Настройки для опытных. L2TP-соединение - что это такое? Как настроить L2TP-соединение Настройки локальной сети
Приветствуем Вас на нашем портале! Данную инструкцию мы создали для того, что бы помочь нашим читателям настроить VPN-подключение по протоколу L2TP через IPsec для операционной системы Windows 7. Благодаря организации VPN-канала можно защитить надежно информацию, передаваемую через общедоступную сеть, зашифровав ее. Даже если злоумышленникам удастся получить доступ к передаваемым посредством VPN-сессии пакетам, он не сможет воспользоваться информацией, которая в них содержится.
Для настройки VPN-соединения посредством протокола L2TP в ОС Windows 7 Вам понадобится:
- Операционная система Windows 7;
- Интернет-адрес VPN-сервера, к которому необходимо подключиться;
- Логин и пароль.
Если все перечисленное выше у Вас имеется, можем приступать к настройке VPN-соединения по протоколу L2TP.
1. Заходите в меню "Пуск" и выбираете в нем "Панель управления"
2. В правом верхнем углу находите пункт "Просмотр: Мелкие значки" и выбираете его, после чего выбираем меню "Центр управления сетями и общим доступом"
4. Во вновь открывшемся окне "Установка подключения или сети" выбираем пункт "Подключение к рабочему месту", после чего нажимаем кнопку "Далее"
5. В случае, если на Вашем компьютере уже настраивалось ранее VPN-соединение, на экране высветится окно, в котором следует выбрать пункт "Нет, создать новое подключение" и снова нажать кнопку "Далее". В случае, если это первая попытка создать VPN-соединение, следует просто перейти к пункту 6
6. В открывшемся окне "Подключение к рабочему месту" следует выбрать пункт "Использовать мое подключение к Интернету (VPN)"
7. В строку "Интернет-адрес" необходимо ввести адрес вашего VPN-сервера, в строку "Имя местоназначения" вводим имя сервера. Здесь же следует поставить "Галочку" напротив пункта Не подключаться сейчас, только выполнить установку для подключения в будущем", после чего нажимаем кнопку "Далее"
8. В следующем окне необходимо ввести логин пользователя и пароль, зарегистрированные на VPN-сервере. При необходимости, можно отметить пункты "Отображать вводимые значки" и "Запомнить этот пароль" (если Вы не хотите вводить пароль при каждом подключении). Затем нажимаем кнопку "Создать"
9. В новом окне следует выбрать "Подключиться сейчас" и нажать кнопку "Закрыть"
10. Теперь возвращаемся снова в окно "Центр управления сетями и общим доступом", где слева вверху выбираем пункт "Изменение параметров адаптера"
11. В открывшемся окне выбираем созданное подключение и кликаем по нему правой кнопкой мыши, после чего выбираем пункт "Свойства"
12. Далее переходим во вкладку "Безопасность", где в меню "Тип VPN" выбираем "L2TP IPsec VPN", а в меню "Шифрование данных" выбираем пункт "необязательное (подключиться даже без шифрования)", после чего нажимаем кнопку "ОК"
13. Теперь правой кнопкой мыши щелкаем по созданному VPN-соединению и нажимаем "Подключить". Если все сделано верно и операционная система не выдает ошибки, VPN-канал должен заработать.
Выполнив пошагово эту небольшую инструкцию, теперь Вы сможете самостоятельно создать VPN-подключение по протоколу L2TP в операционной системе Windows 7.
Иногда мне кажется, что создатели Mikrotik намеренно лишают себя прибыли, не создавая однозначных пошаговых руководств по настройке своих детищ. Почти 100% потребителей этих роутеров пытаются настроить VPN, использовать два или более WAN одновременно или в качестве резервных. Именно это ищут по всей сети (и часто вне рунета) счастливые владельцы этих замечательных устройств. Представьте, на сколько бы увеличилась армия владельцев, если бы для настройки этих функций было два-три визарда в веб-интерфейсе. А сейчас.. сейчас именно благодаря сложности настройки (и, соотв., меньшему количеству желающих купить) мы имеем недорогое, малокапризное для несложных задач устройство, которое надо заставить работать 24х7х365. Например, в качестве VPN-сервера. Поехали!
Протокол L2TP обеспечивает канал передачи данных, туннель.
IPSec обеспечивает защиту данных от просмотра.
Настраивать мы будем тоже по частям - сначала туннель, потом - защита данных.
Примечание 1: я не очень люблю текстовые команды с кучей ключей при настройке вещей, которые достаточно много где описаны, но описаны каждый раз с незаметными опечатками, где-то что-то не скопировалось при написании (или при копировании с другого сайта, что случается чаще всего) или просто съелось текстовым редактором CMS сайта. Настройка VPN как раз такой случай. Поэтому я специально каждый шаг прописал для GUI Mikrotik - Winbox, тем более что не так уж тут и много всего надо сделать.
Примечание 2: до версии 6.18 в прошивке есть баг, из-за которого всегда применяется default policy template, поэтому обновите прошивку до последней стабильной. Не обновляйте прошивку до самой последней, но нестабильной версии, если вы настраиваете VPN.
Итак, имеем роутер Mikrotik с прошивкой 6.30 (июль 2015) c LAN 192.168.88.0/24 (сеть по-умолчанию). WAN не важен, например, 1.2.3.4.
Настройка туннелирования (L2TP)
1. IP - Pool / Определям диапазон адресов VPN-пользователей
Name: vpn_pool
Addresses: 192.168.112.1-192.168.112.10
Next pool: none
Лучше для клиентов vpn использовать отдельную адресацию. Так проще отделять одних от других. И вообще, бест практис.
2. PPP - Profiles / Профиль для нашего конкретного туннеля
General:
Name: l2tp_profile
Local address: vpn_pool (а можно указать
192.168.88.1
, сами смотрите, как вам больше нравится)
Remote address: vpn_pool
Change TCP MSS: yes
Protocols:
all to default:
Use MPLS: default
Use compression: default
Use Encription: default
Limits:
Only one: default
3. PPP - Secrets / Готовим пользователя VPN
Name: vpn_user1
Password: bla-bla-bla
Service: l2tp
Profile: l2tp_profile
4. PPP - Interface - клик на L2TP Server / Включаем сервер L2TP
Enabled - yes
MTU / MRU - 1450
Keepalive Timeout - 30
Default profile - l2tp_profile
Authentication - mschap2
Use IPSec - yes
IPSec Secret: tumba-yumba-setebryaki (это не пароль пользователя, а предварительный ключ, который надо будет указывать на клиентах в дополнение к логину/паролю)
Настройка шифрования данных в "туннеле" (IPSec)
На предыдущем этапе мы создали туннель для передачи данных и включили IPSec. В этом разделе мы настроим параметры IPSec.
5. IP - IPSec - Groups
Т.к. велика вероятность появления , просто удалим и тут же создадим ее. Например, с именем "policy_group1". Также можно просто удалить эту группу, но через веб-интерфейс будут показываться ошибки.
6. IP - IPSec - Peers
Address: 0.0.0.0/0
Port: 500
Auth method: pre shared key
Passive: yes (set)
Secret: tumba-yumba-setebryaki (это не пароль пользователя!)
Policy template group: policy_group1
Exchange mode: main l2tp
Send Initial Contact: yes (set)
NAT Traversal: yes (set)
My id: auto
Proposal check: obey
Hash algorithm: sha1
Encryption Algorithm: 3des aes-128 aes-256
DH Group: modp 1024
Generate policy: port override
Lifitime: 1d 00:00:00
DPD Interval: 120
DPD Maximum failures: 5
7. IP - IPSec - Proposals / "Предложения".
Что-то вроде "что мы можем вам предложить". Другими словами, задаем опции подключения, которые смогут пытаться использовать удаленные клиенты.
Name: default
Auth algorithms: sha1
Enrc. algorithms: 3des, aes-256 cbc, aes-256 ctr
Life time: 00:30:00
PFS Group: mod 1024
Вы наверняка заметили, что пункты 6 и 7 похожи, а если еще добавить, что один и тот же Secret мы добавляли и пункте 4 и пункте 6, то возникает вопрос: почему одни и те же опции повторно настраиваются? Ответ у меня такой: чисто из практики вышло, что Windows 7 требовал одного, а iPhone - другого. Как так работает, не знаю. Но факт чисто из практики. Например, изменяю в Proposal PFS Group на 2048 - Windows нормально коннектиться, а iPhone перестает. Делаю наоборот (в proposal ставлю 1024, а в ip-ipsec-peers ставлю 2048) - iPhone коннектиться, а Windows - нет:) Т.е. при подключении разных клиентов используются разные части конфигов. Бред? Может быть, это следствие постепенных изменений в конфигурацию VPN сервера, не могу сказать, т.к. может иметь место даже влияние старых прошивок, конфигов и др. Я не исключаю, что что-то здесь избыточно, но что именно, не знаю.
Firewall
Давайте уж к консоли, что-ли для разнообразия:
/ip firewall filter
add chain=input action=accept protocol=udp port=1701,500,4500
add chain=input action=accept protocol=ipsec-esp
Если у вас по-умолчанию политика forward установлена в drop (последнее правило для forward "chain=forward action=drop"), вам может быть необходимым разрешить forward с ip-адресов vpn_pool в локальную сеть:
add chain=forward action=accept src-address=192.168.112.0/24 in-interface=!ether1 out-interface=bridge-local comment="allow vpn to lan" log=no log-prefix=""
Вот теперь с сервером все.
Подключение удаленного клиента
Пробуем подключить Windows 7:
Панель управленияСеть и ИнтернетЦентр управления сетями и общим доступом:
Настройка нового подключения или сети
Подключение к рабочему месту
Создать новое подключение
Использовать мое подключение к интернету (VPN)
Интернет-адрес: ip или имя роутера в сети
Пользователь и пароль из PPP->Secrets. В нашем случае это vpn_user1 и его пароль.
Пытаемся подключиться.
Если не выходит, или просто надо настроить созданное подключение:
Вкладка Безопасность:
Тип VPN: L2TP IPSec VPN
Дополнительные параметры: для проверки подлинности использовать предварительный ключ. В нашем случае это "tumba-yumba-setebryaki" (IP - IPSec - Peers):
Здесь же, в группе "Проверка подлинности", оставляем только CHAP v2:
Жмем ОК и пытаемся подключиться. Должно получиться. Если нет, загляните на страницу ошибок при настройке VPN .
Update 1: часто люди интересуются, как несколько (больше одного) клиентов из одной локальной сети (за nat) могут подключаться к одному удаленному vpn-серверу микротик. Не знаю, как в L2TP/IPSec связке это обеспечить. Можно назвать это багом реализации. Я не нашел простого объяснения и решения проблемы.
18.07.2016 19:29 Птррр
09.08.2016 10:00 Mapc
19.08.2016 17:35 Vertall
10.09.2016 23:29 Nikpo
02.10.2016 15:28 Anatoly
18.10.2016 12:39 Daimos
19.10.2016 01:02 Бумер
19.10.2016 01:05 Бумер
19.10.2016 01:16 Бумер
19.10.2016 09:34 Daimos
19.10.2016 10:07 Daimos
20.10.2016 12:54 bzzz
20.10.2016 13:04 bzzz
22.10.2016 13:44 Hippomsk
24.10.2016 00:01 bzzz
24.10.2016 00:04 bzzz
24.10.2016 00:11 bzzz
24.10.2016 10:35 Daimos
24.10.2016 14:41 bzzz
24.10.2016 14:46 bzzz
25.10.2016 08:41 Daimos
25.10.2016 08:51 Daimos
Рассмотрев подробно в предыдущей статье, как поднять серверную часть VPN-соединения на платформе Windows, мы переходим к настройке клиентского подключения L2TP. Для начала хотелось бы вспомнить на всякий случай такое L2TP.
L2TP — протокол туннелирования второго уровня, более совершенный протокол, созданный на базе PPTP и L2F (протокол эстафетной передачи второго уровня от Cisco). К его достоинствам относится гораздо более высокая безопасность за счет шифрования средствами протокола IPSec и объединения канала данных и канала управления в одну UDP сессию. Для работы данного протокола необходимо иметь 2 открытых порта во вне. Это правила для порта 1701 (TCP) и 500 (UDP). Как создать такие правила в штатном фаерволе, если вы напрямую подключены к интернету, можно почитать . Если вы находитесь за маршрутизатором, то можно почитать тут.
Но мы же все это уже читали-знаем. Поэтому примемся за настройку клиентского VPN соединения под L2TP.
Для начала необходимо зайти в Панель управления , в Win7 для этого стоит всего лишь нажать Пуск . и перейти в Панель управления . Далее в зависимости от настроек отображения мы либо нажимаем Сеть и Интернет -> -> . Либо же переходим сразу в Центр управления сетями и общим доступом -> Настройка нового подключения или сети .
Появится мастер Установка и подключения и сети . Выбираем Подключение к рабочему месту
Далее вводим Интернет-адрес (адрес сервера) и название создаваемого подключения, лучше всего Разрешить использование этого подключение другими пользователями . Также на всякий случай советую поставить галочку на Не подключаться сейчас. Т.к мы будем настраивать параметры VPN вручную.
Подключение у нас успешно создалось. Теперь необходим его настроить. Переходим в раздел Изменение параметров адаптеров с окна Центр управления сетями и общим доступом .
Там ищем наше VPN подключение и с помощью ПКМ переходим в пункт меню Свойства . На вкладке Безопасность в тип VPN выбираем L2TP.
Так как технология работы протокола L2TP является технологией с повышенной безопасностью за счет работы шифрования через протокол IPSec, мы можем выставить на сервере сами, либо столкнуться с тем, что там уже выставлен Предварительный ключ для проверки подлинности. Его вводить следует в разделе Безопасность -> Дополнительные параметры -> Ввести ключ в поле Для проверки подлинности использовать предварительный ключ По сути это и все. На стороне клиента по протоколу L2TP больше настраивать и нечего. Если у Вас вдруг приключится при соединении ошибка 789, не расстраивайтесь, это ребята с офиса мелкомягких опять немного забыли доделать, то что делали. Но решение Ошибка 789 l2tp вы можете прочитать .
b.VPN предлагает пользователю одновременно два соединения VPN. Поэтому, если вы хотели бы воспользоваться услугой b.VPN на двух устройствах одновременно, вы можете использовать приложение b.VPN на одном устройстве и вручную настроить соединение L2TP VPN на другом.Инструкция по настройке L2TP VPN на Windows 10.
Важно:
* Вернитесь на страницу профиля, чтобы просмотреть список доступных серверов L2TP VPN и соответствующий "Shared Key".
* Ваше имя пользователя и пароль, вы зарегистрировали адрес электронной почты и пароль на b.VPN.
* Вы должны оплатить и быть платным пользователем, чтобы использовать L2TP VPN-соединение.
Выполните следующие шаги для настройки L2TP VPN на Windows 10:
Введите в поиске«Панель управления» и нажмите на первый результат.
Нажмите на кнопку «Сеть и Интернет».
Нажмите на «Сеть и окружение».
Нажмите на кнопку «Настройка нового подключения или сети».
Нажмите на кнопку «Подключение к рабочему месту», а затем «Далее».
Теперь нажмите на «Использовать мое подключение к Интернету (VPN)».
В поле «Адрес сервера» вставьте любой сервер b.VPNкоторый вам подходит. (например, ca.usa.сайт ).
В поле «Имя назначения» вставьте любое имя, которое вы предпочитаете. Тем не менее, мы рекомендуем использовать адрес сервера снова. (ca.usa.сайт )
Нажмите кнопку «Создать».
Нажмите на иконку соединения в панели задач, и нажмите на название соединения, которое вы только что создали.
В меню снизу, выберите «Параметры изменения адаптера».
Щелкните правой кнопкой мыши на названии соединения и выберите «Свойства».
Нажмите на вкладку «Безопасность». Из меню «Тип VPN » в выпадающем меню выберите «Layer 2 TunnelingProtocolwithIPsec (L 2 TP / IPsec )» .
Нажмите на « Расширенные настройки».
Выберите «Использовать общий ключ для аутентификации» и вставьте соответствующий ключ. Нажмите кнопку « O к».
/ / Настройки для опытных
Настройки локальной сети.
IP-адрес, маршруты, шлюз по-умолчанию (Default Gateway), сервер доменных имен (DNS) - ваш компьютер или маршрутизатор получает по протоколу DHCP.
Для доступа к Интернет используется vpn-подключение по L2TP- (без IPsec) или PPTP- протоколам. Мы рекомендуем использовать подключение по протоколу L2TP.
Адреса серверов:
- tp.internet.beeline.ru - для подключения по протоколу L2TP.
- vpn.internet.beeline.ru - для подключения по протоколу PPTP.
- L2TP - 1701
- PPTP - 1723
- WWW - 80/8080
Мы поддерживаем и рекомендуем следующие модели маршрутизаторов для работы в сети «Билайн»:
- Wi-Fi роутер Билайн
- Билайн Smart Box
- Билайн N150L
- Билайн D150L
- Asus 520GU
- D-Link DIR 300/NRU rev. B1-B6, C1
- Linksys WRT610n
Если ваш роутер не входит в список рекомендованного, вы можете попробовать настроить его самостоятельно:
- Убедитесь, что ваш роутер поддерживает L2TP/PPTP.
- Скачать саму новую прошивку с сайта производителя.
- В качестве vpn-сервера ввести tp.internet.beeline.ru или vpn.internet.beeline.ru
- Выставить получение IP-адреса и адресов DNS на автоматическое (по DHCP).
- Ввести ваши регистрационные данные.
Телевидение.
Просмотр телевидения с помощью приставки (STB).
Мы поддерживаем следующие модели приставок*:- с функцией управления телеэфиром: Cisco CIS 430, ISB7031, ISB2230,Motorola VIP 1216, 2262E, Tatung STB3210
- без функции управления телеэфиром: Cisco CIS 2001, ISB2200, Motorola VIP 1200, 1002E, Tatung STB2530
Просмотр телевидения на компьютере:
Для просмотра телевидения на вашем компьютере установите бесплатную программу VLC и скачайте список каналов. Более подробную информацию вы можете узнать на форуме пользователей Домашнего Интернета «Билайн».Номера портов наиболее распространенных протоколов
- SMTP - 25
- POP - 110
- IMAP - 143 (993 IMAP over SSL)
- SSL - 443
- FTP - 21
- SSH - 22
- Telnet - 23
- WWW - 80, 8080
- PPTP - 1723
- L2TP - 1701
- NTP - 123/UDP
Для VPN соединения:
- PPTP - 1460
- L2TP - 1460
Maximum Segment Size (MSS)
.
Для VPN соединения:
- PPTP - 1452
- L2TP - 1460