Настройка L2tp Ipsec Vpn Сервер Pfsense • Nano etcipsecsecrets

F1

Если устройства за одним NAT подключаются к одному серверу, то работает сценарий «кто первый подключился». Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. Нет, все даже будет работать, но вот безопасность такого решения окажется довольно низкой, не соответствующей современным требованиям.

Подружить pfSense и MikroTik можно, но только ради OpenVPN. Во всех остальных случаях я рекомендую полностью мигрировать с pfSense на RouterOS.

Имеется pfSense, который справляется с задачами здесь и сейчас. Но появились офисы, которые нужно подключить к сети за pfSense, да не просто подключить, а получить отказоустойчивость!

Проблема 1:

pfSense не умеет адекватно GRE+IPsec, к тому же OSPF работает только из пакета FRR, который вызывает только боль.

Проблема 2:

MikroTik не умеет OpenVPN udp (в 7 версии добавили), отправлять push клиентам.

Проблема 3:

На pfSense слишком много сервисов, которые практически невозможно перенести на MikroTik без простоя.

ZABBIX карта pfSense CHR

How to set up Proton VPN on pfSense 2.5. x
Теперь поддержка туннелей и связь с офисами забота MikroTik. Это та функция, с которой не может справиться pfSense. К тому же под OpenVPN системный администратор может заходить в сети других офисов.
Коротченков Дмитрий Николаевич, специалист по вопросам мобильной связи и интернета
Мнение эксперта
Коротченков Дмитрий Николаевич, специалист по вопросам мобильной связи и интернета
Со всеми вопросами смело обращайтесь ко мне, я помогу.
Задать вопрос эксперту
Опции перечислены в порядке их следования, нужно раскомментировать их и указать нужное значение, если опция отсутствует, то ее следует добавить в конце файла. Если возникли проблемы, смело обращайтесь ко мне!

OpenVPN pfSense MikroTik

Проектирование связей

Для настройки связи офис-центр нужно установить дополнительный маршрутизатор в виде MikroTik, это может быть как RouterBOARD, так и Cloud Hoster Router

ZABBIX карта pfSense CHR

Принципиальная итоговая схема

Подготовка pfSense в центре:

Пакет FRR

Устанавливается из стандартного меню с доступными пакетами
System -> Package Manager

Включить OSPF, указать Router ID

А Вы можете обойтись без смартфона?
ДаНет

Прописать Area и аутентификацию

Включить FRR

Магия Firewall

Указываем LAN интерфейс с TCP

Разрешает «непонятные» пакеты

Так же можно указать маршрут статически, если не справитесь с FRR

Подготовка MikroTik в центре:

GRE+IPsec

IPsec

OSPF с зонами

Адресация GRE туннелей

Как можно заметить, адресация будет использоваться вида

Настройка офисов MikroTik

Настройка аналогична настройке GRE+IPsec+OSPF центра

Здесь указывается имя и используемые алгоритмы – описаны в документации Mikrotik, я выбрал рекомендуемые для своей железки. Где mySharedKey — общий ключ, так как от него зависит безопасность вашей VPN-сети мы рекомендуем использовать в качестве ключа случайно сгенерированную строку из букв, цифр и спецсимволов. Чтобы досконально понимать, как работает последующая настройка шифрованного VPN, о которой я расскажу, нужно в любом случае почитать другие статьи, дабы понимать мат.

Настраиваем L2TP

Для реализации функций L2TP-сервера предназначен пакет xl2tpd, для его установки выполните:

Затем откройте файл настроек /etc/xl2tpd/xl2tpd.conf, раскомментируйте и приведите к следующему виду опции:

Для настройки PPP перейдем в /etc/ppp и скопируем стандартный файл настроек:

Затем открываем файл /etc/ppp/options.xl2tpd на редактирование и приводим к следующему виду. Опции перечислены в порядке их следования, нужно раскомментировать их и указать нужное значение, если опция отсутствует, то ее следует добавить в конце файла.

Если вы будете использовать ProxyARP то дополнительно раскомментируйте опцию:

Также для Windows-клиентов можно передать настройку DNS-серверов, для этого добавьте опции:

Это позволит настроить первичный и альтернативный DNS-сервера в системе.

Сохраним все внесенные изменения и перезапустим службу L2TP-сервера:

Строку со следующим сообщением можно проигнорировать, на работу VPN-сервера она не влияет:

l2tp-vpn-server-debian-ubuntu-002.png

Заключительным этапом настройки будет создание учетных записей для удаленных клиентов, для этого откроем файл /etc/ppp/chap-secrets и внесем следующую строку:

Для доступа к L2TP-серверу следует разрешить в брандмауэре входящие подключения к портам 500 UDP, 1701 UDP и 4500 UDP.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Белый IP на любом операторе (VDS VPN L2TP IPsec iptables) — Блог
Основные настройки просты, здесь особо ничего сложного нет, в т.ч. для домохозяек, если сделать инструкцию по заполнению полей:
Коротченков Дмитрий Николаевич, специалист по вопросам мобильной связи и интернета
Мнение эксперта
Коротченков Дмитрий Николаевич, специалист по вопросам мобильной связи и интернета
Со всеми вопросами смело обращайтесь ко мне, я помогу.
Задать вопрос эксперту
Если бы и сервер и клиент имели статические внешние IP-адреса, то вполне можно было бы использовать чистый IPsec или же IPIP, GRE и EoIP over IPsec. Если возникли проблемы, смело обращайтесь ко мне!

Настраиваем L2TP VPN-сервер на платформе Linux (Debian / Ubuntu) — Записки IT специалиста

Создается PPP-профиль с дефолтными настройками, указывается только локальный адрес и удаленные адреса из созданного ранее пула: L2TP изначально предоставляет услугу PPP на канальном уровне модели OSI с последующей инкапсуляцией, что позволяет работать поверх IP. Опции перечислены в порядке их следования, нужно раскомментировать их и указать нужное значение, если опция отсутствует, то ее следует добавить в конце файла.

Setup is complete

Настройка L2tp Ipsec Vpn Сервер Pfsense • Nano etcipsecsecrets

6. Switch Mode to Automatic , then Save and Apply the change.

7. Switch back to Manual , then Save and Apply the change again.

Коротченков Дмитрий Николаевич, специалист по вопросам мобильной связи и интернета
Мнение эксперта
Коротченков Дмитрий Николаевич, специалист по вопросам мобильной связи и интернета
Со всеми вопросами смело обращайтесь ко мне, я помогу.
Задать вопрос эксперту
Под данную политику будет попадать весь трафик туннеля L2TP, который будет настроен на использование IPsec, а потому в поле Action установлено значение encrypt то есть будет выполнено шифрование на основе Proposial, в котором указаны выбранные алгоритмы. Если возникли проблемы, смело обращайтесь ко мне!

PfSense — Роутер своими руками — Блокнот IT инженера

Затем откроем файл настроек /etc/ipsec.conf и добавим в его конец следующие две секции: Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. Для настройки связи офис-центр нужно установить дополнительный маршрутизатор в виде MikroTik, это может быть как RouterBOARD, так и Cloud Hoster Router.

Стадия 7. Настройка маршрутизатора

Настройка MikroTik

Interfaces->+L2TP Client

Задаем название интерфейса в Name

Connect To: IP VPN нашего сервера

Выбираем цепочку dstnat, нужный протокол (для камер может использоваться как tcp, так и udp, можете создать сколько угодно правил), Dst. Port на который обращаются из вне, In Interface, куда приходит обращение

Выбираем событие dst-nat и указываем на какой IP в поле To Addresses и на какой порт отправлять подключение.

Пробуем подключиться по белому IP с указанием порта. Всё получится.

Если остались вопросы, либо нет понимания что да как делать — я занимаюсь удаленной помощью.

Настройка L2tp Ipsec Vpn Сервер Pfsense • Nano etcipsecsecrets

Mikrotik: Настройка IPsec & L2TP-сервера – Sysadmin`s way
Подружить pfSense и MikroTik можно, но только ради OpenVPN. Во всех остальных случаях я рекомендую полностью мигрировать с pfSense на RouterOS.
Коротченков Дмитрий Николаевич, специалист по вопросам мобильной связи и интернета
Мнение эксперта
Коротченков Дмитрий Николаевич, специалист по вопросам мобильной связи и интернета
Со всеми вопросами смело обращайтесь ко мне, я помогу.
Задать вопрос эксперту
Но чаще всего только с одной стороны имеется белый IP-адрес например, в одном офисе , А потому все удаленные клиенты могут свободно подключаться через L2TP, будь это пользователи или же удалённые офисы. Если возникли проблемы, смело обращайтесь ко мне!

Поднимаем свой VPN — L2TP/IPsec на Ubuntu.

Добавить комментарий