Настройка L2TP-сервера на CentOS с подключением клиента на примере роутера Mikrotik

Исходные данные:
Головной офис:
XXX.XXX.XXX.XXX — внешний статический ip-адрес
192.168.15.0/24 — локальная сеть
192.168.15.254 — ip-адрес сервера Asterisk
172.10.20.0/24 — подсеть адресов, выдаваемая клиентам l2tp
172.10.20.1 — ip сервера в l2tp
Филиал:
192.168.30.0/24 — локальная сеть филиала
Оптимальный вариант со стороны филиала поставить роутер микротик в базовой настройке (о ней рассказано в статье: /kb/voip-devices-configuration/mikrotik-config/).
Сервер L2TP можно настроить на сервере с Asterisk’ом.
Сначала необходимо установить на сервере все требуемые пакеты и зависимости.
Если не подключен репозиторий EPEL, то желательно его подключить.
В CentOS 6 это делается командой:

yum install epel-release

В качетве l2tp используется утилита xl2tpd, также потребуется установка ppp, так как l2tp будет устанавливать соединение протоколом ppp, и и пакета утилит bind. Все это можно установить в одну команду:

yum install -y ppp xl2tpd bind-utils

Далее настраивается l2tp.
Необходимо править файл /etc/xl2tpd/xl2tpd.conf — предварительно можно сделать бэкап оригинального файла: mv /etc/xl2tpd/xl2tpd.conf /etc/xl2tpd/xl2tpd.conf.bak

vim /etc/xl2tpd/xl2tpd.conf

Необходимо привести файл к виду указанному ниже (в комментариях указано за что отвечает тот или иной параметр)

[global]
port = 1701 #порт на котором работает туннель
[lns l2tpd] #l2tpd — имя можно указать любое
ip range = 172.10.20.10-172.10.20.250 #диапазон ip-алресов, выдаваемых сервером клиентам
local ip = 172.10.20.1 #адрес сервера в туннеле биндится на интерфейс ppp
require chap = yes #требование аутентификации ppp по протоколу chap
refuse pap = yes #отказ в аутентификации ppp по протоколу pap
require authentication = yes #требование к клиентам проходить обязательную аутентификацию
name = l2tpd #имя
pppoptfile = /etc/ppp/options.xl2tpd #файл содержащий описание опций ppp
length bit = yes #использование бита длины, указывающего полезную нагрузку пакета
Прописать необходимые опции ppp
vim /etc/ppp/options.xl2tpd
ms-dns 8.8.8.8 #указывает DNS-серверы, выдаваемые клиентам
ms-dns 8.8.4.4
noccp
auth #запрос клиенту на аутентификацию до установления обмена сетевыми пакетами
crtscts
idle 1800
mtu 1280
mru 1280
lock #создание lock файла для сохранения эксклюзивного доступа к устройству
lcp-echo-failure 10 # количество неудачных echo запросов до того как провести отключение клиента
lcp-echo-interval 60 #интервал echo запросов
connect-delay 5000
logfile /var/log/ppp/ppp.log #логировние

Далее прописать пользователей в файле:

vim /etc/ppp/chap-secrets
# client server secret IP addresses
«peer_name» «name» «peerpasswd» «*»
client — имя пользователя
server — имя сервера указанное в файле xl2tpd.conf или options.xl2tpd
secret — пароль пользователя используемый при подключении — также можно хранить в закрытом виде: результат функции crypt
IP addresses — указываются адреса с которых возможно подключение (* — означает подключение отовсюду)

После произведения настроек необходимо перезапустить службы:

service xl2tpd restart

Следует учитывать что интерфейс ppp не поднимется и его не будет видно в системе пока не пройдет аутентификация клиента.

 При настройке порта l2tp, а также при пробросе портов на роутере следует учитывать, что l2tp-client на стороне микротика работает с параметрами по умолчанию — не поддерживает смену портов и использует протокол UDP.

Настройка клиента на микротике настройка указана через командную строку:

/interface l2tp-client add name=l2tp-out1 connect-to=xxx.xxx.xxx.xxx user=peer_name password=peerpasswd allow=chap,mschap1 use-ipsec=no add-default-route=no max-mtu=1280 max-mru=1280

здесь connect-to= указывается внешний ip сервера l2tp
user/password — логин/пароль пользователя указанные в файле /etc/ppp/chap-secrets
проверить полученный адрес l2tp можно командой:

/ip address print
@MikroTik] /ip address> /ip address print
Flags: X — disabled, I — invalid, D — dynamic
# ADDRESS NETWORK INTERFACE
2 D 172.10.20.10/32 172.10.20.1 l2tp-out1

По выводу видно, что созданый на предыдущем шаге интерфейс получил адрес 172.10.20.10, т. е. Первый из объявленного на сервере диапазона.
После этих манипуляций на сервере должен подняться интерфейс ppp, проверить можно командой ifconfig

ppp0 Link encap:Point-to-Point Protocol
inet addr:172.10.20.1 P-t-P:172.10.42.10 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1280 Metric:1
RX packets:294 errors:0 dropped:0 overruns:0 frame:0
TX packets:4 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:173792 (169.7 KiB) TX bytes:46 (46.0 b)

Чтобы хостам локальной сети сервер был доступен по его локальному адресу, а равно и хосты локальной сети филиала были доступны с сервера необходимо настроить маршрутизацию.

На сервере: в файл /etc/sysconfig/network-scripts/route-pppX, где X — номер ppp интерфейса, добавить маршрут в локальную сеть филиала:

192.168.30.0/24 via 172.10.20.10 dev ppp0

Чтобы настройки применились надо или рестартовать интерфейс или вручную добавить маршрут в таблицу маршрутизации вручную:

ip route add 192.168.30.0/24 via 172.10.20.10

На Микротике:

/ip route add dst-address=192.168.15.0/24 gateway=l2tp-out1

После данных настроек получается ненатированный прозрачный ВПН, но следует учитывать что данные в нем будут без шифрования.