【免費註冊】 【會員登入】 【個人資料】 【會員列表】 【論壇幫助】 【論壇搜尋】 【登出論壇】

∮Ω奧米加空間∮
∮Ω奧米加空間∮»MikroTik RouterOS»【教學】VPN server L2TP 設定教學

訂覽該主題更新消息 | 將該主題推薦給朋友 發表新主題 發起投票  回覆
作者 主題    
dc
管理員



性別:男
來自:瓦肯星
發表總數:7961
註冊時間:2002-05-07 16:32
(第 1 篇) 【教學】VPN server L2TP 設定教學

資料來源:蜥蝪遇水寒

全程是在 Terminal 模式底下的指令

建立VPN IP Pool方便控管
/ip pool
add name=L2TP_VPN ranges=192.168.88.161-192.168.88.170

建立VPN Profile,use-encryption必須要是required或是Yes,否則有可能無法連線,如果只是要存取內網的資源,DNS可以不必填,而如果是經過VPN上網或翻牆,DNS一定要填。
/ppp profile
add local-address=192.168.88.1 name=L2TP_Profile remote-address=L2TP_VPN use-encryption=required

建立VPN使用者帳號與密碼
/ppp secret
add name=***** password=***** profile=L2TP_Profile service=l2tp

啟動L2TP server,L2TP需指定預先共享金鑰。
/interface l2tp-server server
set default-profile=L2TP_Profile enabled=yes ipsec-secret=***** use-ipsec=yes

開啟對應的防火牆L2TP則是udp port 1701/500/4500。
/ip firewall address-list
add address=192.168.88.161-192.168.88.180 list=VPN
/ip firewall filter
add action=accept chain=input comment="Accept L2TP VPN" dst-port=1701,500,4500 in-interface=PPPoE_S protocol=udp

若遇到VPN連線後無法Ping到LAN裡面其他裝置的問題,需做IP偽裝。
/ip firewall address-list
add address=192.168.88.161-192.168.88.180 list=VPN
/ip firewall nat
add action=masquerade chain=srcnat comment="VPN NAT" dst-address-list=!VPN src-address-list=VPN




搭配圖文說明會比較容易理解~但我內網網段與教學的不太一樣就是了~


先到 IP -> Pool 建立 L2TP_VPN 連線進來的 IP 池範圍。



PPP -> Profiles -> 按下 + 建立
Name: L2TP_Profile
Local Address: 這裡設定的 IP 是你出口的 Gateway 地址
Remote Address: 這裡選的是我們前一步設定的 L2TP_VPN ,連進來的 IP 會配發這一個區段的 IP

Protocols -> Use Encryption -> 選擇 required -> OK



建立 VPN 使用者帳號與密碼
PPP -> Secrets -> 按下 + 建立
Name: 自訂使用者名稱
Password: 自訂使用者密碼
Service: 選擇 l2tp
Profile: 選擇前一步設定的 L2TP_Profile
-> OK



啟動L2TP server,L2TP 需指定預先共享金鑰
PPP -> Interface -> L2TP Server
Enabled 打勾
Default Profile: 選擇 L2TP_Profile
Use IPsec: 選擇 yes
IPsce Secret 自訂預設共享金鑰
Allow Fast Path 打勾
-> OK



開啟對應的防火牆 L2TP 則是udp port 1701/500/4500

先建立地址清單
IP -> Firewall -> Address Lists
Name: 我們設定為 VPN
Address: 為我們 L2TP_VPN Pool 的 IP 區段
-> OK


再開啟防火牆
IP -> Firewall -> Filter Rules -> 按下 + 建立
Chain: 選擇 input
Protocol: 選擇 17 (udp)
Dst. Port: 填入 1701,500,4500
In. Interface: 這裡選擇你的出口連線,我的是 pppor-out1 撥接出去的所以選擇他

-> Action
Action: 選擇 accept
-> 最後按下 OK

就完成設定了~


iPad 上的設定為
設定 -> VPN ->加入 VPN 設定
類型 選擇 L2TP
描述 設定自己知道的就好
伺服器 設定你的 RouterOS 外網 IP 也就是 Public ip
帳號 填我們剛剛建立的 l2tpuser1
密碼 填我們設定的密碼
密鑰 為 IPsce Secret 自訂預設共享金鑰
傳送所有流量 不必開啟~如果你要將對外的 Public ip 跟主機一樣的話再開啟~

選擇我們剛剛建立的 VPN 連線 -> 狀態那邊改成連線
第一次撥可以會出現主機沒有回應,沒關係撥第二次就會通了
Caller ID 會是你連線過來的 Public IP







Your mind to my mind,

your thought to my thought
發表時間:2019-08-05 12:25
dc的個人資料 傳送郵件給dc dc的個人首頁 dc發表的所有文章 送出悄悄話給dc IP:203.*.*.* 編輯  引言回覆 
dc
管理員



性別:男
來自:瓦肯星
發表總數:7961
註冊時間:2002-05-07 16:32
(第 2 篇)

因為我們有開啟防火牆 udp 連入 1701,500,4500 所以在 log 裡會看到有人在 Try

建議可以參考這一篇 Scripts 應用範例 把那些 IP 加入黑名單拒絕連線
https://omega.idv.tw/kdb120/viewthread.php?threadid=4702#post14655


但那也是連線進來後撈取 log 來加入黑名單
所以目前想了一個笨方法

l2tp 登入都是走 udp 順序如下 ipsec 500 -> ipsec 4500 -> l2tp 1701

所以可以將
udp 500 連線先加入 vpn_login_list 保存 2 天 2d 00:00:00
udp 4500 1701 沒有在 vpn_login_list 一律記錄在 vpn_scan_ip 並阻擋 245d 00:00:00
但是如果連線2天一過,正常連線的就被加入 vpn_scan_ip....

在 IP -> Firewall -> Filter Rules 頁籤 -> 按下 +


  General 頁籤    Action 頁籤 
  Chain: 選擇 input    Action: 選擇 add src to address list 
  Protocol: 選擇 udp    Address List: 填入 vpn_login_list 
  Dst. Port: 填 500    Timeout: 填入 2d 00:00:00 
  In. Interface: 選擇 你的出口線路     

按下 OK

按下 +


  General 頁籤    Advanced 頁籤    Action 頁籤 
  Chain: 選擇 input    Src. Address List: 前面方格按下去成 ! 後,填入 vpn_login_list    Action: 選擇 add src to address list 
  Protocol: 選擇 udp        Address List: 填入 vpn_scan_ip 
  Dst. Port: 填 4500,1701        Timeout: 填入 245d 00:00:00 
  In. Interface: 選擇 你的出口線路         

按下 OK

按下 +


  General 頁籤    Advanced 頁籤    Action 頁籤 
  Chain: 選擇 input    Src. Address List: 填入 vpn_scan_ip    Action: 選擇 drop 
  In. Interface: 選擇 你的出口線路         

按下 OK

這樣對於沒有照順序連線的 IP就會被阻擋,因為還在實驗中後續會在更新~






Your mind to my mind,

your thought to my thought
發表時間:2019-08-15 16:44
dc的個人資料 傳送郵件給dc dc的個人首頁 dc發表的所有文章 送出悄悄話給dc IP:203.*.*.* 編輯  引言回覆 
所有時間均為GMT+8, 現在是2019-12-14 08:51    
訂覽該主題更新消息 | 將該主題推薦給朋友 發表新主題 發起投票  回覆

快速回覆
主題 ( 回覆文章可以不輸入標題 )
URLs自動分析
有回覆時郵件通知
禁用表情符號
使用簽名

<聯絡我們 - OMEGA - 控制面板>

Powered by Centaur & Joksky & DC, ver 2003.08.14
Copyright ©2002-2008 PHPY.COM


頁面生成時間:0.0081741809844971