Протокол L2TP является более предпочтительным для построения VPN-сетей, нежели PPTP, в основном это касается безопасности и более высокой доступности, благодаря тому, что для для каналов данных и управления используется одна UDP-сессия. Сегодня мы рассмотрим настройку L2TP VPN-сервера на платформе Windows server 2008 r2.
PPTP
Протокол туннелирования точка-точка (Point-to-Point Tunneling Protocol) – это протокол, изобретенный Microsoft для организации VPN через сети коммутируемого доступа. PPTP является стандартным протоколом для построения VPN уже на протяжении многих лет. Это только VPN-протокол и он опирается на различные методы аутентификации для обеспечения безопасности (наиболее часто используется MS-CHAP v.2). Доступен как стандартный протокол почти во всех операционных системах и устройствах, поддерживающих VPN, что позволяет использовать его без необходимости установки дополнительного программного обеспечения.
Плюсы:
- клиент PPTP встроен почти во все операционные системы
- очень прост в настройке
- работает быстро
Минусы:
- небезопасен (уязвимый протокол аутентификации MS-CHAP v.2 все еще много где используется)
L2TP и L2TP/IPsec
Протокол туннелирования 2 уровня (Layer 2 Tunnel Protocol) – это протокол VPN, который сам по себе не обеспечивает шифрование и конфиденциальность трафика, проходящего через него. По этой причине, как правило, используется протокол шифрования IPsec для обеспечения безопасности и конфиденциальности.
Плюсы:
- очень безопасен
- легко настраивается
- доступен в современных операционных системах
Минусы:
- работает медленнее, чем OpenVPN
- может потребоваться дополнительная настройка роутера
И так вернемся к настройкам, для развертывания VPN L2TP-сервера мы будем использовать Windows Server 2008 R2, однако все сказанное, с небольшими поправками, будет справедливо и для иных версий Windows Server.
Нам потребуется установленная роль , которая должна содержать как это сделать мы подробно описывали в предыдущей статье где мы поднимали PPTP VPN , поэтому описывать этот процесс еще раз не вижу смысла, далее мы будем считать что роль Службы политики сети и доступа у вас уже установлена и содержит Службы маршрутизации и удаленного доступа . Вообще развертывание VPN L2TP-сервера очень похоже на развертывание PPTP VPN , за исключением нескольких настроек о которых мы и поговорим подробно.
Переходим в Диспетчеру сервера: Роли -Маршрутизация и удалённый доступ , щелкаем по этой роли правой кнопкой мыши и выбираем Свойства , на вкладке Общие ставим галочку в полях IPv4-маршрутизатор , выбираем локальной сети и вызова по требованию , и IPv4-сервер удаленного доступа :
Теперь нам необходимо ввести предварительный ключ. Переходим на вкладку Безопасность и в поле Разрешить особые IPSec-политики для L2TP-подключения поставьте галочку и введите Ваш ключ. (По поводу ключа. Вы можете ввести туда произвольную комбинацию букв и цифр главный принцип чем сложнее комбинация -тем безопаснее и еще запомните или запишите эту комбинацию она нам еще понадобиться ) Во вкладке Поставщик службы проверки подлинности выберите Windows - проверка подлинности .
Теперь нам необходимо настроить Безопасность подключений . Для этого перейдем на вкладку Безопасность и выберем Методы проверки подлинности , поставьте галочки на Протокол EAP и Шифрованная проверка (Microsoft, версия 2, MS-CHAP v2) :
Далее перейдем на вкладку IPv4 , там укажем какой интерфейс будет принимать подключения VPN а так же настроим пул выдаваемых адресов клиентам L2TP VPN на вкладке IPv4 (Интерфейсом выставьте Разрешить RAS выбирать адаптер ):
Теперь перейдем на появившуюся вкладку Порты , нажмем правой кнопкой мыши и Свойства , выберем подключение L2TP и нажмем Настроить , в новом окне выставим Подключение удаленного доступа (только входящие) и Подключение по требованию (входящие и исходящие) и выставим максимальное количество портов, число портов должно соответствовать или превышать предполагаемое количество клиентов. Неиспользуемые протоколы лучше отключить, убрав в их свойствах обе галочки.
В итоге у вас в списке портов должны остаться только нужные вам порты в указанном вами количестве.
На этом настройка сервера закончена. Осталось только разрешить пользователям подключатся к серверу. Перейдите в Диспетчере сервера: Конфигурация - Локальные пользователи и группы - Пользователи -Выберите пользователя и нажмите правой кнопкой мыши - Свойства . На вкладке Входящие звонки - Права доступа к сети выставьте Разрешить доступ . (Если Ваш сервер работает под управлением Active Directory, то настройки необходимо вводить в соответствующей оснастке )
И не забудьте на Вашем маршрутизаторе перекинуть порты, а так же открыть из в Вашем Firewall:
- IKE - UDP порт 500 (Прием\Отправка)
- L2TP - UDP порт 1701 (Прием\Отправка)
- IPSec ESP - UDP порт 50 (Прием\Отправка)
- IPSec NAT-T - UDP порт 4500 (Прием\Отправка)
Рассмотрев подробно в предыдущей статье, как поднять серверную часть VPN-соединения на платформе Windows, мы переходим к настройке клиентского подключения L2TP. Для начала хотелось бы вспомнить на всякий случай такое L2TP.
L2TP — протокол туннелирования второго уровня, более совершенный протокол, созданный на базе PPTP и L2F (протокол эстафетной передачи второго уровня от Cisco). К его достоинствам относится гораздо более высокая безопасность за счет шифрования средствами протокола IPSec и объединения канала данных и канала управления в одну UDP сессию. Для работы данного протокола необходимо иметь 2 открытых порта во вне. Это правила для порта 1701 (TCP) и 500 (UDP). Как создать такие правила в штатном фаерволе, если вы напрямую подключены к интернету, можно почитать . Если вы находитесь за маршрутизатором, то можно почитать тут.
Но мы же все это уже читали-знаем. Поэтому примемся за настройку клиентского VPN соединения под L2TP.
Для начала необходимо зайти в Панель управления , в Win7 для этого стоит всего лишь нажать Пуск . и перейти в Панель управления . Далее в зависимости от настроек отображения мы либо нажимаем Сеть и Интернет -> -> . Либо же переходим сразу в Центр управления сетями и общим доступом -> Настройка нового подключения или сети .
Появится мастер Установка и подключения и сети . Выбираем Подключение к рабочему месту
Далее вводим Интернет-адрес (адрес сервера) и название создаваемого подключения, лучше всего Разрешить использование этого подключение другими пользователями . Также на всякий случай советую поставить галочку на Не подключаться сейчас. Т.к мы будем настраивать параметры VPN вручную.
Подключение у нас успешно создалось. Теперь необходим его настроить. Переходим в раздел Изменение параметров адаптеров с окна Центр управления сетями и общим доступом .
Там ищем наше VPN подключение и с помощью ПКМ переходим в пункт меню Свойства . На вкладке Безопасность в тип VPN выбираем L2TP.
Так как технология работы протокола L2TP является технологией с повышенной безопасностью за счет работы шифрования через протокол IPSec, мы можем выставить на сервере сами, либо столкнуться с тем, что там уже выставлен Предварительный ключ для проверки подлинности. Его вводить следует в разделе Безопасность -> Дополнительные параметры -> Ввести ключ в поле Для проверки подлинности использовать предварительный ключ По сути это и все. На стороне клиента по протоколу L2TP больше настраивать и нечего. Если у Вас вдруг приключится при соединении ошибка 789, не расстраивайтесь, это ребята с офиса мелкомягких опять немного забыли доделать, то что делали. Но решение Ошибка 789 l2tp вы можете прочитать .
Иногда мне кажется, что создатели Mikrotik намеренно лишают себя прибыли, не создавая однозначных пошаговых руководств по настройке своих детищ. Почти 100% потребителей этих роутеров пытаются настроить VPN, использовать два или более WAN одновременно или в качестве резервных. Именно это ищут по всей сети (и часто вне рунета) счастливые владельцы этих замечательных устройств. Представьте, на сколько бы увеличилась армия владельцев, если бы для настройки этих функций было два-три визарда в веб-интерфейсе. А сейчас.. сейчас именно благодаря сложности настройки (и, соотв., меньшему количеству желающих купить) мы имеем недорогое, малокапризное для несложных задач устройство, которое надо заставить работать 24х7х365. Например, в качестве VPN-сервера. Поехали!
Протокол L2TP обеспечивает канал передачи данных, туннель.
IPSec обеспечивает защиту данных от просмотра.
Настраивать мы будем тоже по частям - сначала туннель, потом - защита данных.
Примечание 1: я не очень люблю текстовые команды с кучей ключей при настройке вещей, которые достаточно много где описаны, но описаны каждый раз с незаметными опечатками, где-то что-то не скопировалось при написании (или при копировании с другого сайта, что случается чаще всего) или просто съелось текстовым редактором CMS сайта. Настройка VPN как раз такой случай. Поэтому я специально каждый шаг прописал для GUI Mikrotik - Winbox, тем более что не так уж тут и много всего надо сделать.
Примечание 2: до версии 6.18 в прошивке есть баг, из-за которого всегда применяется default policy template, поэтому обновите прошивку до последней стабильной. Не обновляйте прошивку до самой последней, но нестабильной версии, если вы настраиваете VPN.
Итак, имеем роутер Mikrotik с прошивкой 6.30 (июль 2015) c LAN 192.168.88.0/24 (сеть по-умолчанию). WAN не важен, например, 1.2.3.4.
Настройка туннелирования (L2TP)
1. IP - Pool / Определям диапазон адресов VPN-пользователей
Name: vpn_pool
Addresses: 192.168.112.1-192.168.112.10
Next pool: none
Лучше для клиентов vpn использовать отдельную адресацию. Так проще отделять одних от других. И вообще, бест практис.
2. PPP - Profiles / Профиль для нашего конкретного туннеля
General:
Name: l2tp_profile
Local address: vpn_pool (а можно указать
192.168.88.1
, сами смотрите, как вам больше нравится)
Remote address: vpn_pool
Change TCP MSS: yes
Protocols:
all to default:
Use MPLS: default
Use compression: default
Use Encription: default
Limits:
Only one: default
3. PPP - Secrets / Готовим пользователя VPN
Name: vpn_user1
Password: bla-bla-bla
Service: l2tp
Profile: l2tp_profile
4. PPP - Interface - клик на L2TP Server / Включаем сервер L2TP
Enabled - yes
MTU / MRU - 1450
Keepalive Timeout - 30
Default profile - l2tp_profile
Authentication - mschap2
Use IPSec - yes
IPSec Secret: tumba-yumba-setebryaki (это не пароль пользователя, а предварительный ключ, который надо будет указывать на клиентах в дополнение к логину/паролю)
Настройка шифрования данных в "туннеле" (IPSec)
На предыдущем этапе мы создали туннель для передачи данных и включили IPSec. В этом разделе мы настроим параметры IPSec.
5. IP - IPSec - Groups
Т.к. велика вероятность появления , просто удалим и тут же создадим ее. Например, с именем "policy_group1". Также можно просто удалить эту группу, но через веб-интерфейс будут показываться ошибки.
6. IP - IPSec - Peers
Address: 0.0.0.0/0
Port: 500
Auth method: pre shared key
Passive: yes (set)
Secret: tumba-yumba-setebryaki (это не пароль пользователя!)
Policy template group: policy_group1
Exchange mode: main l2tp
Send Initial Contact: yes (set)
NAT Traversal: yes (set)
My id: auto
Proposal check: obey
Hash algorithm: sha1
Encryption Algorithm: 3des aes-128 aes-256
DH Group: modp 1024
Generate policy: port override
Lifitime: 1d 00:00:00
DPD Interval: 120
DPD Maximum failures: 5
7. IP - IPSec - Proposals / "Предложения".
Что-то вроде "что мы можем вам предложить". Другими словами, задаем опции подключения, которые смогут пытаться использовать удаленные клиенты.
Name: default
Auth algorithms: sha1
Enrc. algorithms: 3des, aes-256 cbc, aes-256 ctr
Life time: 00:30:00
PFS Group: mod 1024
Вы наверняка заметили, что пункты 6 и 7 похожи, а если еще добавить, что один и тот же Secret мы добавляли и пункте 4 и пункте 6, то возникает вопрос: почему одни и те же опции повторно настраиваются? Ответ у меня такой: чисто из практики вышло, что Windows 7 требовал одного, а iPhone - другого. Как так работает, не знаю. Но факт чисто из практики. Например, изменяю в Proposal PFS Group на 2048 - Windows нормально коннектиться, а iPhone перестает. Делаю наоборот (в proposal ставлю 1024, а в ip-ipsec-peers ставлю 2048) - iPhone коннектиться, а Windows - нет:) Т.е. при подключении разных клиентов используются разные части конфигов. Бред? Может быть, это следствие постепенных изменений в конфигурацию VPN сервера, не могу сказать, т.к. может иметь место даже влияние старых прошивок, конфигов и др. Я не исключаю, что что-то здесь избыточно, но что именно, не знаю.
Firewall
Давайте уж к консоли, что-ли для разнообразия:
/ip firewall filter
add chain=input action=accept protocol=udp port=1701,500,4500
add chain=input action=accept protocol=ipsec-esp
Если у вас по-умолчанию политика forward установлена в drop (последнее правило для forward "chain=forward action=drop"), вам может быть необходимым разрешить forward с ip-адресов vpn_pool в локальную сеть:
add chain=forward action=accept src-address=192.168.112.0/24 in-interface=!ether1 out-interface=bridge-local comment="allow vpn to lan" log=no log-prefix=""
Вот теперь с сервером все.
Подключение удаленного клиента
Пробуем подключить Windows 7:
Панель управленияСеть и ИнтернетЦентр управления сетями и общим доступом:
Настройка нового подключения или сети
Подключение к рабочему месту
Создать новое подключение
Использовать мое подключение к интернету (VPN)
Интернет-адрес: ip или имя роутера в сети
Пользователь и пароль из PPP->Secrets. В нашем случае это vpn_user1 и его пароль.
Пытаемся подключиться.
Если не выходит, или просто надо настроить созданное подключение:
Вкладка Безопасность:
Тип VPN: L2TP IPSec VPN
Дополнительные параметры: для проверки подлинности использовать предварительный ключ. В нашем случае это "tumba-yumba-setebryaki" (IP - IPSec - Peers):
Здесь же, в группе "Проверка подлинности", оставляем только CHAP v2:
Жмем ОК и пытаемся подключиться. Должно получиться. Если нет, загляните на страницу ошибок при настройке VPN .
Update 1: часто люди интересуются, как несколько (больше одного) клиентов из одной локальной сети (за nat) могут подключаться к одному удаленному vpn-серверу микротик. Не знаю, как в L2TP/IPSec связке это обеспечить. Можно назвать это багом реализации. Я не нашел простого объяснения и решения проблемы.
18.07.2016 19:29 Птррр
09.08.2016 10:00 Mapc
19.08.2016 17:35 Vertall
10.09.2016 23:29 Nikpo
02.10.2016 15:28 Anatoly
18.10.2016 12:39 Daimos
19.10.2016 01:02 Бумер
19.10.2016 01:05 Бумер
19.10.2016 01:16 Бумер
19.10.2016 09:34 Daimos
19.10.2016 10:07 Daimos
20.10.2016 12:54 bzzz
20.10.2016 13:04 bzzz
22.10.2016 13:44 Hippomsk
24.10.2016 00:01 bzzz
24.10.2016 00:04 bzzz
24.10.2016 00:11 bzzz
24.10.2016 10:35 Daimos
24.10.2016 14:41 bzzz
24.10.2016 14:46 bzzz
25.10.2016 08:41 Daimos
25.10.2016 08:51 Daimos
Приветствуем Вас на нашем портале! Данную инструкцию мы создали для того, что бы помочь нашим читателям настроить VPN-подключение по протоколу L2TP через IPsec для операционной системы Windows 7. Благодаря организации VPN-канала можно защитить надежно информацию, передаваемую через общедоступную сеть, зашифровав ее. Даже если злоумышленникам удастся получить доступ к передаваемым посредством VPN-сессии пакетам, он не сможет воспользоваться информацией, которая в них содержится.
Для настройки VPN-соединения посредством протокола L2TP в ОС Windows 7 Вам понадобится:
- Операционная система Windows 7;
- Интернет-адрес VPN-сервера, к которому необходимо подключиться;
- Логин и пароль.
Если все перечисленное выше у Вас имеется, можем приступать к настройке VPN-соединения по протоколу L2TP.
1. Заходите в меню "Пуск" и выбираете в нем "Панель управления"
2. В правом верхнем углу находите пункт "Просмотр: Мелкие значки" и выбираете его, после чего выбираем меню "Центр управления сетями и общим доступом"
4. Во вновь открывшемся окне "Установка подключения или сети" выбираем пункт "Подключение к рабочему месту", после чего нажимаем кнопку "Далее"
5. В случае, если на Вашем компьютере уже настраивалось ранее VPN-соединение, на экране высветится окно, в котором следует выбрать пункт "Нет, создать новое подключение" и снова нажать кнопку "Далее". В случае, если это первая попытка создать VPN-соединение, следует просто перейти к пункту 6
6. В открывшемся окне "Подключение к рабочему месту" следует выбрать пункт "Использовать мое подключение к Интернету (VPN)"
7. В строку "Интернет-адрес" необходимо ввести адрес вашего VPN-сервера, в строку "Имя местоназначения" вводим имя сервера. Здесь же следует поставить "Галочку" напротив пункта Не подключаться сейчас, только выполнить установку для подключения в будущем", после чего нажимаем кнопку "Далее"
8. В следующем окне необходимо ввести логин пользователя и пароль, зарегистрированные на VPN-сервере. При необходимости, можно отметить пункты "Отображать вводимые значки" и "Запомнить этот пароль" (если Вы не хотите вводить пароль при каждом подключении). Затем нажимаем кнопку "Создать"
9. В новом окне следует выбрать "Подключиться сейчас" и нажать кнопку "Закрыть"
10. Теперь возвращаемся снова в окно "Центр управления сетями и общим доступом", где слева вверху выбираем пункт "Изменение параметров адаптера"
11. В открывшемся окне выбираем созданное подключение и кликаем по нему правой кнопкой мыши, после чего выбираем пункт "Свойства"
12. Далее переходим во вкладку "Безопасность", где в меню "Тип VPN" выбираем "L2TP IPsec VPN", а в меню "Шифрование данных" выбираем пункт "необязательное (подключиться даже без шифрования)", после чего нажимаем кнопку "ОК"
13. Теперь правой кнопкой мыши щелкаем по созданному VPN-соединению и нажимаем "Подключить". Если все сделано верно и операционная система не выдает ошибки, VPN-канал должен заработать.
Выполнив пошагово эту небольшую инструкцию, теперь Вы сможете самостоятельно создать VPN-подключение по протоколу L2TP в операционной системе Windows 7.
Свои услуги, используя протокол L2TP. Точно в таком же протоколе нуждаются коммерческие сетевые сервисы VPN. Главным преимуществом такого туннельного протокола является то, что они способны создавать туннель в различных сетях, включая IP, ATM, X.25 и Frame Relay.
Как настроить L2TP-соединение в Windows.
ВАЖНО. Настройка L2TP предполагает выполнение некоторых последовательных действий, порядок которых нельзя изменять, чтобы исключить возникновение ошибок. В противном случае все осуществляемые манипуляции будут напрасными, поскольку обеспечить успешное подключение к интернету будет невозможно.
Основные правила настройки
Если вы решили разобраться, как обеспечить сетевое соединение, применяя протокол L2TP, вам будет полезно ознакомиться с нашими рекомендациями. Они позволят избежать серьёзных ошибок, провоцирующих разочарование и отрицательный конечный результат. Только чётко следуя указанному алгоритму действий, удаётся осуществить успешное соединение.
Однако важно учитывать, что только одного вашего желания для настройки протокола L2TP явно недостаточно. По этой причине первоначально убедитесь в том, что на вашем компьютере и у вас есть то, что является необходимым условием для настройки такого подключения.
В частности, важно:
- чтобы у вас на компьютере была установлена такая операционная система , как Windows;
- имелся корпоративный сетевой адрес VPN, к которому вы намерены подключиться;
- был в наличии логин и пароль, гарантирующие абсолютное подключение к этой частной сети или провайдеру, предоставляющему услуги по такому протоколу.
ВАЖНО. При выполнении всех обозначенных условий вам можно изучать рекомендации далее, а затем на практике закреплять полученные знания, развивая свои технические умения.
Пошаговая инструкция
Первоначально сориентируйтесь, где располагается значок, ориентирующий пользователя на то, какие подключения к интернету выполнены. Найти такой значок несложно, он располагается в нижней части экрана с правой стороны, рядом с часами . Наведите курсор мышки на этот значок и кликните левой клавишей. Сразу же отобразится небольшое окно, в котором будет предложено открыть «Центр управлениям сетями и общим доступом» . Воспользуйтесь этим предложением, кликните по этой строке.
Долго ожидать вам не придётся, поскольку сразу же на экране возникнет новое окно, в котором вы легко найдёте такое предложение, как «Создание и настройка нового подключения или сети».
Можете не размышлять продолжительное время по поводу того, что делать дальше. Мы рекомендуем вам незамедлительно воспользоваться этим предложением, поскольку именно этот шаг сориентирует вас двигаться в правильном направлении, которое приведёт к успешной реализации установленных целей.
После этого мастер предложит выбрать из представленного списка приемлемый для вас вариант подключения. Поскольку вы ориентированы на протокол L2TP, выбирайте последнюю строку «Подключение к рабочему месту».
Мастер продолжит автоматическое выполнение задач, время от времени предлагая вам делать выбор определённых, но чётко обозначенных им вариантов действий. От вашего выбора, конечно же, напрямую зависит конечный результат. В частности, после того, как мастер предложит воспользоваться имеющимся подключением, вы откажитесь от этого предложения и согласитесь на новый вариант подключения.
Когда в окне мастера появится очередной список предлагаемых действий, остановите свой выбор на таком варианте, как «Использовать моё подключение к интернету (VPN)».
А вот перед выполнением последующих шагов придётся учесть особенности вашего конкретного интернет-подключения. Чаще всего вам вполне будет достаточно воспользоваться таким предложением, как «Установить подключение к интернету», но иногда приходится останавливать свой выбор на «Отложить настройку подключения к интернету». К сожалению, здесь мы не можем вам предоставить единый универсальный для всех случаев «рецепт», поскольку всё зависит от того провайдера, который будет обеспечивать сетевое подключение.
Далее, вам потребуется ввести адрес частной сети VPN или вашего провайдера. В поле ниже пропишите имя объекта назначения. Здесь можете проявить свою фантазию, поскольку название может быть любым, никакие ограничения не распространяются на эти действия.
В чекбоксе возле строки «Запомнить учётные данные» не забудьте установить галочку, чтобы впоследствии исключить необходимость постоянного введения необходимых сведений.
Смело нажимайте на кнопку «Создать», чтобы завершить создание нового сетевого подключения. Теперь вы автоматически переориентируетесь мастером настройки в центр управления сетевыми каналами. В этом окне вы увидите ярлык вашего нового интернет-подключения, которое функционирует благодаря протоколу L2TP.
Предлагаем вам правой клавишей мышки кликнуть по нему и перейти на последний параметр «Свойства». В окне, которое мгновенно возникает после вашего такого запроса, осуществите переход на третью вкладку «Безопасность», именно здесь мы внесём ещё некоторые небольшие изменения.
В частности, в самой первой строке «Тип VPN» пропишите предлагаемую нами фразу «Протокол L2TP с IPSec». Остальные параметры оставьте без изменения, поскольку мастер настроек вносит все важные изменения автоматически. Если всё-таки ваше участие необходимо, тогда провайдер вас об этом должен обязательно уведомить, предоставляя информацию, которую важно ввести вам уже лично в окно настроек. Не забудьте кликнуть по кнопке Ok, чтобы все внесённые вами изменения были успешно сохранены.
После этих ваших манипуляций подключиться к такой сети будет просто. Достаточно будет кликнуть по значку уведомлений интернет-подключений и выбрать соответствующее сетевое название, которое именно вы придумали в процессе выполнения сетевых настроек.
Если вы забыли сориентировать мастер сетевых настроек на автоматическое сохранение паролей, вам придётся после выбора интернет-подключения вводить и логин, и пароль. Конечно, можно устранить этот ваш промах и после введения логина и пароля поставить галочку в чекбоксе возле предложения о соответствующем сохранении.
Итак, если вы будете чётко следовать пошаговой инструкции, вы сможете легко и быстро установить соединение с сетью VPN. На практическом опыте вы убедитесь, что все проблемы можно легко устранить или избежать, поскольку неразрешимых ситуаций просто не существует.