Mikrotik – konfiguracja VPN L2TP client-to-site

Celem laboratorium jest skonfigurowanie połączenia klienta do serwera VPN L2TP (stacja Windows 11 do routera Mikrotik).

Przygotowania

Wykonaj restart do ustawień fabrycznych na obydwu mikrotikach. Przywróć (Revert) maszyny wirtualne do migawki „Gotowa”.

1. UWAGA. Połącz pierwszy port swojej karty sieciowej Karta-Port1 (krosownica) do drugiego portu (ether2) mikrotika R1. Do portu pierwszego ether1 mikrotika R1 podłącz internet (switch 48-portów).


Krok 1 – konfiguracja serwera VPN L2TP

2. Podłącz się do mikrotika R1 za pomocą adresu IP. Otwórz jednocześnie 3 okna:
– Address list (IP / Addresses)
– Route list (IP / Routes)
– PPP (PPP)

3. W oknie PPP przejdź do zakładki Secrets, a następnie wybierz Add (+). W oknie „New PPP Secret” utwórz nowego użytkownika:
– Name: user
– Password: user
– Profile: default-encryption
– Local Address: 172.16.1.10
– Remote Address: 172.16.1.20
„Local Address” i „Remote Address” to dwa adresy koncówek tunelu VPN.

4. W oknie PPP wybierz zakładkę Interface, a następnie przycisk „L2TP Server”.
– Zaznacz pole wyboru Enabled
– Odznacz protokół pap (przysyła dane jawnym tekstem, używa się go tylko do testów)
– Use IPsec: required
– IPsec Secret: 123456


Krok 2 – konfiguracja firewalla na serwerze

5. Wybierz IP / Firewall. W oknie Firewall w zakładce „Filter Rules” wybierz Add (+). Ustaw 2 reguły dla ruchu przychodzącego:
– reguła 1
Chain: input
Protocol: udp
Dst. Port: 500,1701,4500
– reguła 2
Chain: input
Protocol: ipsec-esp
In. Interface List: WAN

6. Przenieś 2 nowo utworzone reguły nad regułę drop. Reguła drop odrzuca wszystkie pozostałe (niewymienione wyżej) pakiety.


Krok 3 – konfiguracja klienta VPN (win-01) i stacji z usługą RDP (win-02)

UWAGA. Połącz drugi port swojej karty sieciowej (Karta-Port2) do przełącznika sieciowego (48-portów).

UWAGA. Połącz trzeci port swojej karty sieciowej (Karta-Port3) z trzecim portem mikrotika R1 (ether3).

7. Uruchom VMware Workstation. Wybierz maszynę win-01, a następnie „Edit virtual machine settings”. W sekcji „Network Adapter” ustaw połączenie Custom, Karta-Port2.

8. Wykonaj identyczne czynności dla maszyny win-02, ale na końcu wybierz połączenie Karta-Port3

9. Uruchom obydwie maszyny wirtualne


Krok 4 – konfiguracja klienta VPN L2TP

10. Zapamiętaj adres IP Mikrotika R1 na interfejsie ether1. W maszynie win-01 uruchom „Menu Start” / Settings / „Network & Internet” / VPN / „Add VPN”. Ustaw parametry połączenia:
– Connection name: VPN-mikrotik-R1
– Server name or address: zapamiętany adres IP Mikrotika R1
– VPN type: L2TP/IPsec with pre-shared key
– Pre-shared key: 123456
– Username: user
– Password: user


Krok 5 – konfiguracja stacji win-02 z usługą RDP

11. Po skonfigurowaniu połączenia VPN naciśnij Connect. Jeżeli wszystko poprawnie skonfigurowałeś powinieneś uzyskać status Connected. Jeżeli nie możesz nawiązać połączenia, oznacza to że popełniłeś błąd podczas konfiguracji (sprawdź wszystkie parametry od początku).

12. Przełącz się do aplikacji WinBox. W oknie PPP powinieneś zobaczyć zestawione połączenie przez stację win-01.

13. Przełącz się do aplikacji VMware Workstation i wybierz maszynę win-02.

14. Na stacji win-02 załóż lokalnego użytkownika user1 z hasłem user:
net user user1 user1 /add

15. Dodaj użytkownika user1 do grupy lokalnych administratorów:
net localgroup administrators user1 /add

16. Wyświetl adres IP stacji win-02 i zapamiętaj go:
ipconfig


Krok 6 – nawiązanie połączenia ze stacji win-01 do stacji win-02

17. Przełącz się do maszyny wirtualnej win-01 i uruchom aplikację RDP „Remote Desktop Connection”.

18. Wpisz zapamiętany adres IP maszyny win-02 i nawiąż połączenie pulpitu zdalnego. Podaj użytkownika user1 i hasło user1. Potwierdź wylogowanie, aktualnie zalogowanego użytkownika user na stacji win-02. Na stacji win-02 wyskoczy informacja o nawiązywaniu połączenia, potwierdź wylogowanie użytkownika. Podczas zestawienia połączenia po raz pierwszy musisz przejść przez kreator tworzenia nowego profilu użytkownika (wybierz dowolne odpowiedzi).

Facebook