Ce guide technique vous aidera à connecter le routeur à Internet avec le type de connexion WAN L2TP (par exemple, Beeline). Le modèle de routeur n'a pas d'importance. Les différences ne concernent que les différents fabricants de routeurs, dans la disposition des fonctions de réglage et les noms des éléments de menu dans le mode administratif de l'appareil. Le guide est adapté à tous les fournisseurs utilisant une connexion L2TP !
Configuration d'un routeur
1. Sur le routeur, nous trouvons le port WAN (généralement la couleur bleue du port). Nous y insérons un câble à paire torsadée d'un fournisseur d'accès Internet, qui auparavant pouvait être connecté directement à un ordinateur si vous n'aviez pas utilisé de routeur auparavant. Après cela, nous trouvons plusieurs ports LAN jaunes. Dans chacun d'eux, nous insérons le câble réseau fourni avec le routeur et l'autre extrémité dans la carte réseau de l'ordinateur.
2. Sur un PC ou un ordinateur portable exécutant le système d'exploitation Windows 7, ouvrez la section des paramètres réseau : Démarrer - Panneau de configuration - Réseau et Internet - Centre Réseau et partage - Gérer les connexions réseau - Modifier les paramètres de l'adaptateur.
Faites un clic droit sur l'élément "Connexion au réseau local", allez dans "Propriétés", puis dans la section Protocole Internet "TCP / IPv4" et sélectionnez les éléments suivants "IP automatiquement" et "Serveurs DNS automatiquement"
Cliquez sur OK".
3. Sur le routeur, nous recherchons l'adresse IP utilisée pour entrer les paramètres du routeur (par défaut - 192.168.0.1), et une connexion avec un mot de passe (souvent login : admin, mot de passe : admin)
4. Ensuite, dans le navigateur, nous écrivons dans la barre d'adresse 192.168.0.1 (si c'est la même chose sur le routeur), et nous martelons le login et le mot de passe que nous avons vus sur le routeur.
6. Dans la colonne "Type de connexion WAN" (type de connexion Internet), sélectionnez "L2TP / Russie L2TP" / Spécifiez le login et le mot de passe de l'accord avec le fournisseur. Nous indiquons le nom du serveur : tp.internet.beeline.ru (ou un autre, nous regardons aussi dans le contrat). Nous enregistrons les paramètres.
7. Ouvrez la section "Réseau sans fil" dans le menu et écrivez vos propres valeurs pour les éléments :
- SSID est le nom du réseau wifi.
- Sécurité réseau - WPA2-Personnel
- Cryptage - AES ou TKIP
- Clé secrète - mot de passe pour le Wi-Fi, au moins 8 caractères.
8. Appliquez les paramètres. Nous partons de l'appareil qui doit recevoir Internet (il doit avoir un module Wi-Fi). Cliquez sur l'icône de connexion sans fil (dans le coin inférieur droit des icônes Windows, à côté de l'horloge). Nous trouvons notre réseau dans la liste et connectez-vous, entrez le mot de passe (celui qui contient au moins 8 caractères).
Voir la fin de la page pour quelques fonctionnalités importantes !
1. Ouvrir Centre de notification dans le coin inférieur droit de l'écran :
3. Dans la fenêtre ouverte Paramètres dans l'onglet VPN, cliquez sur le bouton Ajouter une connexion VPN:
4. Dans la vitrine Ajouter une connexion VPN renseignez les paramètres suivants :
Fournisseur de services VPN : Windows (intégré)
Nom de connexion : VPNki
Nom ou adresse de connexion : site Internet
Type de VPN : Protocole PPTP(ou Protocole L2TP/IPSec)
Type de données de connexion : Nom d'utilisateur et mot de passe
Nom d'utilisateur et mot de passe : reçus dans le système vpnki (par exemple, userXXX)
7. Faites un clic droit sur l'adaptateur VPNki et sélectionnez Propriétés:
8. Sélectionnez dans la liste Version IP 4 (TCP/IPv4) et appuyez sur le bouton Propriétés:
9. Laissez un reçu Adresses IP Et Adresses de serveur DNS automatiquement et appuyez sur le bouton aditionellement:
10. Onglet Option IP Décochez la Utiliser la passerelle par défaut vers les réseaux distants et appuyez sur le bouton d'accord
Autoriser les protocoles suivants et ne laisser que Protocole de validation de mot de passe (CHAP)
12. (Uniquement pour L2TP) appuie sur le bouton Plus d'options et sélectionnez
Utiliser une clé partagée pour l'authentification et entrez la clé : vpnki
13. Ceci termine le réglage, appuyez sur le bouton Connexion et connexion réussie
état VPNki devrait changer pour Lié
14. Si vous devez être connecté à un réseau domestique distant (par exemple, 192.168.x.x/x), vous devez indiquer à Windows que les adresses de votre réseau distant doivent être recherchées dans le tunnel VPN.
Ceci peut être fait de deux façons:
En ajoutant les réseaux 192.168.x.x/x (votre réseau distant) et 172.16.0.0/16 (le réseau VPNKI) à la table de routage à l'aide de la commande route add
En recevant des données du serveur via DHCP
Avant de faire un choix, il est fortement conseillé de lire cette notice et de la parcourir jusqu'au bout.
Caractéristique 1
Pour utiliser une connexion cryptée, il faut dans les paramètres de connexion :
- utiliser l'autorisation MS-CHAPv2 et spécifier quel cryptage sera utilisé(MPPE)
Pour vous connecter sans cryptage, vous avez besoin de :
- utiliser l'autorisation CHAP et préciser que le cryptage ne sera pas utilisé.
Fais attention,
toutes les autres combinaisons de méthodes d'autorisation et de cryptage entraîneront l'échec de la connexion !!!
Caractéristique 2
Le fonctionnement du protocole PPTP est effectué à l'aide du protocole GRE, avec lequel certains fournisseurs d'accès Internet en Russie ont des difficultés techniques. Ces difficultés vous empêcheront d'utiliser PPTP pour construire des tunnels VPN. Ces fournisseurs incluent MGTS (Moscow City Telephone Network), Yota, Megafon. Cependant, ce n'est pas le cas dans toutes les parties de leurs réseaux.
Pour l'utilisateur, la situation ressemblera à ce que la vérification du nom d'utilisateur et du mot de passe ne passera pas. Plus précisément, il n'atteindra même pas ce moment ... Dans l'élément de menu "Événements de sécurité", vous verrez le début d'une connexion réussie et la dernière sera une phrase disant que nous sommes prêts à vérifier le nom et le mot de passe, mais ...
Accès autorisé. Aucune liste blanche n'est définie pour l'utilisateur. Prêt à vérifier le nom d'utilisateur / mot de passe.
L'absence de connexion et d'autres entrées dans le journal (malgré le fait que vous êtes fermement convaincu que le nom d'utilisateur et le mot de passe sont corrects) indique très probablement que GRE n'est pas ignoré par votre fournisseur. Vous pouvez google à ce sujet.
PS : Afin de lutter contre les sessions suspendues, nous désactivons de force les tunnels utilisateur avec les protocoles PPTP, L2TP, L2TP/IPsec 24 heures après l'établissement d'une connexion. Lorsqu'elles sont correctement configurées, les connexions doivent se rétablir automatiquement.
Notre système fonctionnera avec de nombreux types de routeurs domestiques et professionnels. Pour plus de détails, consultez la section sur la configuration de l'équipement, et il est préférable de commencer la configuration avec cet exemple.
PLUS SUR LE SUJET
- Vous pouvez en savoir un peu plus sur les adresses IP sur notre site Web.
- À propos de l'accès Internet via VPN et le bureau central, vous pouvez
- Vous pouvez lire sur l'accès à distance à un ordinateur sur notre site Web.
- Vous pouvez lire sur le VPN et les protocoles
Parfois, il me semble que les créateurs de Mikrotik se privent délibérément de profit en ne créant pas de guides pas à pas sans ambiguïté pour la mise en place de leur progéniture. Près de 100 % des utilisateurs de ces routeurs tentent de mettre en place un VPN, d'utiliser deux ou plusieurs WAN en même temps ou en secours. C'est ce que recherchent les heureux propriétaires de ces merveilleux appareils sur tout le réseau (et souvent en dehors du RuNet). Imaginez combien l'armée de propriétaires augmenterait s'il y avait deux ou trois assistants dans l'interface Web pour configurer ces fonctions. Et maintenant .. maintenant, grâce à la complexité des paramètres (et, par conséquent, moins de personnes qui veulent acheter), nous avons un appareil peu coûteux et de faible capacité pour des tâches simples qui doivent être faites pour fonctionner 24x7x365. Par exemple, en tant que serveur VPN. Va!
Protocole L2TPfournit une liaison de données, un tunnel.
IPsec fournit une protection des données contre la visualisation.
Nous configurerons également en plusieurs parties - d'abord le tunnel, puis la protection des données.
Note 1: Je n'aime pas vraiment les commandes de texte avec un tas de touches lors de la configuration de choses qui sont décrites assez souvent, mais qui sont décrites à chaque fois avec des fautes de frappe imperceptibles, quelque part quelque chose n'a pas été copié lors de l'écriture (ou lors de la copie depuis un autre site, ce qui arrive le plus souvent) ou simplement mangé par l'éditeur de texte CMS du site. La mise en place d'un VPN est un tel cas. Par conséquent, j'ai spécifiquement prescrit chaque étape pour l'interface graphique Mikrotik - Winbox, d'autant plus qu'il n'y a pas grand-chose ici et que beaucoup de choses doivent être faites.
Note 2: avant la version 6.18, il y a un bogue dans le firmware, en raison duquel le modèle de politique par défaut est toujours appliqué, alors mettez à jour le firmware avec le dernier stable. Ne mettez pas à niveau vers le firmware le plus récent mais instable si vous configurez un VPN.
Nous avons donc un routeur Mikrotik avec le firmware 6.30 (juillet 2015) avec LAN 192.168.88.0/24 (réseau par défaut). Le WAN n'est pas important, par exemple 1.2.3.4.
Configuration de la tunnellisation (L2TP)
1. IP - Pool / Déterminer la plage d'adresses des utilisateurs VPN
Nom : vpn_pool
Adresses : 192.168.112.1-192.168.112.10
Piscine suivante : aucune
Il est préférable pour les clients VPN d'utiliser un adressage séparé. Cela permet de séparer plus facilement l'un de l'autre. Et en général, les meilleures pratiques.
2. PPP - Profils / Profil pour notre tunnel spécifique
Général:
Nom : l2tp_profile
Adresse locale : vpn_pool (ou vous pouvez spécifier 192.168.88.1
, voyez par vous-même comment vous l'aimez)
Adresse distante : vpn_pool
Changer TCP MSS : oui
protocoles :
tous par défaut :
Utiliser MPLS : par défaut
Utiliser la compression : par défaut
Utiliser le cryptage : par défaut
Limites:
Un seul : par défaut
3. PPP - Secrets / Utilisateur VPN de cuisine
Nom : vpn_user1
Mot de passe : bla-bla-bla
Services : l2tp
Profil : l2tp_profile
4. PPP - Interface - cliquez sur Serveur L2TP / Activer le serveur L2TP
Activé - oui
MTU/MRU-1450
Délai d'attente Keepalive - 30
Profil par défaut - l2tp_profile
Authentification-mschap2
Utiliser IPSec - oui
Secret IPSec : tumba-yumba-setebryaki (ce n'est pas le mot de passe de l'utilisateur, mais une clé pré-partagée qui devra être spécifiée sur les clients en plus du login/mot de passe)
Configuration du cryptage des données dans le "tunnel" (IPSec)
Dans l'étape précédente, nous avons créé un tunnel de données et activé IPSec. Dans cette section, nous allons configurer les paramètres IPSec.
5. IP - IPSec - Groupes
Parce que il y a une forte probabilité d'occurrence, il suffit de le supprimer et de le créer immédiatement. Par exemple, avec le nom "policy_group1". Vous pouvez également simplement supprimer ce groupe, mais les erreurs seront affichées via l'interface Web.
6. IP - IPSec - Pairs
Adresse : 0.0.0.0/0
Port : 500
Méthode d'authentification : clé pré-partagée
Passif : oui (réglé)
Secret : tumba-yumba-setebryaki (ce n'est pas le mot de passe de l'utilisateur !)
Groupe de modèles de stratégie : groupe_politique1
Mode d'échange : principal l2tp
Envoyer le contact initial : oui (défini)
Traversée NAT : oui (défini)
Mon identifiant : automatique
Vérification de la proposition : obéir
Algorithme de hachage : sha1
Algorithme de chiffrement : 3des aes-128 aes-256
Groupe DH : modp 1024
Générer une règle : remplacement de port
Durée de vie : 1j 00:00:00
Intervalle DPD : 120
Nombre maximum d'échecs DPD : 5
7. IP - IPSec - Propositions / "Offres".
Quelque chose comme "que pouvons-nous vous offrir". En d'autres termes, nous définissons les options de connexion que les clients distants peuvent essayer d'utiliser.
Nom : par défaut
Algorithmes d'authentification : sha1
Enrc. algorithmes : 3des, aes-256 cbc, aes-256 ctr
Durée de vie : 00:30:00
Groupe PFS : mod 1024
Vous avez probablement remarqué que les points 6 et 7 sont similaires, et si nous ajoutons que nous avons ajouté le même Secret aux points 4 et 6, alors la question se pose : pourquoi les mêmes options sont-elles reconfigurées ? Ma réponse est la suivante : purement par la pratique, il s'est avéré que Windows 7 en avait besoin d'un, et l'iPhone en avait besoin d'un autre. Comment ça marche, je ne sais pas. Mais le fait est purement de la pratique. Par exemple, je change le groupe Proposition PFS en 2048 - Windows se connecte normalement, mais l'iPhone s'arrête. Je fais le contraire (dans la proposition je mets 1024, et dans ip-ipsec-peers je mets 2048) - iPhone se connecte, mais Windows ne le fait pas :) C'est-à-dire. lors de la connexion de différents clients, différentes parties des configurations sont utilisées. Délirer? C'est peut-être une conséquence des changements progressifs dans la configuration du serveur VPN, je ne peux pas dire, parce que. il peut même y avoir l'influence d'anciens firmwares, configurations, etc. Je n'exclus pas que quelque chose soit redondant ici, mais je ne sais pas quoi exactement.
pare-feu
Passons à la console, peut-être pour changer :
/filtre de pare-feu ip
add chain=input action=accept protocol=udp port=1701,500,4500
add chain=input action=accept protocol=ipsec-esp
Si la politique de transfert est définie sur drop par défaut (la dernière règle pour le transfert est "chain=forward action=drop"), vous devrez peut-être autoriser le transfert depuis les adresses IP vpn_pool vers le réseau local :
add chain=forward action=accept src-address=192.168.112.0/24 in-interface=!ether1 out-interface=bridge-local comment="autoriser vpn à lan" log=no log-prefix=""
Maintenant, tout est avec le serveur.
Connexion client distant
Essayer de connecter Windows 7 :
Panneau de configurationRéseau et InternetCentre Réseau et partage :
Mettre en place une nouvelle connexion ou un réseau
Se connecter à un lieu de travail
Créer une nouvelle connexion
Utiliser ma connexion Internet (VPN)
Adresse Internet : ip ou nom du routeur sur le réseau
Utilisateur et mot de passe de PPP->Secrets. Dans notre cas, il s'agit de vpn_user1 et de son mot de passe.
Nous essayons de nous connecter.
Si cela ne fonctionne pas, ou si vous avez juste besoin de configurer la connexion créée :
Onglet Sécurité :
Type de VPN : VPN IPSec L2TP
Options supplémentaires : utilisez une clé pré-partagée pour l'authentification. Dans notre cas, il s'agit de "tumba-yumba-setebryaki" (IP - IPSec - Peers) :
Ici, dans le groupe "Authentification", on ne laisse que CHAP v2 :
Cliquez sur OK et essayez de vous connecter. Cela devrait fonctionner. Sinon, consultez la page d'erreur lors de la configuration d'un VPN.
Mise à jour 1 : Souvent, les gens sont intéressés par la façon dont plusieurs (plus d'un) clients du même réseau local (derrière nat) peuvent se connecter à un serveur vpn Mikrotik distant. Je ne sais pas comment fournir cela dans L2TP/IPSec. Vous pouvez appeler cela un bogue d'implémentation. Je n'ai pas trouvé d'explication simple ni de solution au problème.
18/07/2016 19:29 Ptrrr
08/09/2016 10:00 Mapc
19.08.2016 17:35 Vertall
10.09.2016 23:29 Nikpo
02.10.2016 15:28 Anatolie
18/10/2016 12:39 Daimos
19/10/2016 01:02 Boomer
19/10/2016 01:05 Boomer
19/10/2016 01:16 Boomer
19/10/2016 09:34 Daimos
19/10/2016 10:07 Daimos
20/10/2016 12:54
20/10/2016 13:04
22.10.2016 13:44 Hippomsk
24/10/2016 00:01 bzzz
24/10/2016 00:04 bzzz
24/10/2016 00:11 bzzz
24.10.2016 10:35 Daimos
24/10/2016 14:41
24/10/2016 14:46
25.10.2016 08:41 Daimos
25.10.2016 08:51 Daimos
//Paramètres avancés
Paramètres du réseau local.
Adresse IP, routes, passerelle par défaut (Default Gateway), serveur de nom de domaine (DNS) - votre ordinateur ou votre routeur reçoit via DHCP.
Pour accéder à Internet, une connexion vpn est utilisée via les protocoles L2TP (sans IPsec) ou PPTP. Nous vous recommandons d'utiliser une connexion L2TP.
Adresses du serveur :
- tp.internet.beeline.ru - pour la connexion via le protocole L2TP.
- vpn.internet.beeline.ru - pour la connexion via le protocole PPTP.
- L2TP - 1701
- PPTP - 1723
- www-80/8080
Nous prenons en charge et recommandons les modèles de routeurs suivants pour le fonctionnement dans le réseau Beeline :
- Routeur Wi-Fi Beeline
- Boîte intelligente Beeline
- Beeline N150L
- Beeline D150L
- Asus 520GU
- D-Link DIR 300/NRU rév. B1-B6, C1
- Linksys WRT610n
Si votre routeur ne figure pas dans la liste recommandée, vous pouvez essayer de le configurer vous-même :
- Assurez-vous que votre routeur prend en charge L2TP/PPTP.
- Téléchargez le dernier micrologiciel à partir du site Web du fabricant.
- Entrez tp.internet.beeline.ru ou vpn.internet.beeline.ru comme serveur vpn
- Réglez l'acquisition d'une adresse IP et des adresses DNS sur automatique (via DHCP).
- Saisissez vos informations d'inscription.
Une télévision.
Regarder la télévision avec un décodeur (STB).
Nous prenons en charge les modèles de console suivants* :- avec fonction de contrôle TV : Cisco CIS 430, ISB7031, ISB2230, Motorola VIP 1216, 2262E, Tatung STB3210
- sans fonction de contrôle TV : Cisco CIS 2001, ISB2200, Motorola VIP 1200, 1002E, Tatung STB2530
Regarder la télévision sur un ordinateur :
Pour regarder la télévision sur votre ordinateur, installez le programme gratuit VLC et téléchargez la liste des chaînes. Vous trouverez des informations plus détaillées sur le forum des utilisateurs Beeline Home Internet.Numéros de port des protocoles les plus courants
- SMTP - 25
- POP - 110
- IMAP- 143 (993 IMAP sur SSL)
- SSL - 443
- FTP - 21
- SSH - 22
- telnet - 23
- www- 80, 8080
- PPTP - 1723
- L2TP - 1701
- NTP- 123/UDP
Pour la connexion VPN :
- PPTP - 1460
- L2TP - 1460
Taille de segment maximale (MSS).
Pour la connexion VPN :
- PPTP - 1452
- L2TP - 1460
