Построение корпоративных VPN-сетей. L2TP с IPSec на Mikrotik

Рет қаралды 78,768

Күн бұрын

Получайте ответы на свой вопросы в нашей группе в Telegram: t.me/MikTrain
Существует множество вариантов организации защищенных туннелей между офисами.
Один из вариантов L2tp + ipsec.
Несмотря на то что обычно данная связка используется как способ подключения мобильных сотрудников к офисным ресурсам у нее есть свои плюсы в схеме сеть-сеть. На семинаре поговорим о плюсах.
Поговорим о том как сделать ipsec на сертификатах для работы с l2tp.
Презентация к видео: mkrtk.ru/wbl2tp
Тайм-код:
00:00 Содержание выступления
01:24 Голосование. Какой l3 VPN вы используете в ROS?
05:22 Классическая схема. Есть открытая сеть, через которую мы делаем туннель
07:47 L2tp
08:32 Ipsec transport mode
09:23 L2tp + ipsecmode
10:46 L2tp базовая настройка сервера
11:59 L2tp базовая настройка клиента
30:39 Ручная настройка ipsec в транспортном режиме для L2tp
36:42 Создание Сертификата CA
43:11 Настройка peer и identities на L2tp сервере
56:54 Настройка policies на L2tp клиенте
1:05:59 Настройка маршрутизации
1:33:09 MLPPP
1:38:14 Выводы
1:43:32 Ответы на вопросы

Пікірлер: 63

@user-ih9tk2kb5v Жыл бұрын

Старость это когда ты на одном дыхании смотришь видос по настройкам длинной в 1 час 56 минут)

@EvgeniySibiryakov 8 ай бұрын

толку просто смотреть, надо делать!

@vsyes1984 3 ай бұрын

старость? или работа которая тебя не достойна?

@Stafford14 2 жыл бұрын

Спасибо как всегда круто. много чего нового интересно, теперь переварить и применить осталось! спасибо еще раз!

@papafish966 2 жыл бұрын

забил на канал чет вспеомнил но приятно же)

@jimmysand5732 2 жыл бұрын

Роман, сталкивались ли Вы с граблями при настройках НордВПН или ЭкспрессВПН на устройствах Микротик?

@khramtsov1 2 жыл бұрын

Роман спасибо за видео! А поясните что не так- при подключении мобильных или win устройств. внешний ip устройства меняется на ip сервера, а при подключении мikrotik в качестве клиента- остается ip его провайдера?

@tedsatim3555 Жыл бұрын

Спасибо за материал!

@Alex-un5tl 2 жыл бұрын

здравствуйте, можете пожалуйста сделать видео на новый юзер менеджер (7.1 rc1) для работы с ipsec vpn и wpa2 Enterprise? заранее спасибо

@Welk555 2 жыл бұрын

У меня уже 2 года работает l2tp + IPsec со всеми филиалами, около 20 штук. Это первое, что я сделал на новом месте, до этого филиалы ходили по рдп даже без ограничений по адресам

@user-lh2de5bh5h 2 жыл бұрын

на микротках все поднял?

@Welk555 2 жыл бұрын

@@user-lh2de5bh5h да, на 1009-м сервер, клиенты на HeX. Вообще проблем нет.

@user-ej4xf1br4o Жыл бұрын

16:32 откуда взялась сеть для l2tp? Она нужна, ее нужно создать самому? Стало еще больше вопросов...

@Alexey_samodelkin 2 жыл бұрын

Добрый день,а можно такое же видео только для RouterOS 7. У меня после обновления прошивки перестали работать маршруты. После отката на 6.48 всё работает отлично

@zakonnik008 Жыл бұрын

Здравствуйте. Есть пул для dhcp, можно ли выбрать общий пул для dhcp и l2tp?

@Flash_Sun 2 жыл бұрын

У меня rb4011, почему он при нагрузке не использует все ядра а только одно ядро, которое шкалит до 100%?

@TheJtrg 2 жыл бұрын

Можно обновить обзор и выбор железок? Уже год прошёл с прошлого раза.

@user-pu4we1xj8r 2 жыл бұрын

Я правильно понял, что мобильных клиентов ("road warrior" в терминологии Микротика) нельзя подключать каждого с собственным сертификатом? Ведь для таких клиентов у нас единственный пир с ip 0.0.0.0/0, соответственно и Identitie тоже один. В чём тогда плюсы по сравнению с PSK? Что мы раздаём всем единый PSK, что единый сертификат.

@user-pu4we1xj8r 2 жыл бұрын

55:10 Обратите внимание, что в шаблоне политики отсутствуют порты, хотя перед этим они заполнялись. Это потому что для политики порты не имеют смысла, о чём в вики прямо написано. Забавно, что если их заполнить и нажать ОК они отобразятся в винбоксе но их не будет видно через консоль, а из винбокса они пропадут при переподключении :)

@valentinegraev9350 2 жыл бұрын

ребята,кто сталкивался с блокировкой l2tp провайдером? как действуете в таких случаях? у меня было дважды, sstp , wireguard работают а l2tp не коннект

@litromobil51 3 ай бұрын

Я пока не готов просмотреть 2 часа про L2tp+ipsec. Пока вообще не понимаю, что мне надо. Было два 951ых, соединённых openvpn. Скорость была 20 Мбит, что маловато для моих нужд. Узнал, что у микротиков бывает аппаратное ускорение шифрования, но только на ipsec. Заменил оба конца на ах2. Теперь как ни пробую - всегда скорость 100. Хоть на openvpn, хоть на ipsec, для разнообразия ещё wg попробовал. А просто на одном конце пров 100мбит, на другом 500. В итоге я и не знаю, что сколько даёт, скорость упирается в прова. Пока оставлю как есть значит на опенвпн, как сотку расширю, буду дальше думать, калькулировать, переезжать на л2тп или как

@alexk4894 2 жыл бұрын

Начало 18:14

@EvgenyRejnovskey 2 жыл бұрын

Жесть...

@user-qz8kq3nc2i 8 ай бұрын

а подключение по L2TP 2 и более пользователей за одним белым IP возможно?

@Flash_Sun 2 жыл бұрын

Добрый день! Можно вопросик задать?

@sedmoy_ 5 ай бұрын

У меня такая проблема, создаю vpn l2tp ipsec автоматически, пытаюсь подключиться с пк, выдаёт ошибку на уровне безопасности во время согласований с удалённым пк

@user-iz5zk4dd7u 2 жыл бұрын

Такой вопрос. Есть локалка на капсмане, есть устройства которые круглосуточно подключены по wifi. Суть в том что первое время (около 6-7 часов) после включения точек пинги до устройств которые к ним подключены более менее адекватные, от 2 до 20мс, но вот спустя время они вырастают от 70 до 140мс, а иногда и вовсе становятся запредельными. В чём может быть проблема?

@user-iz5zk4dd7u 2 жыл бұрын

@@bBlackDen перешел на локал форвард стало получше. А насчет второго - как его зарубить?

@romasorokin8961 9 ай бұрын

Сделал базовую настройку vpn l2tp/ipsec, столкнулся со следующей проблемой, у клиентов сколько 0.07 мб, впн подключается, но по факту работает ужасно... Что с этим сделать можно?

@logtir7237 2 жыл бұрын

Добрый день. Возможно ли подключить чистый IPSec, но с одной стороны на оборудовании WatchGuard чистый белый адрес. А вот с другой стороны сотовый провайдер даёт статический белый адрес, но симка вставляется в TP-Link модем, там работает, и вот этот модем TP-Link отдаёт по эзернет порту Микротику серый адрес по типу 192.168..... Адрес прописываемый на интерфейсе Микротика в настройках модема добавлен в ДМЗ, и по теории на него, с внешнего адреса идут все пакеты. Так работает между двумя WatchGuard-ами, между Керио и Ватчгардом, но микротик не может в такую схему. Можно ли как-нибудь настроить микротик, что бы он поднял IPSec в такой схеме

@nurlanturganaliev3375 7 ай бұрын

Для настройки ipsec достаточно белое айпи с одной стороны, а второая сторона может быть за натом.

@radmirit 2 жыл бұрын

Добрый день! можно ли как то настроить связь с сервером за микротиком если микротик находится за nat провайдера?

@MrDmNuts 2 жыл бұрын

Нужен VPN сервер с белым IP адресом. Микротика цепляете к нему клиентом, настраиваете маршрутизацию. Или попросить провайдера пробросить нужные порты.

@D1abl093 2 жыл бұрын

поднять vpn сервер на бесплатном VPS и кидать трафик через него.

@hotdsd8580 2 жыл бұрын

А прочему вы скептически относитесь к wireguard? Он намного производительнее и безопасней чем тот же ipsec

@m1skam 2 жыл бұрын

Нативную поддержку wireguard добавили только в 7ю версию RouterOS которая еще не релиз. Насчет скорости - глядя на их обещания и бенчи, возникает вопрос - а какие параметры были у стенда, что они получили такую скорость? Ради эксперимента попробуйте на дефолтном MTU получить такие же цифры без шифрования,

@zuluBarvo 2 жыл бұрын

Настроил на двух Mikrotik RBD52G-5HacD2HnD-TC l2tp-ipsec, скорость между микротик-винда 100 мбит по smb, а между микротик-микротик скорость в 2 раза меньше, что не так?

@EvgenyRejnovskey 2 жыл бұрын

хороший роутер

@MrDmNuts 2 жыл бұрын

Тест скорости запускаете на тех самых Микротиках?

@zuluBarvo 2 жыл бұрын

@@MrDmNuts я просто копирую шару на сервере в филиал и обратно, виндовый клиент l2tp+ipsec имеет скорость в 2 раза выше.

@MrSezius 2 жыл бұрын

Проц на сколько загружен на микротах при копировании?

@zuluBarvo 2 жыл бұрын

@@MrSezius linkme.ufanet ru/images/57d6a52d0ef6244db26b21c156ec718f.png windows клиент не упирается в процессор и использует полностью 100 мбит канал.

@random5539 2 жыл бұрын

Роман может стримчик с каналом Моя профессия - администратор... Где правда!!!

@andrewuwizard 10 ай бұрын

Шикарное видео - спасибо! remote l2tp ipsec клиент не видит сетевые ресурсы 2й сети. в кратце - есть основная сеть l2tp site to site - 2 микрота сервер и клиент соответсвенно. Правда без ip sec . интерфейсы подняты, между собой эти 2 сети общаются. при подключении удаленного пк к впн серверу (GW1 роутер) через l2tp ipsec подклчение устанавливается и ресурсы в стеи роутера GW1 видны для удлаенного клиента. А ресурсы в сети роутера GW2 соответсвенно клиента VPN l2tp не видны. Туннель между GW1 и GW1 подня постоянно, пакеты ходят. Предполагаю нужно копать в сторону маршрутизации на роутере. Пок ане понятно на кокаом из 2х основных роутеров? Сориентируйте пож - что настроить чтобы удаленные клиенты видели сеть ресурсы в обеих сегментах обьедененной VPN сети. Спасибо!

@user-ib3xj5vz1p Жыл бұрын

Задам тупой вопрос. Подскажите пожалуйста, перештудировал десятки форумов, но нигде не нашел должного варианта решения. Есть такой момент. ВПН на микротике прекрасно работает (L2TP IPSec) до момента пока не будет снята галочка на сетевом подключении "использовать основной шлюз в удаленной сети", та галочка, что по умолчанию как раз не стоит например на маках. И тут начинается дурдом, пингов нет, шара не видна, локальное обоурдование в сети офиса не видно, пока не вернешь галочку. Оно то понятно по какой причине, а вот как решить проблему не могу найти. Проблема в том, что если галочка стоит, ВЕСЬ трафик идет через впн, если не стоит, то все замолкает, искал в маршрутизации, но по решению именно данной проблемы ничего не нашел. По сути удаленные клиенты жрут трафик офиса, а точнее круто бьют по скорости канала.

@MikrotikTraining Жыл бұрын

У меня был вебинар - передача маршрутов удаленным клиентам vpn, там я разбирал все доступные на тот момент варианты

@user-ib3xj5vz1p Жыл бұрын

@@MikrotikTraining Большое спасибо, обязательно посмотрю видео.

@user-vv1kx1kx6v Жыл бұрын

Нашли как решить денную проблему?

@Koloyaroff Жыл бұрын

Тема с сертефикатами и wireguard не раскрыта. Спасибо за труд

@MikrotikTraining Жыл бұрын

Нет сертификатов на wireguard)

@user-rq3vi4oe7b Ай бұрын

Я чуть не уснул

@bogdan-nike 2 жыл бұрын

Спасибо большое за видео. Интересно Ваше мнение об презентации о построении VPN между филиями и уделенными клиентами. kzbin.info/www/bejne/aqi6aqWGpKmclc0 В данной лекции очень интересно распределена IP адресация, при которой используется минимум сетевых пулов и не нужны никакие «костили» чтобы связать разные сети между собой. Сам перенастроил две фирмы на роботу по такому принципу и очень доволен. Настройка микротиков, Windows-клиентов, Android-устройств производится с пол оборота и работает как часики. Все схемы в интернете предлагают создавать отдельно сети для филиалов и отдельно для VPN, что очень усложняет чтение схемы и заставляет делать «костыли», чтобы пробросить трафик между филиалами.

@StahLHerZRocK 2 жыл бұрын

А в телеге, типичный разговор маргиналов)

@user-uu8ep2xw5j 2 жыл бұрын

очень много воды

@i386 2 жыл бұрын

Бесполезный вебинар. Жмет на все подряд ничего не объясняя, какой-то хаос и сумбур.

@dimagrad4452 2 жыл бұрын

але гараж! какие корпоративные сети на Mikrotik ? че белены обелись? с этой хренью только лохов разводить можно и то до первого взлома ...

@sergeykkk8681 2 жыл бұрын

Расскажите, пожалуйста, как нужно!

@dimagrad4452 2 жыл бұрын

@@sergeykkk8681 для большого корпоративного сегмента Vigor3910 или Vigor1000B для среднего Vigor2962 или Vigor2927 для малого Vigor2925 или Vigor2915

@hotdsd8580 2 жыл бұрын

@@dimagrad4452 а что не так с использованием mikrotik в крупных сетях? Насколько я знаю сама компания MikroTik использует у себя в сети свое же оборудование. У них вся сеть полностью на нем построена. Если бы оно было плохое они сами бы его не ставили себе