Задача стоит «подключить два удаленных офиса между собой по VPN».
В обоих офисах стоят маршрутизаторы Mikrotik.
Адресация офисов.
Адресация Офиса 1 (MSK), который будет у нас VPN-сервером:
WAN 88.53.44.1
LAN 192.168.10.0/24
VPN 192.168.60.1
Адресация Офиса 2(SPB), который будет VPN-клиентом:
WAN 88.53.55.2
LAN 192.168.20.0/24
VPN 192.168.60.2
Настройка VPN-server.
1. Первый маршрутизатор в офисе MSK.
Включаем VPN-Server.
/interface l2tp-server server set authentication=mschap2 enabled=yes
2. Создаем пользователя, который к нам будет подключаться.
/ppp secret add local-address=192.168.60.1 name=User password=11225555 profile=default-encryption remote-address=192.168.60.2 service=l2tp
3. Добавляем интерфейс сервера.
/interface l2tp-server add name=l2tp-in2 user=User
Настройка VPN-клиента.
Второй маршрутизатор в офисе SPB, создаем клиентское подключение к головному офисе в Москве. Пользователь с именем User, пароль 1225555
/interface l2tp-client add allow=mschap2 connect-to-88.53.44.1 disabled=no name="SBP-MSK" password=1225555 user=User
Маршрутизация офисов.
Теперь, после создания подключений на маршрутизаторах, нам нужно прописать статически маршруты в локальные сети через VPN на Mikrotik в обоих офисах.
Начнем с первого офиса в MSK:
dst-address — указываем локальную сеть офиса в SPB, к которой будем подключаться.
gateway — шлюз через который будем подключаться к сети, ip VPN клиента.
pref. source — указываем свою локальную сеть, с которой будем выходить.
/ip route add comment="route MSK-SPB VPN" dst-address=192.168.20.0/24 gateway=192.168.60.2 pref-src=192.168.10.1
Второй офис в SPB:
/ip route add comment="route SPB-MSK VPN" dst-address=192.168.10.0/24 gateway=192.168.60.1 pref-src=192.168.20.1
Заключение
Таким образом мы объединили два офиса между собой позволив пользователям чувствовать себя в одной сети и использовать внутренние общие ресурсы.
Если вы не видите общие ресурсы компьютеры офисов между собой или не проходит ping — отключите на обоих машинах firewall и проверьте открытость UDP порта 1701.
за такую инструкцию надо не поддерживать сайт, а закрыть. а где шифрование? как офисы между собой соединять без шифрования трафика?
Шеф, по умолчанию включается MPPE128 stateless encoding, поскольку в свойствах пользователя указывается профайл default-encryption. Ваш Кэп.
На деле соединяются только микроты. Нихрена не ходит трафик
Маршрутизацию офисов неверно настроили значит, именно там настраивается доступность подсетей между офисами.
Ошибка в Preffered source для обоих маршрутов. Необходимо подставлять собственный адрес в VPN-паре, т.е. для офиса MSK это 192.168.60.1, а для офиса SPB это 192.168.60.2 соответственно. Тогда все работает, проверено на собственном опыте.
настройки Firewallа неплохо бы еще…
отличная статья!
настройки файера дадите?
Спасибо! Ссылка на настройка фаерволла.
В инструкции на картинке ошибка впн не во вкладке ip а во вкладке ppp
Спасибо, дружище, поправили!
Здравствуйте, спасибо за инструкцию, всё получилось!
Только столкнулся с проблемой, пытаюсь подключится к веб-морде камеры, подключенной в условном офисе спб, но страница не грузится, в браузере висит вечная загрузка страницы. Пинг идёт нормально.
Добрый день!
Спасибо за статью! Все работает по вашему примеру. Пробовал еще объединять два офиса в одной сети, но почему то этот номер не проходит, ну т.е. 192.168.10.0 в одном офисе и точно такая же сеть во-втором. Понятно, что пул адресов разный, чтобы не было повторений. Однако маршруты находятся в состоянии unreachable и сети не объединяются. Не могли бы вы прокомментировать этот момент?
Здравствуйте, нужно что бы подсети были разными в двух офисах.
Благодарю Вас за очень доходчивую и полезную статью, для чайников, коим я являюсь.
Задача поставленная в заголовке решена с Вашей помощью.
Примыми руками настроено и работает.
Будет это работать, если на стороне сервера ip адрес статический, а со стороны клиента «серый» (интернет через 4g модем) ?
Хочу с работы получить доступ к web интерфейсу домашнего видеорегистратора.
в этом смысл любого впн. конечно со стороны клиента можно иметь любой адрес, лишь бы провайдер не блочил впн (а сотовые операторы некоторые этим грешат). но тогда можно сменить впн на другой тип.
«Ошибка в Preffered source » — мозги не пудри. из-за тебя пришлось лезть в мануалы микротик.wiki проверять. ящер. Автору спасибо, все кратко и понятно, кучу гавна у себя вычистил. Проблема пингов реально оказалась в фаерволах! для чайников, в виндах правила пингов и самбы в фаерволе включены только для сети «локальная сеть», куда сеть впн не попадает по адресации. Нужно или ручками создать правило или найти виндовое и ткнуть галочку входящие/исходящие «для всех сетей», вместо Локальная. и сразу и пинги и шара заработали. Есть еще опция в бридже ARP=enable, где то слышал что для лучшего взаимодействия локалок лучше поставить =arp-proxy
Здравствуйте!
Подскажите, будет ли эта схема работать, если один (или оба) из микротов стоит за фаерволом?
Что нужно будет поменять, чтобы заработало?
Привет.
Я так понимаю это без ipsec, а насколько такой vpn оправдан с точки зрения секьюрности?
Компы в другой сети пингуются, но доступа к шаре нет, и по имени и по IP. Файерволы отключены. Что мы сделали не так?
Добрый вечер. Настроил все по такой схеме. Но, неожиданно возник казус.
В сеть, где основной микротик, можно подключиться по ВПН соединению, но нет доступа ни к одному ресурсу в этой сети.
При соединении по ВПН с сетью второго микротика, все ресурсы той сети доступны.
Как можно решить эту проблему?
Маршруты корректно укажите и правила добавьте разрешающие для доступа между подсетями.