ต้องการเชื่อมต่อ VPN เข้ามาจากภายนอกเข้ามายัง Office โดยให้สิทธิเสมือนเป็น Client ที่อยู่ฝั่ง Office เลย เดิมใช้ PPTP อยู่แต่ปัจจุบันมือถือบางรุ่น ทั้ง IOS เวอร์ชั่นใหม่ๆไม่ได้รองรับ PPTP แล้ว
แบ่งเป็นขั้นตอนหลักๆดังนี้ครับ
1. เซต Mikrotik ให้เชื่อมต่อออก Internet ได้ปกติ (ใช้เป็นวง 192.168.100.xxx, Test on Server 192.168.100.254)
2. เซต DDNS ให้ Mikrotik (ใช้เป็นของ Dyndns.org)
3. เซต Service L2TP-Server พร้อมสร้าง User ที่จะเข้ามาผ่าน L2TP/IPsec
1. เซต Mikrotik ให้เชื่อมต่อออก Internet (ใช้เป็นวง 192.168.100.xxx)
1. ทำการเซ็ต Modem ADSL โดยตั้งค่าให้เป็น Bridge
2. ดาวน์โหลดโปรแกรม Winbox เพื่อใช้ในการ config MikroTik –> ดาวน์โหลด Config MikroTik Winbox3.14
3. เชื่อมต่อสาย LAN จาก Modem ADSL เข้า Port 1 ของ Mikrotik
และเชื่อมต่อสาย LAN จาก Computer(Admin) เข้า Port 5 ของ Mikrotik
4. เข้าโปรแกรม Winbox แล้วคลิกเลือก mac address MikroTik ที่ broadcast เจอ แล้วกด Connect
5. เลือก Remove Configuration
6. เข้าไปใส่ password ของ admin ใหม่ด้วย
(ป้องกันโดนภายนอกเข้ามาก่อกวนเพราะ default จะไม่มีพาส ทำให้ใครจะเข้ามาก็เข้าได้เลยแค่สแกน ip เจอ)
7. ปิด Port ที่ไม่ได้ใช้งานอื่นๆ
ตัวอย่างเปิดเฉพาะ winbox และ www เปลี่ยนเป็น 81
8. เซตMikrotik เพื่อเชื่อมต่อออกเน็ต
แท็ป General
สร้าง pppoe-out1 เลือก port interface ขา wan ที่เข้ามา
9. แท็ป Dial Out
ใส่ user,pass ของ Internet ที่ได้จากผู้ให้บริการ
เลิอกติ๊ก Use Peer DNS และ Add Default Route
** ถ้า user ,pass ถูกต้อง สถานะของ Status มุมขวาล่างจะขึ้น connected
** ใน address list จะมีขึ้นแสดง IP ขา wan ที่ได้รับมา
10. กำหนด DNS ให้อุปกรณ์
(แนะนำใส่เพิ่มของ google จะเป็น 8.8.8.8, 8.8.4.4)
แล้วติ๊ก Allow Remote Requests
11. ทดสอบ Mikrotik ว่าออกเน็ตได้ไหม
เข้า Terminal แล้ว ping google.com เทสว่าออกเน็ตได้ไหม
12. กำหนด IP Address ให้ ether2
13. สร้าง DHCP server โดยกำหนด IP และ วง network ฯลฯ
14. เซต NAT Rule ให้อุปกรณ์
15. ใส่ Script DDNS ให้อุปกรณ์
เพิ่มเติมแบบละเอียดได้ที่ Link > 1.15 วิธีการ Remote อุปกรณ์ Mikrotik โดยใช้ DDNS
16. สร้าง Schedules เพื่อทำการ recheck ip public ล่าสุด ตามเวลาที่กำหนด
17. เข้าเว็ป ddns.org เพื่อเช็ค IP ว่า มีการอัพเดรตไหม ( IP ที่อัพเดรต ควรตรงกับ IP ขา WAN ของ Mikrotik )
บนเว็ป ddns.org
18. เซต Time ให้ตัวอุปกรณ์ Mikrotik
2. เซต VPN ให้อุปกรณ์ Mikrotik (ใช้เป็นวง 192.168.10.xxx)
19. เซต IP > Pool ให้ โดยกำหนด rank ที่จะแจกให้ L2TP
20. สร้าง NAT ให้ สำหรับ L2TP
21. สร้าง Firewall Rule Protocol : udp, Port : 1701
22. สร้าง Firewall Rule Protocol : udp, Port : 500
23. สร้าง Firewall Rule Protocol : udp, Port : 4500
24. สร้าง Firewall Rule Protocol : ipsec-ah 51
25. สร้าง Firewall Rule Protocol : ipsec-ah 50
26. สร้าง PPP > Profiles โดยกำหนด IP local และ remote (สามารถ พิพม์เป็น IP เข้าไปได้เลย หรือเลือกใน List ที่เพิ่งสร้างขึ้นมาได้)
แท็ป General
แท็ป Protocols
27. L2TP Server ทำการติ๊ก Enable
28. สร้าง Secrets
โดยกด “+” และทำการสร้าง PPP Secrets กำหนด Pass, เลือก Service: l2tp, เลือก Profile ที่ต้องการ
29. IPsec > peers
แท็ป General
แท็ป Advanced
แท็ป Encryption
30. IPsec > Proposals สร้างขึ้นมา ติ๊กเลือกการเข้ารหัสให้ตรง
3. เชื่อมต่อ L2TP เข้ามาจากภายนอก (Windows)
แสดงสถานะการเชื่อมต่อ
4. เชื่อมต่อ L2TP เข้ามาจากภายนอก (IOS)
แสดงสถานะการเชื่อมต่อ
***หมายเหตุ****
กรณีเรามี Internet เข้ามามากกว่า 1 เส้น เราต้องสร้างกฏ mangle ให้ผู้ที่เชื่อมต่อข้ามาทางฝั่ง L2TP วิ่งเข้ามาเจอ Local วงภายในก่อนไม่งั้น อาจทำให้ผู้ที่เข้ามาจาก L2TP ไปวนไปออก WAN อื่นแทน ซึ่งจะไม่สามารถเจอวงภายในได้เลย และเอากฏที่เราสร้างไว้ด้านบนสุดของเงื่อนไขด้วย
เครดิต sys2u.online