Как настроить L2TP на Mikrotik (RouterOS)

Зайти в веб-интерфейс роутера и залогиниться. Пароль можно найти на стикере, который поставляется вместе с роутером.

Перейти в раздел Interfaces, во вкладку Interface, нажать на кнопку Add new и выбрать в выпадающем списке L2TP Client

Заполнить поля следующим образом:

• Connect To - сервер подключения, список серверов можно найти в архиве подписки
• User и Password - логин и пароль подписки, можно найти в файле readme.txt в архиве с подпиской
• Add Default Route - включить чекбокс
• Allow - оставить включенным только mschap2

L2TP является транспортным протоколом, шифрование обеспечивает IPSec. В некоторых случаях шифрование трафика через IPSec может сильно его тормозить. Если планируется использовать дополнительное шифрование трафика, следует заполнить следующие поля:

• Use IPsec - включить
• IPsec Secret - ввести a-secure-psk

Если не планируется использовать IPSec, следует перейти к шагу 8

Перейти в IP - IPsec, открыть вкладку Proposals, нажать на запись default.

Установить чекбоксы как на скриншоте, нажать кнопку ОК.

Перейти в IP - IPsec, открыть вкладку Profile, нажать на запись default.

Установить чекбоксы как на скриншоте, нажать кнопку ОК.

Перейти в раздел Interfaces, во вкладку Interface. Примерно через минуту слева от созданного на шаге 2 интерфейса l2tp-out1 должна появиться буква R, что означает running – подключение состоялось. Если подключение но состоялось, можно нажать на кнопку D и потом на E для того, чтобы отключить и включить интерфейс, и подождать еще минуту. Если зайти в интерфейс, нажав на l2tp-out1, можно увидеть статус Connected.

Перейти в раздел IP - Firewall, во вкладку NAT, нажать Add New.

Выбрать в поле Out. Interface созданный на шаге 3 интерфейс L2TP, в поле Action выбрать masquerade. Нажать кнопку OK. (На скриншоте остальные опции убраны для удобства)

Если тип вашего подключения к интернет-провайдеру PPPoE, следует перейти во вкладку Interfaces, нажать на строку интерфейса с типом PPPoE Client.

Указать для Default Route Distance значение 10, нажать на кнопку OK.

Если тип вашего подключения к интернет-провайдеру IPoE, следует перейти в раздел IP - Routes. Наверху списка маршрутов мы видим два маршрута с Dst. Address 0.0.0.0/0. Первый маршрут для нашего VPN трафика и он не активен, на что указывает отсутствие буквы A в строке DS. Также нужно убедиться, что для этого маршрута в поле Gateway указано reachable. Второй маршрут страндартный, и он активен, на что указывает буква A в строке DAS. Для того, чтобы наш трафик шел через VPN, нужно понизить приоритет стандартного маршрута, установив ему Distance в 10. Для этого нужно запомнить адрес шлюза, указанного в Gateway. На скриншоте адрес шлюза 192.168.10.1, у вас он может отличаться. Далее следует нажать на кнопку Add New.

В Gateway указываем адрес шлюза с предыдущего шага, в Distance указываем 10, ждем кнопку OK.

Видим, что в таблице маршрутов у нас появилось два одинаковых маршрута с отличающимися полями Distance. Удаляем маршрут с Distance 1, нажав на кнопку “-”.