Configuración de un servidor L2TP en Mikrotik

( redes / mikrotik )

En el Mikrotik podemos configurar un servidor L2TP para tener nuestra propia VPN y de esta forma conectarnos a la red de nuestra casa u oficina remotamente como si estuviésemos en local con una IP de nuestra red.

Para ello seguimos estos sencillos pasos y tendremos un servidor L2TP en el Mikrotik:

;;
;; Servidor de VPN L2TP con profiles
;;

/interface bridge
set LAN arp=proxy-arp

;; indicamos IPs a asignar cuando se conecta
;; IMPORTANTE deben estar excluidas del pool DHCP general
;;
/ip pool 
add name="DHCP-L2TP" ranges=192.168.1.250-192.168.1.254

;; regla para permitir el L2TP
;; NOTA: cuidado estas dos líneas deben estar por encima del DROP de la cadena INPUT
;;
/ip firewall filter
add action=accept chain=input comment=l2tp-server dst-port=500,1701,4500 protocol=udp
add action=accept chain=input comment=l2tp-server protocol=ipsec-esp

; sección L2TP

/ppp profile 
add change-tcp-mss=yes dns-server=192.168.1.1 local-address=192.168.1.1 name=L2TP-IN remote-address=DHCP-L2TP use-encryption=yes

/interface pptp-server server 
set authentication=mschap2 default-profile=L2TP-IN enabled=yes ipsec-secret=clave max-mru=1460 max-mtu=1460 use-ipsec=yes

/ppp secret 
add name=usuario1 service=l2tp password=contraseña1 profile=L2TP-IN
add name=usuario2 service=l2tp password=contraseña2 profile=L2TP-IN

; sección IPSEC

/ip ipsec proposal
add enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des name=L2TP-Proposal
; set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des

/ip ipsec peer
add address=0.0.0.0/0 enc-algorithm=aes-256,aes-192,aes-128,3des exchange-mode=main-l2tp generate-policy=port-override secret=clave send-initial-contact=no port=500 auth-method=pre-shared-key nat-traversal=yes hash-algorithm=sha1 dh-group=modp1024

/ip ipsec policy
set 0 dst-address=0.0.0.0/0 proposal=L2TP-Proposal src-address=0.0.0.0/0
add proposal=L2TP-Proposal template=yes

Podemos crear cuantos usuarios y contraseñas necesitemos aunque podrán conectar tantos como IPs hayamos reservado en el POOL y que dichas IPs DEBEN estar excluidas del DHCP local para evitar conflicto de IPs.

La clave debe ser cuanto más fuerte mejor para que la seguridad sea mayot.

La IP 192.168.1.1 es el router que en mi caso también hace de DNS server, en caso de que NO coincidan debes indicar la IP del servidor DNS.

Los nombres del pool (DHCP-L2TP) y del profile (L2TP-IN) son opcionales y se pueden poner lo que veamos oportuno, por ejemplo si tenemos varios Pooles o Profiles para distinguirlos, pero deben ser únicos.

Un punto que puede dar problemas es la MTU que deberemos ajustarla según nuestras necesidades.

Por último tener en cuenta al añadir el filtro del Firewall que lo hagamos por encima del DROP que al ser un comando ADD lo añade al final y si tenemos un DROP (que deberíamos) se añadirá tras él, lo más simple para moverlos es vía naegador arrastrando la línea del filtro. El comentario podemos poner lo que queramos o quitarlo (no lo aconsejo, siempre es bueno poner un comentario por simple que sea).

Modificado el 16 Octubre, 2016
Creado el 5 enero, 2016
   

Compartiendo conocimiento desde 1995 - I.M.D. I.M.D.