Zapnutí L2TP/IPsec serveru
Kód: Vybrat vše
/interface l2tp-server server set use-ipsec=yes ipsec-secret=<xxx> default-profile=default enabled=yes
/ip ipsec proposal + /ip ipsec peer už není třeba nastavovat ručně, vytvoří se dynamicky.
---
- Návod pro nejjednodušší nastavení L2TP/IPsec VPN pro klienta ověřujícího se jménem a heslem.
- Poznámka: Z jedné veřejné IP adresy (například lokální síť za NATem) není možné navázet víc než jedno spojení na stejný L2TP/IPsec server. (už neplatí od verze 6.38)
- Na iOS (iPhone, iPad) zvolte jako klienta L2TP, nikoliv IPSec.
Zapnutí L2TP serveru
Kód: Vybrat vše
/interface l2tp-server server set enabled=yes
Nastavení IPsec
Kód: Vybrat vše
/ip ipsec proposal set default enc-algorithms=3des auth-algorithms=sha1,sha256,sha512 disabled=no lifetime=30m pfs-group=modp1024
Nastavení IPsec peeru
Kód: Vybrat vše
/ip ipsec peer add address=0.0.0.0/0 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=2 dpd-maximum-failures=5 enc-algorithm=3des exchange-mode=main-l2tp generate-policy=port-override hash-algorithm=sha1 lifetime=1d nat-traversal=yes port=500 secret=XXXXX send-initial-contact=yes
Popis:
- adress 0.0.0.0/ bude akceptovat navázání z jakékoliv adresy
- secret XXXXXX je první autentizační úroveň
Nastavení přihlašovacího jména/hesla a přiřazených IP adres
Kód: Vybrat vše
/ppp secret add name=user password=pass profile=default-encryption local-address=[local address] remote-address=[remote address] service=l2tp
Popis:
- local-address je IP adresa, která se u VPN klienta přiřadí jako vzdálená, takže z pohledu serveru lokální
- remote-address je IP adresa, která se u klienta nastaví jako lokální, takže z pohledu serveru jako vzdálená