Построение корпоративных VPN-сетей. L2TP с IPSec на Mikrotik

Старость это когда ты на одном дыхании смотришь видос по настройкам длинной в 1 час 56 минут)

Спасибо как всегда круто. много чего нового интересно, теперь переварить и применить осталось! спасибо еще раз!

Спасибо за материал!

У меня уже 2 года работает l2tp + IPsec со всеми филиалами, около 20 штук. Это первое, что я сделал на новом месте, до этого филиалы ходили по рдп даже без ограничений по адресам

Роман, сталкивались ли Вы с граблями при настройках НордВПН или ЭкспрессВПН на устройствах Микротик?

55:10 Обратите внимание, что в шаблоне политики отсутствуют порты, хотя перед этим они заполнялись. Это потому что для политики порты не имеют смысла, о чём в вики прямо написано. Забавно, что если их заполнить и нажать ОК они отобразятся в винбоксе но их не будет видно через консоль, а из винбокса они пропадут при переподключении :)

Начало 18:14

Роман спасибо за видео! А поясните что не так- при подключении мобильных или win устройств. внешний ip устройства меняется на ip сервера, а при подключении мikrotik в качестве клиента- остается ip его провайдера?

Я пока не готов просмотреть 2 часа про L2tp+ipsec. Пока вообще не понимаю, что мне надо. Было два 951ых, соединённых openvpn. Скорость была 20
Мбит, что маловато для моих нужд. Узнал, что у микротиков бывает аппаратное ускорение шифрования, но только на ipsec. Заменил оба конца на ах2. Теперь как ни пробую - всегда скорость 100. Хоть на openvpn, хоть на ipsec, для разнообразия ещё wg попробовал. А просто на одном конце пров 100мбит, на другом 500. В итоге я и не знаю, что сколько даёт, скорость упирается в прова. Пока оставлю как есть значит на опенвпн, как сотку расширю, буду дальше думать, калькулировать, переезжать на л2тп или как

здравствуйте, можете пожалуйста сделать видео на новый юзер менеджер (7.1 rc1) для работы с ipsec vpn и wpa2 Enterprise? заранее спасибо

Добрый день,а можно такое же видео только для RouterOS 7. У меня после обновления прошивки перестали работать маршруты. После отката на 6.48 всё работает отлично

16:32 откуда взялась сеть для l2tp? Она нужна, ее нужно создать самому? Стало еще больше вопросов...

Можно обновить обзор и выбор железок? Уже год прошёл с прошлого раза.

Здравствуйте. Есть пул для dhcp, можно ли выбрать общий пул для dhcp и l2tp?

У меня rb4011, почему он при нагрузке не использует все ядра а только одно ядро, которое шкалит до 100%?

а подключение по L2TP 2 и более пользователей за одним белым IP возможно?

Я правильно понял, что мобильных клиентов ("road warrior" в терминологии Микротика) нельзя подключать каждого с собственным сертификатом? Ведь для таких клиентов у нас единственный пир с ip 0.0.0.0/0, соответственно и Identitie тоже один. В чём тогда плюсы по сравнению с PSK? Что мы раздаём всем единый PSK, что единый сертификат.

ребята,кто сталкивался с блокировкой l2tp провайдером? как действуете в таких случаях?
у меня было дважды, sstp , wireguard работают а l2tp не коннект

Добрый день! Можно вопросик задать?

Такой вопрос. Есть локалка на капсмане, есть устройства которые круглосуточно подключены по wifi. Суть в том что первое время (около 6-7 часов) после включения точек пинги до устройств которые к ним подключены более менее адекватные, от 2 до 20мс, но вот спустя время они вырастают от 70 до 140мс, а иногда и вовсе становятся запредельными. В чём может быть проблема?

Шикарное видео - спасибо!
remote l2tp ipsec клиент не видит сетевые ресурсы 2й сети.
в кратце - есть основная сеть l2tp site to site - 2 микрота сервер и клиент соответсвенно. Правда без ip sec . интерфейсы подняты, между собой эти 2 сети общаются. при подключении удаленного пк к впн серверу (GW1 роутер) через l2tp ipsec подклчение устанавливается и ресурсы в стеи роутера GW1 видны для удлаенного клиента. А ресурсы в сети роутера GW2 соответсвенно клиента VPN l2tp не видны. Туннель между GW1 и GW1 подня постоянно, пакеты ходят.
Предполагаю нужно копать в сторону маршрутизации на роутере. Пок ане понятно на кокаом из 2х основных роутеров?
Сориентируйте пож - что настроить чтобы удаленные клиенты видели сеть ресурсы в обеих сегментах обьедененной VPN сети.
Спасибо!

Тема с сертефикатами и wireguard не раскрыта. Спасибо за труд

Сделал базовую настройку vpn l2tp/ipsec, столкнулся со следующей проблемой, у клиентов сколько 0.07 мб, впн подключается, но по факту работает ужасно...
Что с этим сделать можно?

У меня такая проблема, создаю vpn l2tp ipsec автоматически, пытаюсь подключиться с пк, выдаёт ошибку на уровне безопасности во время согласований с удалённым пк

А прочему вы скептически относитесь к wireguard? Он намного производительнее и безопасней чем тот же ipsec

Добрый день! можно ли как то настроить связь с сервером за микротиком если микротик находится за nat провайдера?

Роман может стримчик с каналом Моя профессия - администратор... Где правда!!!

Добрый день. Возможно ли подключить чистый IPSec, но с одной стороны на оборудовании WatchGuard чистый белый адрес. А вот с другой стороны сотовый провайдер даёт статический белый адрес, но симка вставляется в TP-Link модем, там работает, и вот этот модем TP-Link отдаёт по эзернет порту Микротику серый адрес по типу 192.168..... Адрес прописываемый на интерфейсе Микротика в настройках модема добавлен в ДМЗ, и по теории на него, с внешнего адреса идут все пакеты. Так работает между двумя WatchGuard-ами, между Керио и Ватчгардом, но микротик не может в такую схему. Можно ли как-нибудь настроить микротик, что бы он поднял IPSec в такой схеме

Настроил на двух Mikrotik RBD52G-5HacD2HnD-TC l2tp-ipsec, скорость между микротик-винда 100 мбит по smb, а между микротик-микротик скорость в 2 раза меньше, что не так?

Я чуть не уснул

Задам тупой вопрос. Подскажите пожалуйста, перештудировал десятки форумов, но нигде не нашел должного варианта решения. Есть такой момент. ВПН на микротике прекрасно работает (L2TP IPSec) до момента пока не будет снята галочка на сетевом подключении "использовать основной шлюз в удаленной сети", та галочка, что по умолчанию как раз не стоит например на маках. И тут начинается дурдом, пингов нет, шара не видна, локальное обоурдование в сети офиса не видно, пока не вернешь галочку. Оно то понятно по какой причине, а вот как решить проблему не могу найти. Проблема в том, что если галочка стоит, ВЕСЬ трафик идет через впн, если не стоит, то все замолкает, искал в маршрутизации, но по решению именно данной проблемы ничего не нашел. По сути удаленные клиенты жрут трафик офиса, а точнее круто бьют по скорости канала.

Спасибо большое за видео.
Интересно Ваше мнение об презентации о построении VPN между филиями и уделенными клиентами.
th-cam.com/video/4wW9rPoDi_k/w-d-xo.html
В данной лекции очень интересно распределена IP адресация, при которой используется минимум сетевых пулов и не нужны никакие «костили» чтобы связать разные сети между собой. Сам перенастроил две фирмы на роботу по такому принципу и очень доволен. Настройка микротиков, Windows-клиентов, Android-устройств производится с пол оборота и работает как часики.
Все схемы в интернете предлагают создавать отдельно сети для филиалов и отдельно для VPN, что очень усложняет чтение схемы и заставляет делать «костыли», чтобы пробросить трафик между филиалами.

А в телеге, типичный разговор маргиналов)

очень много воды

Бесполезный вебинар. Жмет на все подряд ничего не объясняя, какой-то хаос и сумбур.

але гараж! какие корпоративные сети на Mikrotik ? че белены обелись? с этой хренью только лохов разводить можно и то до первого взлома ...