Celem laboratorium jest skonfigurowanie połączenia site-to-site VPN (pomiędzy dwoma routerami Mikrotik) oraz określenie tras routingu dla maszyn wirtualnych w obydwu lokalizacjach.
Krok 1 – konfiguracja serwera VPN L2TP na Mikrotiku R2
1. Wykonaj restart do ustawień fabrycznych na obydwu mikrotikach. Przywróć (Revert) maszyny wirtualne do migawki „Gotowa”.
UWAGA
a. Połącz pierwszy port swojej karty sieciowej (na krosownicy) do drugiego portu (ether2) mikrotika R1.
b. Połącz drugi port swojej karty sieciowej (na krosownicy) do drugiego portu (ether2) mikrotika R2.
c. Do pierwszego portu (ether1) Mikrotika R1 podłącz internet (switch 48-portowy).
d. Do pierwszego portu (ether1) Mikrotika R2 podłącz internet (switch 48-portowy).
2. Podłącz się do mikrotika R2 za pomocą adresu IP. Otwórz jednocześnie 3 okna:
– Address list (IP / Addresses)
– Route list (IP / Routes)
– PPP (PPP)
3. W oknie PPP przejdź do zakładki Secrets, a następnie wybierz Add (+). W oknie „New PPP Secret” utwórz nowego użytkownika:
– Name: user
– Password: user
– Profile: default-encryption
– Local Address: 172.16.2.10
– Remote Address: 172.16.2.20
„Local Address” i „Remote Address” to dwa adresy koncówek tunelu VPN.
4. W oknie PPP wybierz zakładkę Interface, a następnie przycisk „L2TP Server”.
– Zaznacz pole wyboru Enabled
– Odznacz protokół pap (przysyła dane jawnym tekstem, używa się go tylko do testów)
– Use IPsec: required
– IPsec Secret: 123456
Krok 2 – konfiguracja klienta VPN L2TP na Mikrotiku R1
5. Zapamiętaj adres IP Mikrotika R2 na interfejsie ether1.
6. Przełącz się do Mikrotika R1. W oknie PPP w zakładce Interface wybierz Add (+) / L2TP Client.
7. W oknie „New Interface” przejdź do zakładki „Dial Out” i uzupełnij pola:
– Connect To: zapamiętany adres IP Mikrotika R2
– User: user
– Password: user
– Zaznacz pole wyboru „Use IPsec”
– IPSecSecret: 123456
Przejdź do zakładki Advanced
– odznacz pole wyboru pap
Krok 3 – konfiguracja firewalla na Mikrotiku R2
8. PRZEŁĄCZ się do Mikrotika R2. Wybierz IP / Firewall. W oknie Firewall w zakładce „Filter Rules” wybierz Add (+). Ustaw 2 reguły dla ruchu przychodzącego:
– reguła 1
Chain: input
Protocol: udp
Dst. Port: 500,1701,4500
– reguła 2
Chain: input
Protocol: ipsec-esp
In. Interface List: WAN
9. Przenieś 2 nowo utworzone reguły nad regułę drop. Reguła drop odrzuca wszystkie pozostałe (niewymienione wyżej) pakiety.
10. Po chwili w oknie PPP w zakładce Interface powinno pojawić się przychodzące połączenie VPN site-to-site od Mikrotika R1. Dodatkowo w oknie „Address List” pojawi się nowy adres dla interfejsu <l2tp-user> oraz w oknie „Route List” pojawi się nowa trasa routingu do bramki <l2tp-user>.
11. Sprawdź czy w zakładce PPP / Active Connections trwa nawiązane połączenie, a następnie przejdź do zadania samodzielnego.
Zadanie samodzielne
Krok 4 – konfiguracja statycznego routingu pomiędzy maszynami wirtualnymi
12. Przywróć (Revert) maszyny wirtualne do migawki „Gotowa”. Podłącz maszynę wirtualną win-01 do sieci lokalnej routera R1 oraz maszynę wirtualną win-02 do routera R2 (dodaj właściwą kartę w ustawieniach maszyn wirtualnych i sprawdź przyznany adres IP każdej z maszyn).
13. Wyłącz zaporę sieciową na maszynach wirtualnych lub stwórz regułę która przepuści pakiety ICMP (będziemy testować czy obydwie maszyny widzą się nawzajem).
14. Dodaj w tablicy routingu każdego z mikrotików po jednej regule, która umożliwi wzajemny kontakt maszyn wirtualnych. Podczas tworzenia jednej reguły w każdym mikrotiku pamiętaj, że router zna tylko sieci podłączone bezpośrednio do niego. Jeżeli chcesz zobaczyć jak podobny scenariusz został rozwiązany, zajrzyj pod ten link.
15. Zadanie jest rozwiązane jeżeli komunikacja pomiędzy maszynami win-01 i win-02 przechodzi w obydwie strony (sprawdź to poleceniem ping).