Настройка L2tp Ipsec Vpn Сервер Pfsense • Nano etcipsecsecrets
Если устройства за одним NAT подключаются к одному серверу, то работает сценарий «кто первый подключился». Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. Нет, все даже будет работать, но вот безопасность такого решения окажется довольно низкой, не соответствующей современным требованиям.
Подружить pfSense и MikroTik можно, но только ради OpenVPN. Во всех остальных случаях я рекомендую полностью мигрировать с pfSense на RouterOS.
Имеется pfSense, который справляется с задачами здесь и сейчас. Но появились офисы, которые нужно подключить к сети за pfSense, да не просто подключить, а получить отказоустойчивость!
Проблема 1:
pfSense не умеет адекватно GRE+IPsec, к тому же OSPF работает только из пакета FRR, который вызывает только боль.
Проблема 2:
MikroTik не умеет OpenVPN udp (в 7 версии добавили), отправлять push клиентам.
Проблема 3:
На pfSense слишком много сервисов, которые практически невозможно перенести на MikroTik без простоя.
OpenVPN pfSense MikroTik
Проектирование связей
Для настройки связи офис-центр нужно установить дополнительный маршрутизатор в виде MikroTik, это может быть как RouterBOARD, так и Cloud Hoster Router
Принципиальная итоговая схема
Подготовка pfSense в центре:
Пакет FRR
Устанавливается из стандартного меню с доступными пакетами
System -> Package Manager
Включить OSPF, указать Router ID
Прописать Area и аутентификацию
Включить FRR
Магия Firewall
Указываем LAN интерфейс с TCP
Разрешает «непонятные» пакеты
Так же можно указать маршрут статически, если не справитесь с FRR
Подготовка MikroTik в центре:
GRE+IPsec
IPsec
OSPF с зонами
Адресация GRE туннелей
Как можно заметить, адресация будет использоваться вида
Настройка офисов MikroTik
Настройка аналогична настройке GRE+IPsec+OSPF центра
Здесь указывается имя и используемые алгоритмы – описаны в документации Mikrotik, я выбрал рекомендуемые для своей железки. Где mySharedKey — общий ключ, так как от него зависит безопасность вашей VPN-сети мы рекомендуем использовать в качестве ключа случайно сгенерированную строку из букв, цифр и спецсимволов. Чтобы досконально понимать, как работает последующая настройка шифрованного VPN, о которой я расскажу, нужно в любом случае почитать другие статьи, дабы понимать мат.
Настраиваем L2TP
Для реализации функций L2TP-сервера предназначен пакет xl2tpd, для его установки выполните:
Затем откройте файл настроек /etc/xl2tpd/xl2tpd.conf, раскомментируйте и приведите к следующему виду опции:
Для настройки PPP перейдем в /etc/ppp и скопируем стандартный файл настроек:
Затем открываем файл /etc/ppp/options.xl2tpd на редактирование и приводим к следующему виду. Опции перечислены в порядке их следования, нужно раскомментировать их и указать нужное значение, если опция отсутствует, то ее следует добавить в конце файла.
Если вы будете использовать ProxyARP то дополнительно раскомментируйте опцию:
Также для Windows-клиентов можно передать настройку DNS-серверов, для этого добавьте опции:
Это позволит настроить первичный и альтернативный DNS-сервера в системе.
Сохраним все внесенные изменения и перезапустим службу L2TP-сервера:
Строку со следующим сообщением можно проигнорировать, на работу VPN-сервера она не влияет:
Заключительным этапом настройки будет создание учетных записей для удаленных клиентов, для этого откроем файл /etc/ppp/chap-secrets и внесем следующую строку:
Для доступа к L2TP-серверу следует разрешить в брандмауэре входящие подключения к портам 500 UDP, 1701 UDP и 4500 UDP.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Настраиваем L2TP VPN-сервер на платформе Linux (Debian / Ubuntu) — Записки IT специалиста
Создается PPP-профиль с дефолтными настройками, указывается только локальный адрес и удаленные адреса из созданного ранее пула: L2TP изначально предоставляет услугу PPP на канальном уровне модели OSI с последующей инкапсуляцией, что позволяет работать поверх IP. Опции перечислены в порядке их следования, нужно раскомментировать их и указать нужное значение, если опция отсутствует, то ее следует добавить в конце файла.
Setup is complete
6. Switch Mode to Automatic , then Save and Apply the change.
7. Switch back to Manual , then Save and Apply the change again.
PfSense — Роутер своими руками — Блокнот IT инженера
Затем откроем файл настроек /etc/ipsec.conf и добавим в его конец следующие две секции: Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. Для настройки связи офис-центр нужно установить дополнительный маршрутизатор в виде MikroTik, это может быть как RouterBOARD, так и Cloud Hoster Router.
Стадия 7. Настройка маршрутизатора
Настройка MikroTik
Interfaces->+L2TP Client
Задаем название интерфейса в Name
Connect To: IP VPN нашего сервера
Выбираем цепочку dstnat, нужный протокол (для камер может использоваться как tcp, так и udp, можете создать сколько угодно правил), Dst. Port на который обращаются из вне, In Interface, куда приходит обращение
Выбираем событие dst-nat и указываем на какой IP в поле To Addresses и на какой порт отправлять подключение.
Пробуем подключиться по белому IP с указанием порта. Всё получится.
Если остались вопросы, либо нет понимания что да как делать — я занимаюсь удаленной помощью.
