использовать опцию Allow Fast Path, для разгрузки CPU, особенно на младших моделях, но учтите, что с данной опцией соединение может работать неустойчиво, в таком случае ее придется отключить.

Для работы с L2TP/IPsec настройки будут немного иные, во-первых, используем профиль default-encryption и включаем использование IPsec установкой флага Use IPsec, при этом становится активным поле IPsec Secret, куда вводим предварительный ключ.

RB3011UiAS-RMОпция Allow Fast Path при использовании IPsec игнорируется и в ее установке нет никакого смысла, так же не забывайте про опцию Add Default Route, в большинстве корпоративных сценариев устанавливать ее не следует.

Вроде бы тоже ничего сложного в настройках L2TP/IPsec нет, но если вы попытаетесь подключиться к Windows Server, то у вас ничего не получится. В чем же дело? А дело в настройках IPsес, перейдем в IP — IPsec — Proposal и откроем настройку по умолчанию. Proposal или предложение IPsec содержит список алгоритмов защиты канала, которые устройство предлагает для установления соединения. Понятно, что для успешного установления канала поддерживаемые методы защиты должны совпадать.

RB3011UiAS-RMВ предложении IPsec по умолчанию обращаем внимание на опцию PFS Group, она отвечает за применение технологии совершенной прямой секретности (Perfect forward secrecy, PFS), которая предусматривает создание уникальных сессионных ключей по алгоритму Диффи-Хеллмана, что делает невозможным расшифровку перехваченного IPsec трафика даже при наличии долговременных ключей (в данном случае предварительного ключа).

Windows Server по умолчанию не поддерживает совершенную прямую секретность, поэтому PFS Group нужно выставить в состояние none, после чего соединение успешно установится.

Обратите внимание, что в данном случае мы изменили настройку по умолчанию, но в данном случае это оправдано. Настройки IPsec достаточно сложны и вряд-ли человек не имеющий опыта работы с данной технологией сможет все правильно настроить с первого раза. Но это изменение следует учитывать при создании других соединений, использующих IPsec и приводить настройки с обоих сторон к общему виду.

Хотя более правильным является создание своего предложения (Proposal) и политики (Police) для каждого соединения, но эта тема далеко выходит за рамки статьи.

SSTP-клиент

Мы не будем останавливаться на уже описанных нами опциях, которые общие для всех видов коммутируемых подключений, а сосредоточимся на новых, свойственных именно этому типу VPN. SSTP относится к отдельной подгруппе SSL VPN, которые используют трафик практически не отличимый от HTTPS, что серьезно затрудняет выявление и блокирование таких туннелей.

На что следует обратить внимание при настройке? Давайте сначала посмотрим на окно настроек:

RB3011UiAS-RMКак видим, появилась опция Port, где мы можем указать порт подключения, по умолчанию это 443, но можно использовать и любой иной, если 443 порт занят, например, веб-сервером. Также SSTP может прекрасно работать через прокси, в этом случае вам потребуется указать адрес прокси-сервера и используемый им порт в опциях Proxy и Proxy Port.

Также вспоминаем, что SSTP всегда использует шифрование канала, поэтому оно будет работать вне зависимости от выбранного профиля, в данном случае default и default-encryption будут работать одинаково.

Теперь перейдем к специфичным для протокола настройкам, которые мы обвели зеленой рамкой. Поле Certificate используется для указания клиентского сертификата в том случае, если сервер использует аутентификацию по сертификатам, в этом случае его потребуется загрузить на устройство и импортировать в разделе System — Certificates. Во всех остальных случаях в поле должно стоять none.

TLS Version указывает на допустимые к использованию версии TLS, однако это определяется сервером, но следует стараться использовать только протокол TLS 1.2, что позволяет исключить атаки с понижением протокола.

Опция Verify Server Certificate не является обязательной, но позволяет проверить подлинность сервера, исключая атаки типа человек посередине, для этого потребуется импортировать на Mikrotik сертификат центра сертификации (СА) выдавшего сертификат серверу.

Опция Verify Server Address From Certificate позволяет убедиться, что IP-адрес подключения соответствует адресу для имени, указанного в сертификате. Также не является обязательной, но позволяет дополнительно убедиться, что подключаетесь вы именно к тому серверу.

Установка флага в поле PFS включает совершенную прямую секретность, но эта опция должна поддерживаться со стороны сервера.

OpenVPN-клиент

Реализация OpenVPN в Mikrotik вызывает много нареканий, так как сводит на нет все сильные стороны данной технологии и делает ощутимыми слабые. OVPN-клиент не поддерживает сжатие данных и работу по протоколу UDP, если первое не столь значимо на современных каналах, то OpenVPN поверх TCP имеет очень большие накладные расходы и вызывает как повышенную нагрузку на оборудование, так и плохую утилизацию канала. Поэтому от использования OpenVPN на Mikrotik по возможности следует отказаться.

Читайте также:  Повышение эффективности сети: регистрация IP-адреса Mikrotik на интерфейсе

Обычно комплект для подключения OpenVPN клиента составляют сертификат СA, сертификат и закрытый ключ клиента, конфигурационный файл. Нам понадобятся только сертификат и ключ клиента, а если мы хотим проверять подлинность сервера, то еще и сертификат CA, но он не является обязательным для настройки подключения.

Прежде всего загрузим сертификаты и ключи на Mikrotik, затем перейдем в System — Certificates и импортируем сертификат клиента. Он появится в списке сертификатов и напротив него будет буква T, что обозначает trusted, т.е. устройство доверяет этому сертификату. Затем импортируем ключ, здесь важно соблюдать именно эту последовательность, сначала сертификат, потом ключ.

RB3011UiAS-RMПосле успешного импорта ключа флаги сменятся на KT, где буква K обозначает наличие закрытого ключа для сертификата. Затем аналогичным образом импортируем сертификат CA сервера, импорт ключа для данного сертификата не нужен. Закрытый ключ CA является самой большой тайной и должен хранится с соблюдением всех мер предосторожности и не при каких обстоятельствах не должен покидать узел СA (центра сертификации).

RB3011UiAS-RM

Теперь рассмотрим поближе окно настроек подключения, адрес подключения и порт не должны вызвать затруднений, а вот остальные опции нуждаются в пояснении, значимые мы выделили зеленой рамкой.

RB3011UiAS-RMНо сначала коснемся опций User и Profile. Первая используется только в случае аутентификации на сервере по имени и паролю, большинство OpenVPN серверов такой тип аутентификации не используют и в этом поле вы можете написать все что угодно, просто оно должно быть заполнено. Профиль также не имеет значения, так как OpenVPN всегда шифрует канал, а опцию сжатия игнорирует.

Mode задает режим работы канала, в терминах OpenVPN ip — это tun (L3), а ethernet — это tap (L2), следует помнить, что режим работы определяется сервером. В поле Certificate укажите импортированный сертификат клиента. Опции Auth и Cipher указывают на используемые сервером криптографические алгоритмы для аутентификации и шифрования, если вы укажете отличные от указанных в конфигурации сервера — то соединение установить не удастся. Если алгоритм аутентификации явно не указан в конфигурации сервера, то по умолчанию используется SHA1.

При настройке OpenVPN клиента на Mikrotik следует помнить, что сервер должен поддерживать соединения по протоколу TCP, без сжатия и TLS-аутентификации, в противном случае подключиться к серверу не удастся.

Опция Verify Server Certificate позволяет проверить подлинность сертификата сервера, что защищает от атак типа человек посередине, но требует импорта сертификата CA сервера.

Маршрутизация

Если VPN соединение используется для доступа к корпоративной сети или предназначено для связи сетей, то вам потребуется указать маршруты для правильной пересылки пакетов. Так если мы хотим получить доступ к сети за VPN-севером, то нам потребуется создать маршрут к этой сети, указав в качестве шлюза интерфейс нашего VPN-клиента, например так:

RB3011UiAS-RMВ данном примере мы отправляем все пакеты к сети 192.168.200.0/24 через L2TP-подключение l2tp-out1. Если вы понимаете основы маршрутизации, то указание правильных маршрутов для вас не составит труда.

Отдельного внимания заслуживает опция Pref. Source, которая не является обязательной, но ее следует указывать, если роутер обслуживает несколько сетей, в ней указывается адрес, с которого роутер будет посылать пакеты по указанному маршруту. Без ее указания доступ роутера к ресурсам удаленных сетей может оказаться невозможным (как и удаленных сетей к нему), на работу клиентов в сетях это не влияет. В качестве значения следует указать адрес, принадлежащий той сети, к которой имеется маршрут с противоположной стороны (т.е. сети за сервером).

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Дополнительные материалы:

Mikrotik

The Dude

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Источник

Настройка туннелирования (L2TP)

1. IP — Pool / Определям диапазон адресов VPN-пользователей

RB3011UiAS-RM

Name: vpn_pool
Addresses: 192.168.112.1-192.168.112.10
Next pool: none

Лучше для клиентов vpn использовать отдельную адресацию. Так проще отделять одних от других. И вообще, бест практис.

2. PPP — Profiles / Профиль для нашего конкретного туннеля

RB3011UiAS-RM

General:
Name: l2tp_profile
Local address: vpn_pool (а можно указать 192.168.88.1 , сами смотрите, как вам больше нравится)
Remote address: vpn_pool
Change TCP MSS: yes

Protocols:
all to default:
Use MPLS: default
Use compression: default (ставил также yes)
Use Encryption: default (можно ставить no, т.к. ppp-шифрование мы использовать не будем, на это нам IPSec есть, на незагруженном микротике разницы никакой не заметил)

Если в сети, куда вы подключаетесь, есть ресурсы по внутренним доменным именам, а не только по IP, можете указать DNS Server этой сети, например, 192.168.88.1 (или какой вам нужен).

Limits:
Only one: default

3. PPP — Secrets / Готовим пользователя VPN

RB3011UiAS-RM

Name: vpn_user1
Password: bla-bla-bla
Service: l2tp
Profile: l2tp_profile

4. PPP — Interface — клик на L2TP Server / Включаем сервер L2TP

RB3011UiAS-RM

Enabled — yes
MTU / MRU — 1450
Keepalive Timeout — 30
Default profile — l2tp_profile
Authentication — mschap2
Use IPSec — yes
IPSec Secret: tumba-yumba-setebryaki (это не пароль пользователя, а предварительный ключ, который надо будет указывать на клиентах в дополнение к логину/паролю)

При этом в IP-IPSec-Peers будет создан динамический пир с именем l2tp-in-server.

First use

  • Connect your Internet cable to port 1, and local network PCs to ports 2-10.
  • Choose your powering solution, please see the Powering section for possibilities.
  • Set your computer IP configuration to automatic (DHCP).
  • The default IP address from the local network is 192.168.88.1, open this address in your web browser to start the configuration. The username is admin and there is no password (or, for some models, check user and wireless passwords on the sticker) .
  • We recommend clicking the «Check for updates» button and updating your RouterOS software to the latest version to ensure the best performance and stability. The device needs to have an active Internet connection.
  • Set up strong password for the device.

Mounting

RB3011UiAS-RM

The device is designed to use indoors and it can be mounted in a rackmount enclosure using provided rack mounts, or it can be placed on the desktop. Please attach rubber pegs on the bottom of the router if the desired placement is on the flat surface or use a Phillips screwdriver to attach rackmount ears on both sides of the device if designated use is for rackmount enclosure:

  1. attach rack ears to both sides of the device and tighten four screws to secure them in place, as shown on the picture to the right,
  2. place the device in rackmount enclosure and align with the holes so that the device fits conveniently,
  3. tighten screws to secure it in place.

The IP rating scale for this device is IPX0. The device has no protection from water contamination, please ensure the placement of the device in a dry and ventilated environment.
We recommend Cat5/6 cables for our devices.
Mounting and configuration of this device should be done by a qualified person.

Operating humidity can be from 5% to 95% non-condensing.

Safety Warnings

Before you work on any equipment, be aware of the hazards involved with electrical circuitry, and be familiar with standard practices for preventing accidents.
Ultimate disposal of this product should be handled according to all national laws and regulations.
The Installation of the equipment must comply with local and national electrical codes.
This unit is intended to be installed in the rackmount. Please read the mounting instructions carefully before beginning installation. Failure to use the correct hardware or to follow the correct procedures could result in a hazardous situation to people and damage to the system.
This product is intended to be installed indoors. Keep this product away from water, fire, humidity or hot environments.
Use only the power supply and accessories approved by the manufacturer, and which can be found in the original packaging of this product.
Read the installation instructions before connecting the system to the power source.
We cannot guarantee that no accidents or damage will occur due to the improper use of the device. Please use this product with care and operate at your own risk!
In the case of device failure, please disconnect it from power. The fastest way to do so is by unplugging the power plug from the power outlet.
It is the customer’s responsibility to follow local country regulations, including operation within legal frequency channels, output power, cabling requirements, and Dynamic Frequency Selection (DFS) requirements. All Mikrotik devices must be professionally installed.

Extension slots and ports

  • Ten 10/100/1000 (Gigabit) Ethernet ports (Auto MDI/X).
  • USB 3.0 type A.
  • LCD panel.
  • SFP port for SFP module.
  • The Ether10 port supports PoE output, with the auto-detection feature. This means you can connect Laptops and other non-PoE devices without damaging them. The PoE on Ether10 outputs approximately 2 V below input voltage and supports up to 0.7 A (So provided 24 V PSU will provide 22V/0.7 A output to the Ether10 PoE port).

Настройка VPN IPSec/L2TP сервера Mikrotik

RB3011UiAS-RM

Иногда мне кажется, что создатели Mikrotik намеренно лишают себя прибыли, не создавая однозначных пошаговых руководств по настройке своих детищ. Почти 100% потребителей этих роутеров пытаются настроить VPN, использовать два или более WAN одновременно или в качестве резервных. Именно это ищут по всей сети (и часто вне рунета) счастливые владельцы этих замечательных устройств. Представьте, на сколько бы увеличилась армия владельцев, если бы для настройки этих функций было два-три визарда в веб-интерфейсе. А сейчас.. сейчас именно благодаря сложности настройки (и, соотв., меньшему количеству желающих купить) мы имеем недорогое, малокапризное для несложных задач устройство, которое надо заставить работать 24х7х365. Например, в качестве VPN-сервера. Поехали!

В данной статье речь идет про VPN-сервер с аутентификацией по паролям. Это достаточно удобный способ, например, можно на короткое время предоставить кому-то доступ (для удаленной работы инженера, к примеру), а потом быстро этот доступ снять, причем не отключая пользователя, а просто поменяв пароль. Но есть и минусы, как минимум, безопасность. Возможность получения доступа путем перебора паролей — это уязвимое место в системе безопасности — надо мониторить логи на предмет попыток входа. Хотя можно и реагировать на попытки подбора пароля, занося злоумышленника в бан. Также среди минусов — невозможность передать маршрут клиенту. Т.е. без донастройки клиента весь трафик клиента идет через канал VPN. Есть другой способ настройки VPN сервера Mikrotik — на ключах, IKEv2. Этот способ описан в отдельной статье «Настройка VPN IKEv2 сервера Mikrotik».

Протокол L2TP обеспечивает канал передачи данных, туннель.

IPSec обеспечивает защиту данных от просмотра.

Настраивать мы будем тоже по частям — сначала туннель, потом — защита данных.

Итак, имеем роутер Mikrotik с прошивкой 6.46.2 (февраль 2020) c LAN 192.168.88.0/24 (сеть по-умолчанию). WAN не важен, например, 1.2.3.4.

Оцените статью
Хостинги