Skip to main content
Jak możemy pomóc?
< All Topics
Drukować

Mikrotik VPN

Wysłano
Zaktualizowano
ByJacek Czok

Podłączanie Mikrotika do urządzenia

Aby wykorzystać VPN Mikrotik’a, skonfigurujemy Wireguard na Mikrotiku. Do pomocy tego użyjemy WinBox oraz WireGuard.

1. Najpierw zainstaluj najnowsze wersje Winbox i Wireguard.

2. Wejdź w WinBox i podłącz Mikrotik do urządzenia z którego korzystasz. Informacje jak to zrobić znajdziesz na tej stronie.

Poniżej masz krótki opis jak to zrobić:

a)  Wejdź w zakładke „Neighbors” i odszukaj swoje urządzenie.

 b) Po wciśnięciu jeśli masz na urządzeniu Mikrotik hasło, wpisz je do pola „Password”.

c) Wciśnij „Connect” i Mikrotik powinien być podłączony.

Notka: Jeśli nie widzisz urządzenia w „Neighbors” wpisz IP z urządzenia.

Podłączanie Mikrotika do urządzenia przez Wireguard’a

3. Po podłączeniu Mikrotik’a do Winbox’a wejdź w zakładkę „WireGuard”, wciśnij „New” i powinno ci się wyświetlić nowe okno do wpisania danych.

4. W oknie wypełnij dane w „Name”, „Private Key” oraz „Public Key” wypełnij się samo gdy tylko klikniesz „Apply”.

5. Po zrobieniu tego, przejdź do zakładki „IP->Addresses” i kliknij „New”.

6. Adresacje przydziel dowolnie pamiętając o masce na końcu, a jako interfejs wskaż twój stworzony WireGuard.

7. Przy ustawieniach WireGurad’a jako „Listen Port” ustawiliśmy 29432 teraz musimy odblokować ten port na firewall’u. Standardowo plusem dodaj nowy wpis.

8. Wpisz w „Chain” input, w „Protocol” 17(udp) oraz w „Dst. Port” 29432.

Ustawianie VPN w WireGuardzie

1. Wejdź do aplikacji WireGuard’a i wciśnij w strzałkę obok „Dodaj tunel” i wybierz „Dodaj pusty tunel”.

2. W polu „Nazwa” wpisz wg0, wg1 lub wg2 (możesz własną, jednak te nazwy są według oficjalnej instrukcji), zapisz także Klucz publiczny.

3. Wróć do Winbox’a do zakładki „WireGuard” i przejdź do pod zakładki „Peers”. Wciśnij New i zaznacz w polu „Interface” twój WireGuard oraz w polu „Public Key” wklej zapisany Klucz publiczny.

4. Pozostaje nam „Allowed Address”, czyli adres IP jaki otrzyma stacja kliencka. Jako, że interfejs został skonfigurowany na adres 10.10.0.1/24, podaj dowolny adres z tej samej podsieci, zmieniając maskę na /32.

5. Wracając do aplikacji WireGuard wpisz w wg0 poszczególne treści:

  • Address: Adres IP jaki otrzyma stacja kliencka, taki sam jak w „Allowed Address” w konfiguracji Peer’a
  • DNS: podaj dowolny, wewnetrzny DNS, bądź publiczny
  • PublicKey: Klucz publiczny interfejsu jacek_arwal na Mikrotiku
  • AllowedIPs: podając 0.0.0.0/0 przepuścimy cały ruch przez Mikrotika, włącznie z wyjściem do Internetu. Jeżeli chcesz ograniczyć połączenia VPN z dostępem tylko do konkretnych hostów możesz je wymienić po przecinku np. 10.10.0.50/24, 10.10.0.100/24
  • Endpoint: publiczny adres IP i port Mikrotika na, którym pracuje Wireguard
  • PersistentKeepalive: jeżeli korzystasz z maskarady NAT, to należy włączyć podtrzymanie sesji, czas jest w sekundach

Strona z pełnymi informacjami jak skonfigurować: https://grzegorzkowalik.com/konfiguracja-wireguard-na-mikrotiku/

Ustawianie L2TP/IPsec z kluczem wstępnym

Przed ustawieniem L2TP lub Open VPN potrzebujemy Profil PPP oraz Pule adresów.

a) Wejdź w „PPP” do zakładki „Profiles”, wciśnij „New” i utwórz profil PPP na podstawie zdjęcia.

b) Wejdź teraz w zakładkę IP->Pool, wciśnij „New” i stwórz Pule adresów na podstawie zdjęcia.

1. Wejdź w Winbox w zakładkę „PPP”, wciśnij „New” i stwórz „L2TP Server Binding”.

2. Wciśnij w to co stworzyłeś 2 razy i sprawdź czy masz ustawioną fukcję „Enabled”.

3. Wejdź teraz w IP->Firewall i stwórz 4 nowe zasady. Użyj komend poniżej:

/ip firewall filter add chain=input protocol=udp in-interface=ether1 dst-port=1701 action=accept comment="L2TP"
/ip firewall filter add chain=input protocol=udp in-interface=ether1 dst-port=500 action=accept comment="IPsec IKE"
/ip firewall filter add chain=input protocol=udp in-interface=ether1 dst-port=4500 action=accept comment="IPsec NAT-T"
/ip firewall filter add chain=input protocol=ipsec-esp in-interface=ether1 action=accept comment="IPsec ESP"

4. Teraz wejdź zakładkę PPP, Secrets i wciśnij „New”. Wypełnij pola:

  • Name: l2tpuser
  • Password: Podaj dowolne hasło, jest to opcjonalne
  • Service: l2tp

5. Wpisz te komendy żeby umożliwić komunikacje między klientami VPN a siecią lokalną.

/ip firewall filter add chain=forward src-address=10.8.0.0/24 action=accept
/ip firewall filter add chain=forward dst-address=10.8.0.0/24 action=accept
/ip firewall nat add chain=srcnat src-address=10.8.0.0/24 out-interface=bridge action=masquerade

6. Wpisz tą komendę aby dostać klucz wstępny.

/interface l2tp-server server set ipsec-secret=przykład

7. Przejdź teraz do ustawień VPN w urządzeniu i dodaj sieć VPN. Pola wypełnij poszczególnie:

  • Nazwa połączenia: Podaj dowolną nazwę
  • Nazwa lub adres serwera: 10.22.0.117
  • Typ sieci VPN: L2TP/IPsec z kluczem wstępnym
  • Klucz wstępny: Hasło z poprzedniego punktu (w tym przypadku „przykład”)
  • Nazwa użytkownika: l2tpuser
  • Hasło: Podaj jakie masz ustawione z poprzedniego punktu

Ustawianie Open VPN

Przed ustawieniem L2TP lub Open VPN potrzebujemy Profil PPP oraz Pule adresów.

a) Wejdź w „PPP” do zakładki „Profiles”, wciśnij „New” i utwórz profil PPP na podstawie zdjęcia.

b) Wejdź teraz w zakładkę IP->Pool, wciśnij „New” i stwórz Pule adresów na podstawie zdjęcia.

1. Wejdź w Winbox w zakładkę „PPP”, w „OVPN Servers” wciśnij „New” i stwórz serwer ovpn.

2. Wciśnij w to co stworzyłeś 2 razy i sprawdź czy masz ustawioną fukcję „Enabled”.

3. Teraz wejdź zakładkę PPP, Secrets i wciśnij „New”. Wypełnij pola:

  • Name: vpnuser
  • Password: Podaj dowolne hasło, jest to opcjonalne
  • Service: ovpn

4. Wpisz teraz tą komendę aby dodać firewall do OpenVPN.

/ip firewall filter add chain=input protocol=tcp dst-port=1194 action=accept comment="Allow OpenVPN"

5. Wejdź teraz do zakładki System->Certificates i stwórz 3 certyfikaty, takie jak na zdjęciach.

a) ca-cert:

Podpisz teraz certyfikat, klikając po prawej stronie w „Sign” i wybierz „Certificate” ten sam certyfikat a w polu CA też ca-cert.

b) client-cert:

I tak samo wciśnij „Sign” po prawej stronie, wypełnij dane i zacznij.

c) server-cert:

Podpisz tak jak poprzedni certyfikat.

6. Pobierzmy te certyfikaty. Wpisz te 3 dokumenty żeby je wyeksportować.

/certificate export-certificate ca-cert export-passphrase=""
/certificate export-certificate client-cert export-passphrase=""

7. Wejdź w „Files” i pobierz pliki:

  • cert_export_client-cert.key
  • cert_export_client-cert.crt
  • cert_export_ca-cert.crt

8. Pobierz teraz Open VPN jeśli jeszcze go nie masz i przejdź do jego plików konfiguracyjnych. Przykład lokalizacji plików: C:\Users\<Użytkownik>\OpenVPN\config\laptop1

9. Wklej wszystkie pliki tam i dodaj plik laptop1.ovpn

9. W tym pliku wpisz:

client
dev tun
proto tcp
remote <Adres IP serwera> 1194
resolv-retry infinite
nobind
ca "C:\\Users\\<Użytkownik>\\OpenVPN\\config\\laptop1\\cert_export_ca-cert.crt"
cert "C:\\Users\\<Użytkownik>\\OpenVPN\\config\\laptop1\\cert_export_client-cert.crt"
key "C:\\Users\\<Użytkownik>\\OpenVPN\\config\\laptop1\\cert_export_client-cert.key"
cipher AES-256-CBC
data-ciphers AES-256-CBC
data-ciphers-fallback AES-256-CBC
auth SHA1
auth-user-pass
verb 3
keepalive 10 60
route 192.168.88.0 255.255.255.0
persist-key
persist-tun

w <Adres IP serwera> wpisz IP z swojego Mikrotika, a w <Użytkownik> wpisz nazwę swojego użytkownika Windows.

Spis treści