Skip to main content

SSH и не только “домой”: mikrotik + l2tp

На память. Большая часть руководств излишне широко и не особо детально трактуют мои нужды как бытового пользователя в части удаленного подключения pptp. Проще нужно быть, понятнее, минимализмъ – наше все 😉

/ppp profile add bridge=<bridge> local-address=<local int bridge addr> name=vpn use-encryption=required
/ppp secret add name=<user> password=<pass> profile=vpn remote-address=<local net ipaddr> service=l2tp
/interface pptp-server server set authentication=mschap2 default-profile=vpn
/ip ipsec proposal set [ find default=yes ] enc-algorithms=3des
/ip ipsec peer add dpd-interval=disable-dpd dpd-maximum-failures=1 enc-algorithm=3des exchange-mode=main-l2tp generate-policy=port-override mode-config=request-only nat-traversal=yes secret=<sharedsecret>
/interface bridge <bridge> set arp=proxy-arp

По вкусу добавляем правило в наш брэндмауэр (не забываем его поставить в нужное место):

/ip firewall filter add chain=input comment="L2TP VPN Server UDP " dst-port=1701 in-interface=<external-interface> protocol=udp

Порта 1701 достаточно, обмен ключами не ведется, в принципе и in-interface не особо нужен.

Все, далее топаем на win/mac, настраиваем подключение (“Подключение к рабочему месту”, например, в win7), убираем галочку “Использовать основной шлюз в удаленной сети”, ходим к себе домой с любой точки по ssh/http/по вкусу добавить. Пользователей внутри сети и “снаружи” лучше не смешивать – например, не стоит заводить пользователя внешнего и внутреннего с одними и теме же паролями. Авторизация ssh – по ключам, причем приватный ключ лучше защитить паролем. ssl внутри “домашней” сети – нуянезнаюзачемэтонадо, хотя можно и придумать 🙂