Схема:
Задача: Построить L2TP-туннель между маршрутизатором ESR, который является L2TP-Server, маршрутизатором Mikrotik, который является L2TP-Client, и Windows, который является L2TP-Client.
Для построения IPsec в схеме с L2TP-туннелем между ESR и Mikrotik - в конфигурации tunnel l2tp на маршрутизаторе ESR необходимо включить ipsec ike rekey enable:
esr# configure
esr(config)# tunnel l2tp 1
esr(config-l2tp)# ipsec ike rekey enable
Данная команда поддержана с версии ПО 1.17.0!!!
Для подключения Windows-Client будем использовать пользователя user1 с паролем password. Для подключения Mikrosoft-Client будем использовать пользователя user2 с паролем password.
Пример конфигурации ESR:
object-group service IKE
port-range 500
port-range 4500
exit
object-group service L2TP
port-range 1701
exit
security zone trusted
exit
interface gigabitethernet 1/0/1
security-zone trusted
ip address 198.51.100.1/24
exit
security zone-pair trusted self
rule 1
action permit
match protocol udp
match destination-port L2TP
enable
exit
rule 2
action permit
match protocol udp
match destination-port IKE
enable
exit
rule 3
action permit
match protocol esp
enable
exit
exit
security zone-pair trusted trusted
rule 1
action permit
enable
exit
exit
security ike proposal l2tp
encryption algorithm aes256
dh-group 14
exit
security ipsec proposal l2tp
encryption algorithm aes256
exit
remote-access l2tp server
authentication mode local
local-address ip-address 192.0.2.1
remote-address address-range 192.0.2.2-192.0.2.10
outside-address ip-address 198.51.100.1
security-zone trusted
ipsec authentication method pre-shared-key
ipsec authentication pre-shared-key ascii-text encrypted 8CB5107EA7005AFF
ipsec ike rekey enable
ipsec ike proposal l2tp
ipsec proposal l2tp
username user1
password ascii-text encrypted 8CB5107EA7005AFF
enable
exit
username user2
password ascii-text encrypted 8CB5107EA7005AFF
enable
exit
enable
exit
Пример конфигурации Mikrotik в WEB:
Пример конфигурации Windows:
Вывод оперативной информации со стороны ESR:
esr# show security ipsec vpn status
Name Local host Remote host Initiator spi Responder spi State
------------------------------- --------------- --------------- ------------------ ------------------ -----------
server(L2TP) 198.51.100.1 198.51.100.32 0x1c947627ac707f8a 0xddd832dc28d9a328 Established
server(L2TP) 198.51.100.1 198.51.100.25 0x3110ba04a95be251 0x973573d6cbe26b35 Established
esr# show remote-access status l2tp
User IP-address Server
---------------- --------------- --------------------------------------
user1 192.0.2.3 l2tp(server)
user2 192.0.2.2 l2tp(server)
Count sessions: 2