Во вкладке General, в строке Chain выбираем: «dstnat». Далее правим строку Protocol: «6 (tcp)». И последние устанавливаем исходящий порт: Dst. Port — «80» Если у вас брандмауэр настроен более строго необходимо будет донастроить его на разрешение правила порт-форвардинга в рамках этой заметки на этом останавливаться не будем оставим предупреждением. В определенных случаях, например, при пробросе udp для компьютерной телефонии, нужно дополнительно сделать маркировку пакетов.

Mikrotik: Настройка IPsec & L2TP-сервера

Чтобы досконально понимать, как работает последующая настройка шифрованного VPN, о которой я расскажу, нужно в любом случае почитать другие статьи, дабы понимать мат. часть, поэтому предварительно советую изучить, что такое IPsec и каков принцип его работы.

Речь пойдет про L2TP, как уже понятно из названия статьи. L2TP изначально предоставляет услугу PPP (на канальном уровне модели OSI) с последующей инкапсуляцией, что позволяет работать поверх IP.

данный протокол поддерживается почти всеми популярными ОС из коробки (Win, Android, iOS), т.е. ничего не нужно дополнительно устанавливать, как в случае с OpenVPN;
L2TP можно применять, когда клиент имеет динамический IP-адрес (или находится NAT).

Если бы и сервер и клиент имели статические внешние IP-адреса, то вполне можно было бы использовать чистый IPsec или же IPIP, GRE и EoIP over IPsec. Но чаще всего только с одной стороны имеется белый IP-адрес (например, в одном офисе), А потому все удаленные клиенты могут свободно подключаться через L2TP, будь это пользователи или же удалённые офисы.

У Вас проблема? Задайте вопрос эксперту

Казалось бы, всё хорошо и замечательно с L2TP, но есть и главный его недостаток – отсутствие шифрования. Поэтому для решения этой проблемы и используется IPsec, который работает на сетевом уровне модели OSI и позволяет установить сначала IPsec-соединение, которое будет защищённым, а уже потом внутри него устанавливать L2TP-соединение.

Мнение эксперта

Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета

Все сложные вопросы мы с вами решим вместе.

Задать вопрос эксперту

Если же пассивный режим отключен, одноранговый узел будет пытаться установить не только фазу 1, но и фазу 2 автоматически, если политики настроены или созданы во время фазы 1. Если вам нужна бесплатная консультация, пишите мне!

Настройка роутера Mikrotik: базовые и расширенные настройки, проброс портов

Настройка IPsec

Все дальнейшие действия настраиваются в меню IP -> IPsec.

Для настройки в основном будут использованы уже имеющиеся элементы default с некоторыми изменениями.

Пошагово процесс будет выглядеть так с некоторыми пояснениями:

После настраивается Profile – определяет набор параметров, которые будут использоваться для согласования IKE во время фазы 1. Эти параметры могут быть общими с другими одноранговыми конфигурациями:

Данное решение применимо только к протоколу ESP, т.к. протокол AH подписывает полный пакет, включая заголовок IP, который изменяется NAT, делая подпись AH недействительной.

А вот параметр Passive включен. Если же пассивный режим отключен, одноранговый узел будет пытаться установить не только фазу 1, но и фазу 2 автоматически, если политики настроены или созданы во время фазы 1.

В ранних прошивках RouterOS данной вкладки не было, а часть её функционала настраивалась в предыдущем вкладке Peers. Это к сведению, чтобы не путаться.

Здесь указывается имя и используемые алгоритмы – описаны в документации Mikrotik, я выбрал рекомендуемые для своей железки.

Важна галочка Template и указанная группа default, а также указанный протокол UDP и адреса: источника и назначения.

Основное в разделе Action раздела Policy:

Под данную политику будет попадать весь трафик туннеля L2TP, который будет настроен на использование IPsec, а потому в поле Action установлено значение encrypt – то есть будет выполнено шифрование на основе Proposial, в котором указаны выбранные алгоритмы.

На данном этапе настройка IPsec закончена и можно переходить к конфигурации L2TP.

Обратите внимание! Если все перечисленные действия были выполнены правильно, то доступные пользовательские интерфейсы будут соединены в единое пространство для использования всеми подключенными девайсами. Если отдано предпочтение последнему варианту, то нужно нажать на кнопку Rеmоve Cоnfigurаtiоn , вследствие чего устройство перезагрузится. В этом случае в веб-интерфейсе маршрутизатора достаточно перейти во вкладку Autоmаtic , затем пункт 4 настройка локальной сети.

Проброс Портов на Микротик Для L2tp

Проброс портов в роутере MikroTik (port forwarding) позволяет организовать удаленный доступ из интернета к какому-нибудь устройству внутри вашей локальной сети (к IP-камере, Web, FTP или игровому серверу).

В данной статье мы рассмотрим пример, как пробросить порты в роутере MikroTik, чтобы получить доступ к IP-камере в локальной сети.

Ваш роутер обязательно должен иметь белый IP-адрес, по которому к нему можно подключиться из интернета. В роутере MikroTik проверить белый ли у вас IP-адрес можно следующим образом:

Откройте меню IP — Cloud
Поставьте галочку DDNS Enabled
Нажмите кнопку Apply
Если после этого отобразиться статус «updated» без ошибок, то у вас белый IP-адрес.

Итак, у нас имеется роутер MikroTik с белым IP-адресом 178.189.224.122. Он имеет внутреннюю подсеть 192.168.88.0/24.

Внутри подсети есть IP-камера с адресом 192.168.88.250, у которой есть Web-интерфейс, работающий на 80 порту. Нам нужно обеспечить доступ из интернета к Web-интерфейсу IP-камеры.

Необходимо сделать так, чтобы при открытии в браузере адреса http://178.189.224.122:10000, мы попадали на Web-интерфейс IP-камеры.

10000 в адресной строке — это произвольный номер порта. Его желательно указывать в диапазоне от 49152 до 65535. Можно также использовать диапазон от 1024 до 49151, если вы уверены, что указанный порт не будет конфликтовать с какой-то программой.

Для проброса портов в роутере MikroTik откройте меню New Terminal и выполните команды, описанные ниже.

Первым делом добавляем правило маскарадинга для подсети 192.168.88.0/24

Далее обращения из интернета к порту 10000, перенаправляем во внутреннюю сеть на устройство 192.168.88.250 и порт 80.

Обращения из локальной сети к внешнему IP-адресу 178.189.224.122 и порту 10000 перенаправляем в локальную сеть на устройство 192.168.88.250 и порт 80, а не в интернет.

Созданные правила можно посмотреть в меню IP — Firewall на вкладке NAT.

Мнение эксперта

Черноволов Василий Петрович, эксперт по вопросам мобильной связи и интернета

Все сложные вопросы мы с вами решим вместе.

Задать вопрос эксперту

Важная особенность этой модели способность запитки устройства не только от стандартного блока питания, но и специального РОЕ-адаптера. Если вам нужна бесплатная консультация, пишите мне!