Настройка L2TP/IPsec туннеля между роутерами Mikrotik

Настройки L2TP-сервера на первом роутере

Настройки L2TP-клиента на втором роутере

Настройки IPsec-сервера на первом роутере

Настройки IPsec-клиента на втором роутере

Настройки файрвола

Скрипт для IPsec-клиентов с динамическим IP-адресом

Настройки L2TP-сервера на первом роутере

1. Создаем пул адресов для транзитной сети (здесь 192.168.254.0/26)

/ip pool
add name=l2tp-pool ranges=192.168.254.2-192.168.254.62

2. Создаем PPP-профиль для подключения, шифрование включать не нужно, т.к. будет использоваться IPsec

/ppp profile
add change-tcp-mss=yes local-address=192.168.254.1 name=l2tp remote-address=l2tp-pool

3. Заводим PPP-аккаунт для клиента

/ppp secret
add name=client1 password=secret1 profile=l2tp service=l2tp

3. Настраиваем и включаем L2TP-сервер

/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes keepalive-timeout=15 max-mru=1418 max-mtu=1418

Настройки L2TP-клиента на втором роутере

Настраиваем и включаем L2TP-клиент

/interface l2tp-client
add allow=mschap2 connect-to=10.0.0.102 disabled=no max-mru=1418 max-mtu=1418 name=l2tp-to-m1 user=client1 password=secret1 profile=default

ПРИМЕЧАНИЕ: 1. Значение MTU 1418 — максимальное значение, при котором не будет фрагментации с использованием IPsec с алгоритмами SHA1 для подписи и AES-128 для шифрования. При использовании других алгоритмов значение MTU будет другим. Если используется механизм обхода NAT IPsec, следует понизить MTU на 28.
2. На этом этапе следует проверить работоспособность L2TP-подключения.

Настройки IPsec-сервера на первом роутере

1. Настройка IPsec-пира, IPsec политика будет создаваться автоматически, при подключении клиента (с динамическим созданием политики, роутер может принимать подключения от множества VPN-клиентов без донастройки. В данном случае VPN-канал поднимается между двумя роутерами и можно настроить статическую политику, как на втором роутере). Пароль, который будет использоваться при аутентификации и генерации секрета для шифрования соединения, задается в параметре secret

/ip ipsec peer
add address=0.0.0.0/0 port=500 auth-method=pre-shared-key hash-algorithm=md5 enc-algorithm=aes-256 generate-policy=port-strict exchange-mode=main nat-traversal=no secret=»ipsec-secret» send-initial-contact=no dpd-interval=15s dpd-maximum-failures=2

2. Настройка алгоритмов для шифрования и подписи соединения

/ip ipsec proposal
set defaul auth-algorithms=sha1 enc-algorithms=aes-128 name=default

ПРИМЕЧАНИЕ: 1. Если не указать значение address=0.0.0.0/0 для peer, оно будет подставлено автоматически, но работать IPsec не будет — баг RouterOS.
2. nat-traversal=yes для peer следует указывать, только если часть клиентов будет подключаться из-за NAT.

Настройки IPsec-клиента на втором роутере

1. Настройка IPsec-пира

/ip ipsec peer
add address=10.0.0.101/32 port=500 auth-method=pre-shared-key hash-algorithm=md5 enc-algorithm=aes-256 exchange-mode=main nat-traversal=no secret=»ipsec-secret» send-initial-contact=yes dpd-interval=15s dpd-maximum-failures=2

2. Настройка политики IPsec

/ip ipsec policy
add action=encrypt ipsec-protocols=esp level=require proposal=default protocol=udp sa-src-address=10.0.0.102 src-address=10.0.0.102/32 src-port=any sa-dst-address=10.0.0.101 dst-address=10.0.0.101/32 dst-port=any tunnel=no

2. Настройка алгоритмов для шифрования и подписи соединения

/ip ipsec proposal
set defaul auth-algorithms=sha1 enc-algorithms=aes-128 name=default

Настройки файрвола

Сервер должен принимать:
UDP:1701 — L2TP, но только по IPsec
UDP:500 — IPsec, установление соединения
UDP:4500 — IPsec, для обхода NAT
IP протокол 50 — IPsec ESP

Отмечаем ESP пакеты, L2TP будем принимать только в них

/ip firewall mangle
add action=mark-packet chain=input new-packet-mark=esp protocol=ipsec-esp

/ip firewall filter
add chain=input comment=L2TP dst-port=1701 packet-mark=esp protocol=udp src-address=10.0.0.102
add chain=input comment=IPSEC-NAT dst-port=4500 protocol=udp src-address=10.0.0.102
add chain=input comment=IPSEC dst-port=500 protocol=udp src-address=10.0.0.102
add chain=input comment=IPSEC protocol=ipsec-esp src-address=10.0.0.102

Клиенту достаточно принимать пакеты в состоянии established

Скрипт для IPsec-клиентов с динамическим IP-адресом

Скрипт взят здесь http://gregsowell.com/?p=1290. Данный скрипт проверяет IP-адрес WAN-интерфейса и меняет IP-адреса в политике IPsec, если они не совпадают с IP-адресами, указанными в политике IPsec.
У политики IPsec должен быть комментарий «dynamic ip» для работы скрипта.

:local WANip [/ip address get [find interface=»ether1″] address]
:local shortWANip ( [:pick «$WANip» 0 [:find «$WANip» «/» -1]] )
:set WANip ( $shortWANip . «/32» )

:local IPSECip [/ip ipsec policy get [find comment=»dynamic ip»] sa-src-address]

if ($shortWANip != $IPSECip) do={
/ip ipsec policy set [find comment=»dynamic ip»] sa-src-address=$shortWANip src-address=$WANip
}

Ставим скрипт на выполнение раз в две минуты

/system scheduler
add disabled=no interval=2m name=check-wan-for-ipsec on-event=ipsec-wan-addr policy=read,write