loader image
ยินดีต้อนรับสู่
ชมรมไอที อันดามัน
info@itandaman.com
Network Zone

คู่มือการตั้งค่า MikroTik ให้ทำงานเป็น VPN Server แบบ L2TP/IPsec

5kviews


ต้องการเชื่อมต่อ VPN เข้ามาจากภายนอกเข้ามายัง Office โดยให้สิทธิเสมือนเป็น Client ที่อยู่ฝั่ง Office เลย เดิมใช้ PPTP อยู่แต่ปัจจุบันมือถือบางรุ่น ทั้ง IOS เวอร์ชั่นใหม่ๆไม่ได้รองรับ PPTP แล้ว

แบ่งเป็นขั้นตอนหลักๆดังนี้ครับ

1. เซต Mikrotik ให้เชื่อมต่อออก Internet ได้ปกติ (ใช้เป็นวง 192.168.100.xxx, Test on Server 192.168.100.254)
2. เซต DDNS ให้ Mikrotik (ใช้เป็นของ Dyndns.org)
3. เซต Service L2TP-Server พร้อมสร้าง User ที่จะเข้ามาผ่าน L2TP/IPsec

1. เซต Mikrotik ให้เชื่อมต่อออก Internet (ใช้เป็นวง 192.168.100.xxx)

1. ทำการเซ็ต Modem ADSL โดยตั้งค่าให้เป็น Bridge

2. ดาวน์โหลดโปรแกรม Winbox เพื่อใช้ในการ config MikroTik –> ดาวน์โหลด Config MikroTik Winbox3.14

3. เชื่อมต่อสาย LAN จาก Modem ADSL เข้า Port 1 ของ Mikrotik
และเชื่อมต่อสาย LAN จาก Computer(Admin) เข้า Port 5 ของ Mikrotik

4. เข้าโปรแกรม Winbox แล้วคลิกเลือก mac address MikroTik ที่ broadcast เจอ แล้วกด Connect

5. เลือก Remove Configuration

6. เข้าไปใส่ password ของ admin ใหม่ด้วย
(ป้องกันโดนภายนอกเข้ามาก่อกวนเพราะ default จะไม่มีพาส ทำให้ใครจะเข้ามาก็เข้าได้เลยแค่สแกน ip เจอ)

7. ปิด Port ที่ไม่ได้ใช้งานอื่นๆ
ตัวอย่างเปิดเฉพาะ winbox และ www เปลี่ยนเป็น 81

8. เซตMikrotik เพื่อเชื่อมต่อออกเน็ต
แท็ป General
สร้าง pppoe-out1 เลือก port interface ขา wan ที่เข้ามา

9. แท็ป Dial Out
ใส่ user,pass ของ Internet ที่ได้จากผู้ให้บริการ
เลิอกติ๊ก Use Peer DNS และ Add Default Route

** ถ้า user ,pass ถูกต้อง สถานะของ Status มุมขวาล่างจะขึ้น connected

** ใน address list จะมีขึ้นแสดง IP ขา wan ที่ได้รับมา

10. กำหนด DNS ให้อุปกรณ์
(แนะนำใส่เพิ่มของ google จะเป็น 8.8.8.8, 8.8.4.4)
แล้วติ๊ก Allow Remote Requests

11. ทดสอบ Mikrotik ว่าออกเน็ตได้ไหม
เข้า Terminal แล้ว ping google.com เทสว่าออกเน็ตได้ไหม

12. กำหนด IP Address ให้ ether2

13. สร้าง DHCP server โดยกำหนด IP และ วง network ฯลฯ

14. เซต NAT Rule ให้อุปกรณ์

15. ใส่ Script DDNS ให้อุปกรณ์
เพิ่มเติมแบบละเอียดได้ที่ Link > 1.15 วิธีการ Remote อุปกรณ์ Mikrotik โดยใช้ DDNS

16. สร้าง Schedules เพื่อทำการ recheck ip public ล่าสุด ตามเวลาที่กำหนด

17. เข้าเว็ป ddns.org เพื่อเช็ค IP ว่า มีการอัพเดรตไหม ( IP ที่อัพเดรต ควรตรงกับ IP ขา WAN ของ Mikrotik )

บนเว็ป ddns.org

18. เซต Time ให้ตัวอุปกรณ์ Mikrotik

2. เซต VPN ให้อุปกรณ์ Mikrotik (ใช้เป็นวง 192.168.10.xxx)

19. เซต IP > Pool ให้ โดยกำหนด rank ที่จะแจกให้ L2TP

20. สร้าง NAT ให้ สำหรับ L2TP

21. สร้าง Firewall Rule Protocol : udp, Port : 1701

22. สร้าง Firewall Rule Protocol : udp, Port : 500

23. สร้าง Firewall Rule Protocol : udp, Port : 4500

24. สร้าง Firewall Rule Protocol : ipsec-ah 51

25. สร้าง Firewall Rule Protocol : ipsec-ah 50

26. สร้าง PPP > Profiles โดยกำหนด IP local และ remote (สามารถ พิพม์เป็น IP เข้าไปได้เลย หรือเลือกใน List ที่เพิ่งสร้างขึ้นมาได้)

แท็ป General

แท็ป Protocols

27. L2TP Server ทำการติ๊ก Enable

28. สร้าง Secrets
โดยกด “+” และทำการสร้าง PPP Secrets กำหนด Pass, เลือก Service: l2tp, เลือก Profile ที่ต้องการ

29. IPsec > peers

แท็ป General

แท็ป Advanced

แท็ป Encryption

30. IPsec > Proposals สร้างขึ้นมา ติ๊กเลือกการเข้ารหัสให้ตรง

3. เชื่อมต่อ L2TP เข้ามาจากภายนอก (Windows)

แสดงสถานะการเชื่อมต่อ

4. เชื่อมต่อ L2TP เข้ามาจากภายนอก (IOS)

แสดงสถานะการเชื่อมต่อ

***หมายเหตุ****

กรณีเรามี Internet เข้ามามากกว่า 1 เส้น เราต้องสร้างกฏ mangle ให้ผู้ที่เชื่อมต่อข้ามาทางฝั่ง L2TP วิ่งเข้ามาเจอ Local วงภายในก่อนไม่งั้น อาจทำให้ผู้ที่เข้ามาจาก L2TP ไปวนไปออก WAN อื่นแทน ซึ่งจะไม่สามารถเจอวงภายในได้เลย และเอากฏที่เราสร้างไว้ด้านบนสุดของเงื่อนไขด้วย

เครดิต sys2u.online