Настройка L2TP/IPsec туннеля между роутерами Mikrotik
Ниже преведён пример настройки L2TP/IPsec туннеля между двумя роутерами Mikrotik.
Настройки первого роутера:
WAN интерфейс — ether1
WAN IP — 10.0.0.101/24
LAN интерфейс — bridge-local
LAN IP — 192.168.10.0/24
Настройки второго роутера:
WAN интерфейс — ether1
WAN IP — 10.0.0.102/24
LAN интерфейс — bridge-local
LAN IP — 192.168.20.0/24
Настройки L2TP-сервера на первом роутере
Настройки L2TP-клиента на втором роутере
Настройки IPsec-сервера на первом роутере
Настройки IPsec-клиента на втором роутере
Настройки файрвола
Скрипт для IPsec-клиентов с динамическим IP-адресом
Настройки L2TP-сервера на первом роутере
1. Создаем пул адресов для транзитной сети (здесь 192.168.254.0/26)
/ip pool
add name=l2tp-pool ranges=192.168.254.2-192.168.254.62
2. Создаем PPP-профиль для подключения, шифрование включать не нужно, т.к. будет использоваться IPsec
/ppp profile
add change-tcp-mss=yes local-address=192.168.254.1 name=l2tp remote-address=l2tp-pool
3. Заводим PPP-аккаунт для клиента
/ppp secret
add name=client1 password=secret1 profile=l2tp service=l2tp
3. Настраиваем и включаем L2TP-сервер
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes keepalive-timeout=15 max-mru=1418 max-mtu=1418
Настройки L2TP-клиента на втором роутере
Настраиваем и включаем L2TP-клиент
/interface l2tp-client
add allow=mschap2 connect-to=10.0.0.102 disabled=no max-mru=1418 max-mtu=1418 name=l2tp-to-m1 user=client1 password=secret1 profile=default
ПРИМЕЧАНИЕ: 1. Значение MTU 1418 — максимальное значение, при котором не будет фрагментации с использованием IPsec с алгоритмами SHA1 для подписи и AES-128 для шифрования. При использовании других алгоритмов значение MTU будет другим. Если используется механизм обхода NAT IPsec, следует понизить MTU на 28.
2. На этом этапе следует проверить работоспособность L2TP-подключения.
Настройки IPsec-сервера на первом роутере
1. Настройка IPsec-пира, IPsec политика будет создаваться автоматически, при подключении клиента (с динамическим созданием политики, роутер может принимать подключения от множества VPN-клиентов без донастройки. В данном случае VPN-канал поднимается между двумя роутерами и можно настроить статическую политику, как на втором роутере). Пароль, который будет использоваться при аутентификации и генерации секрета для шифрования соединения, задается в параметре secret
/ip ipsec peer
add address=0.0.0.0/0 port=500 auth-method=pre-shared-key hash-algorithm=md5 enc-algorithm=aes-256 generate-policy=port-strict exchange-mode=main nat-traversal=no secret=»ipsec-secret» send-initial-contact=no dpd-interval=15s dpd-maximum-failures=2
2. Настройка алгоритмов для шифрования и подписи соединения
/ip ipsec proposal
set defaul auth-algorithms=sha1 enc-algorithms=aes-128 name=default
ПРИМЕЧАНИЕ: 1. Если не указать значение address=0.0.0.0/0 для peer, оно будет подставлено автоматически, но работать IPsec не будет — баг RouterOS.
2. nat-traversal=yes для peer следует указывать, только если часть клиентов будет подключаться из-за NAT.
Настройки IPsec-клиента на втором роутере
1. Настройка IPsec-пира
/ip ipsec peer
add address=10.0.0.101/32 port=500 auth-method=pre-shared-key hash-algorithm=md5 enc-algorithm=aes-256 exchange-mode=main nat-traversal=no secret=»ipsec-secret» send-initial-contact=yes dpd-interval=15s dpd-maximum-failures=2
2. Настройка политики IPsec
/ip ipsec policy
add action=encrypt ipsec-protocols=esp level=require proposal=default protocol=udp sa-src-address=10.0.0.102 src-address=10.0.0.102/32 src-port=any sa-dst-address=10.0.0.101 dst-address=10.0.0.101/32 dst-port=any tunnel=no
2. Настройка алгоритмов для шифрования и подписи соединения
/ip ipsec proposal
set defaul auth-algorithms=sha1 enc-algorithms=aes-128 name=default
Настройки файрвола
Сервер должен принимать:
UDP:1701 — L2TP, но только по IPsec
UDP:500 — IPsec, установление соединения
UDP:4500 — IPsec, для обхода NAT
IP протокол 50 — IPsec ESP
Отмечаем ESP пакеты, L2TP будем принимать только в них
/ip firewall mangle
add action=mark-packet chain=input new-packet-mark=esp protocol=ipsec-esp
/ip firewall filter
add chain=input comment=L2TP dst-port=1701 packet-mark=esp protocol=udp src-address=10.0.0.102
add chain=input comment=IPSEC-NAT dst-port=4500 protocol=udp src-address=10.0.0.102
add chain=input comment=IPSEC dst-port=500 protocol=udp src-address=10.0.0.102
add chain=input comment=IPSEC protocol=ipsec-esp src-address=10.0.0.102
Клиенту достаточно принимать пакеты в состоянии established
Скрипт для IPsec-клиентов с динамическим IP-адресом
Скрипт взят здесь http://gregsowell.com/?p=1290. Данный скрипт проверяет IP-адрес WAN-интерфейса и меняет IP-адреса в политике IPsec, если они не совпадают с IP-адресами, указанными в политике IPsec.
У политики IPsec должен быть комментарий «dynamic ip» для работы скрипта.
:local WANip [/ip address get [find interface=»ether1″] address]
:local shortWANip ( [:pick «$WANip» 0 [:find «$WANip» «/» -1]] )
:set WANip ( $shortWANip . «/32» )
:local IPSECip [/ip ipsec policy get [find comment=»dynamic ip»] sa-src-address]
if ($shortWANip != $IPSECip) do={
/ip ipsec policy set [find comment=»dynamic ip»] sa-src-address=$shortWANip src-address=$WANip
}
Ставим скрипт на выполнение раз в две минуты
/system scheduler
add disabled=no interval=2m name=check-wan-for-ipsec on-event=ipsec-wan-addr policy=read,write
Остались вопросы?
Я - Першин Артём, менеджер компании Voxlink. Хотите уточнить детали или готовы оставить заявку? Укажите номер телефона, я перезвоню в течение 3-х секунд.
категории
- DECT
- Linux
- Вспомогательный софт при работе с Asterisk
- Интеграция с CRM и другими системами
- Интеграция с другими АТС
- Использование Elastix
- Использование FreePBX
- Книга
- Мониторинг и траблшутинг
- Настройка Asterisk
- Настройка IP-телефонов
- Настройка VoIP-оборудования
- Новости и Статьи
- Подключение операторов связи
- Разработка под Asterisk
- Установка Asterisk
VoIP оборудование
ближайшие курсы
Новые статьи
10 доводов в пользу Asterisk
Распространяется бесплатно.
Asterisk – программное обеспечение с открытым исходным кодом, распространяется по лицензии GPL. Следовательно, установив один раз Asterisk вам не придется дополнительно платить за новых абонентов, подключение новых транков, расширение функционала и прочие лицензии. Это приближает стоимость владения станцией к нулю.
Безопасен в использовании.
Любое программное обеспечение может стать объектом интереса злоумышленников, в том числе телефонная станция. Однако, сам Asterisk, а также операционная система, на которой он работает, дают множество инструментов защиты от любых атак. При грамотной настройке безопасности у злоумышленников нет никаких шансов попасть на станцию.
Надежен в эксплуатации.
Время работы серверов некоторых наших клиентов исчисляется годами. Это значит, что Asterisk работает несколько лет, ему не требуются никакие перезагрузки или принудительные отключения. А еще это говорит о том, что в районе отличная ситуация с электроэнергией, но это уже не заслуга Asterisk.
Гибкий в настройке.
Зачастую возможности Asterisk ограничивает только фантазия пользователя. Ни один конструктор шаблонов не сравнится с Asterisk по гибкости настройки. Это позволяет решать с помощью Asterisk любые бизнес задачи, даже те, в которых выбор в его пользу не кажется изначально очевидным.
Имеет огромный функционал.
Во многом именно Asterisk показал какой должна быть современная телефонная станция. За многие годы развития функциональность Asterisk расширилась, а все основные возможности по-прежнему доступны бесплатно сразу после установки.
Интегрируется с любыми системами.
То, что Asterisk не умеет сам, он позволяет реализовать за счет интеграции. Это могут быть интеграции с коммерческими телефонными станциями, CRM, ERP системами, биллингом, сервисами колл-трекинга, колл-бэка и модулями статистики и аналитики.
Позволяет телефонизировать офис за считанные часы.
В нашей практике были проекты, реализованные за один рабочий день. Это значит, что утром к нам обращался клиент, а уже через несколько часов он пользовался новой IP-АТС. Безусловно, такая скорость редкость, ведь АТС – инструмент зарабатывания денег для многих компаний и спешка во внедрении не уместна. Но в случае острой необходимости Asterisk готов к быстрому старту.
Отличная масштабируемость.
Очень утомительно постоянно возвращаться к одному и тому же вопросу. Такое часто бывает в случае некачественного исполнения работ или выбора заведомо неподходящего бизнес-решения. С Asterisk точно не будет такой проблемы! Телефонная станция, построенная на Asterisk может быть масштабируема до немыслимых размеров. Главное – правильно подобрать оборудование.
Повышает управляемость бизнеса.
Asterisk дает не просто набор полезных функций, он повышает управляемость организации, качества и комфортности управления, а также увеличивает прозрачность бизнеса для руководства. Достичь этого можно, например, за счет автоматизации отчетов, подключения бота в Telegram, санкционированного доступа к станции из любой точки мира.
Снижает расходы на связь.
Связь между внутренними абонентами IP-АТС бесплатна всегда, независимо от их географического расположения. Также к Asterisk можно подключить любых операторов телефонии, в том числе GSM сим-карты и настроить маршрутизацию вызовов по наиболее выгодному тарифу. Всё это позволяет экономить с первых минут пользования станцией.