RouterOS 6.41版應用於設有伺服器的家用網路(二):VPN

Mikrotik RB450G外觀

建立VPN server
RouterOS支援PPTP、L2TP、SSTP與OpenVPN(OVPN),SSTP需要憑證和網域而OpenVPN需要憑證,不過是家用環境而已不想弄得太麻煩,所以跳過SSTP與OpenVPN,只弄PPTP與L2TP的VPN server就好,L2TP的加密是256 bit,比PPTP的128 bit好一些,所以在外使用以L2TP為主,PPTP做備援。

建立VPN IP Pool方便控管
/ip pool
add name=PPTP_VPN ranges=192.168.88.171-192.168.88.180
add name=L2TP_VPN ranges=192.168.88.161-192.168.88.170

建立VPN Profile,use-encryption必須要是required或是Yes,否則有可能無法連線,如果只是要存取內網的資源,DNS可以不必填,而如果是經過VPN上網或翻牆,DNS一定要填。
/ppp profile
add local-address=192.168.88.1 name=PPTP_Profile remote-address=PPTP_VPN use-encryption=required
add local-address=192.168.88.1 name=L2TP_Profile remote-address=L2TP_VPN use-encryption=required

建立VPN使用者帳號與密碼
/ppp secret
add name=***** password=***** profile=PPTP_Profile service=pptp
add name=***** password=***** profile=L2TP_Profile service=l2tp

啟動PPTP server
/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2 default-profile=PPTP_Profile enabled=yes

啟動L2TP server,L2TP需指定預先共享金鑰。
/interface l2tp-server server
set default-profile=L2TP_Profile enabled=yes ipsec-secret=***** use-ipsec=yes

開啟對應的防火牆,PPTP是tcp port 1723和gre,而L2TP則是udp port 1701/500/4500。
/ip firewall address-list
add address=192.168.88.161-192.168.88.180 list=VPN
/ip firewall filter
add action=accept chain=input comment="Accept PPTP VPN" dst-port=1723 in-interface=PPPoE_S protocol=tcp
add action=accept chain=input in-interface=PPPoE_S protocol=gre
add action=accept chain=input comment="Accept L2TP VPN" dst-port=1701,500,4500 in-interface=PPPoE_S protocol=udp

若遇到VPN連線後無法Ping到LAN裡面其他裝置的問題,需做IP偽裝。
/ip firewall address-list
add address=192.168.88.161-192.168.88.180 list=VPN
/ip firewall nat
add action=masquerade chain=srcnat comment="VPN NAT" dst-address-list=!VPN src-address-list=VPN

1 意見:

=.=大師..我照你用的設定試了二天..一直不能連..
也爬了其他設定,一直都用不了....
我在ROS的LOG裡,看到連線過程,會出現3個訊息..
l2tp,ppp,error 111.111.111.111:user bossl2tp authentication_failed
ipsec.info purging isakmp sa
ipsec.info isakmp-sa delete xxx.xxx.xxx.xxx[4500]

Reply

張貼留言