Настройка L2TP клиента в MikroTik

• Для настройки L2TP клиента на mikrotik для его подключения к серверу L2TP нам понадобится:
  • Настроенный L2TP-сервер
  • Связанность между L2TP-сервером и L2TP-клиентом

Для начала с нашего mikrotik проверим доступность L2TP-сервера, открываем окно терминала «New Terminal»:

И с помощью утилиты «ping» проверяем доступность сервера в нашем случае его адрес 100.61.0.254:

ping 100.61.0.254

Сервер доступен. Далее нужен пароль для L2TP-клиента. Для создания пароля для L2TP и других PPP соединений используется раздел PPP. Переходим в него и открываем вкладку «Secrets»:

Для создания нового пароля, нажимаем на кнопку «+» и в открывшемся меню заполняем поля «Name» и «Password»:

При необходимости введённый пароль можно просмотреть, отключив опцию «Hide Passwords» в меню «Settings» программы Winbox:

Пароль в открытом виде:

В данной инструкции мы не рассматриваем все возможности раздела PPP>Secrets, просто создаём пользователя и присваиваем ему пароль. Создан пользователь ppp1 с паролем ppp1:

Теперь настраиваем подключение в том же разделе PPP на вкладке «Interface», по нажатию кнопки «+» в выпадающем меню выбираем «L2TP Client»:

В открывшемся окне добавления нового интерфейса название, а именно его часть L2TP, лучше оставить во избежании путаницы в дальнейшем:

Далее на вкладке «Dial Out» указываем адрес подключения — поле «Connect To», имя пользователя «User» и пароль «Password». В нашем случае используется дополнительная защита в виде «IPsec Secret», ставим галку в поле «Use IPsec» и указываем «IPsec Secret» в соответствующем поле. Отключенная опция «Hide Passwords» позволяет проверить корректность ввода паролей. Для применения настроек и активации нового интерфейса нажимаем «Apply»:

/interface l2tp-client add connect-to=100.61.0.254 disabled=no name=l2tp-out1 password=ppp1 user=ppp1

Клиент перешел в состояние «R» (running) – подключен:

В статусе клиента можем проверить IP-адрес, полученный клиентом поле «Local Address» значение 10.2.2.100 и IP-адрес сервера L2TP в поле «Remote Address» значение 10.2.2.1, а также в поле «Encoding» протоколы шифрования, указывающие на использование «IPsec».

/interface l2tp-client print

На стороне сервера также появился новый интерфейс со статусом «D» (dynamic), «R» (running) – показывает подключение клиента.

Проверим доступность сервера по внутреннему адресу с помощью утилиты «ping»:

ping 10.2.2.1

Также можно проверить таблицу «Addresses». В меню выбираем «IP» и нажимаем на второй пункт «Addresses»:

«Address List»:

и таблицу маршрутизации «Route List», для доступа к которой в том же пункте «IP» нажимаем на строку «Routes»:

В таблице «Route List» видим добавленный маршрут к L2TP-серверу:

Дополнительные опции L2TP-клиента:

В настройках L2TP-клиента можно указать «Src. Address» на вкладке «Dial Out»:

С какого адреса подключаться нашему клиенту, например, mikrotik имеет несколько внешних адресов:

Можем настроить, чтобы наш клиент подключался только с конкретного адреса, например, 192.0.2.2:

Следующая опция использовать одноранговый DNS (Use peer DNS), т.е. DNS, получаемый от сервера L2TP, опция имеет три варианта:

«exclusively» — исключительно, т. е. вне зависимости от системных настроек, будет использован DNS-сервер, полученный от L2TP-сервера, «no» — нет, «yes» — да. Опции «Use IPsec» и «Allow Fast Path» подробно рассмотрены в ролике про L2TP-сервер «ССЫЛКА на инструкцию»

«Dial On Demand» — подключаться при использовании.
«Add Default Route» — добавлять, как маршрут по умолчанию.

При включении опции, добавляется ещё один маршрут в таблицу маршрутизации со статусом «Dv» (dynamic vpn), чтобы он не помешал существующим подключениям. Укажем «Default Route Distance» равной 254, её действие аналогично метрике в таблице маршрутизации Windows. Чем больше значение, тем ниже приоритет у маршрута:

В RouterOS 7 появилась возможность выбора таблицы маршрутизации:

В разделе «Advanced» в RouterOS 7 появились опции, связанные с аутентификацией и версий L2TP протокола, который позволяет версии «l2tpv3» работать на уровне L2:

На этом, настройка L2tp Client закончена.