Настройка L2TP/IPsec Site-to-Site в MikroTik: объединяем два офиса в единую сеть

Настройка L2TP/IPsec Site-to-Site в MikroTik: объединяем два офиса в единую сеть

Приветствую, коллеги! Представьте классическую ситуацию: у вас есть головной офис в Москве с «белым» (статическим) IP-адресом, и филиал в Новосибирске, которому провайдер выдал «серый» IP (то есть они сидят за NAT). Задача: сделать так, чтобы бухгалтер в Новосибирске могла печатать на московском принтере, как будто она сидит в соседней комнате.

Согласно Модулю 5 (Туннели) нашего курса, для таких задач идеально подходит связка L2TP/IPsec Site-to-Site. Сегодня мы не просто скопируем команды из интернета, а поймем «подкапотную» магию инкапсуляции и настроим всё с нуля, чтобы туннель стоял насмерть.

📖 Словарь терминов и сленга (База для выживания)

Прежде чем лезть в консоль, давайте переведем с «айтишного» на человеческий:

• Site-to-Site (Узел-к-Узлу) — тип VPN, когда соединяются не два компьютера, а две целые сети (два офиса). «Мост» между зданиями.
• L2TP (Layer 2 Tunneling Protocol) — протокол, который создает сам «туннель». Он умеет передавать любые пакеты (даже_broadcast_), но у него есть фатальный минус: он не шифрует трафик. Он «прозрачен как стекло».
• IPsec (Internet Protocol Security) — та самая «броня». Он берет пакеты L2TP и заворачивает их в криптостойкий конверт. Без IPsec ваш L2TP бесполезен для бизнеса.
• «Белый» IP — публичный, статический адрес, видимый из интернета. (У нас он в Москве).
• «Серый» IP — внутренний адрес за NAT провайдера. Из интернета к нему напрямую не «постучаться». (У нас он в Новосибирске).
• Pre-Shared Key (PSK) / Секрет — общий пароль для «рукопожатия» (Handshake) между роутерами. Если пароли не совпадут — «броня» не сомкнется.

Теория: Матрешка из протоколов

Почему мы используем именно L2TP вместе с IPsec, а не просто IPsec (GRE/IPsec)?

Потому что L2TP умеет работать через NAT (пробивать «серые» IP) и отлично маршрутизирует широковещательные пакеты (например, для поиска сетевых принтеров). А IPsec решает проблему безопасности. В RouterOS (особенно в v7) эти два протокола работают в идеальной связке: L2TP создает «трубу», а IPsec надевает на неё «бронежилет».

Золотое правило туннелей: Если вы настраиваете VPN между офисами через «грязный» интернет, никогда не используйте «голый» L2TP или PPTP. Вы просто подарите хакерам возможность перехватывать корпоративные пароли. Только IPsec!

🚀 БЛОК «С НУЛЯ ДО РЕЗУЛЬТАТА»: Практика Site-to-Site

У нас есть два роутера. Главный офис (Server) имеет «белый» IP 203.0.113.10. Филиал (Client) имеет «серый» IP за NAT. Туннель всегда будет инициироваться (создаваться) со стороны «серого» филиала, потому что до «белого» Москвы достучаться легче, чем до «серого» Новосибирска.

Сохраните этот блок как шпаргалку. Это готовый алгоритм для продажи услуги «Организация VPN между филиалами».

Шаг 1. Подготовка «фундамента» (PPP и Пулы)

Сначала создадим «пользователя» для филиала и выделим ему IP-адреса для туннельного интерфейса.

# НА ГЛАВНОМ РОУТЕРЕ (МОСКВА)

# Создаем пул адресов для туннельного интерфейса (точка-точка)
/ip pool
add name=pool-VPN-Branch ranges=10.10.10.2

# Создаем "пользователя" (филиал) с паролем-секретом
/ppp secret
add name=branch-office \
    password=SuperSecretPSK123 \
    service=l2tp \
    local-address=10.10.10.1 \
    remote-address=pool-VPN-Branch \
    comment="VPN to Novosibirsk"

Шаг 2. Поднимаем L2TP-сервер с «броней» IPsec

В RouterOS v7 IPsec интегрирован прямо в настройки L2TP-сервера. Это гениально упрощает жизнь.

# Включаем L2TP сервер и принудительно требуем IPsec
/interface l2tp-server server
set use-ipsec=required \
    ipsec-secret=SuperSecretPSK123 \
    default-profile=default-encryption \
    enabled=yes

# ВАЖНО: Разрешаем аутентификацию по паролю (PSK)
/ppp profile
set default-encryption use-encryption=required

Шаг 3. Настраиваем «Клиента» (Филиал)

На роутере в филиале мы создаем L2TP-клиент, который будет «стучаться» в Москву. Поскольку филиал за NAT, мы не настраиваем там сервер, только клиент.

# НА РОУТЕРЕ ФИЛИАЛА (НОВОСИБИРСК)

# Создаем L2TP-клиент, который "стучится" на "белый" IP Москвы
/interface l2tp-client
add add-default-route=no \
    allow=pap,chap,mschap1,mschap2 \
    connect-to=203.0.113.10 \
    disabled=no \
    name=l2tp-out-to-Moscow \
    user=branch-office \
    password=SuperSecretPSK123 \
    use-ipsec=yes \
    ipsec-secret=SuperSecretPSK123

Шаг 4. Маршрутизация (Самое важное!)

Туннель создан, но роутеры пока не знают, как отправлять трафик локальных сетей через эту «трубу». Нужно прописать статические маршруты.

# НА ГЛАВНОМ РОУТЕРЕ (МОСКВА)
# Говорим: "Всё, что идет в сеть филиала (192.168.20.0/24), кидай в туннель"
/ip route
add dst-address=192.168.20.0/24 gateway=l2tp-out-to-Moscow comment="To-Branch"

# НА РОУТЕРЕ ФИЛИАЛА (НОВОСИБИРСК)
# Говорим: "Всё, что идет в сеть Москвы (192.168.10.0/24), кидай в туннель"
/ip route
add dst-address=192.168.10.0/24 gateway=l2tp-out-to-Moscow comment="To-Main"

⚠️ Типичные «грабли» (За что клиенты платят деньги)

Если вы настроили всё по инструкции, но туннель «отваливается» или пинг не идет, проверьте эти три вещи. Это классика жанра:

1. Забывают про NAT (Masquerade). Если трафик из сети филиала 192.168.20.0 прилетает в Москву, а там стоит правило NAT «маскарадить всё, что идет в интернет», роутер подменит IP-адрес компьютера филиала на свой. Маршрут обратно сломается. Решение: В правилах Firewall NAT (Srcnat) поставить исключение для туннельного трафика.
2. Асимметричная маршрутизация. Пакет ушел через туннель, а ответ вернулся через основной интернет (потому что шлюз по умолчанию смотрит туда). Решение: Всегда проверяйте, что на обоих концах прописаны статические маршруты друг на друга через интерфейс туннеля.
3. Разные IPsec Proposals (Алгоритмы шифрования). Если на одном роутере стоит aes-256-cbc, а на другом 3des, «рукопожатие» не состоится. В RouterOS v7 при использовании use-ipsec=required в L2TP это решается автоматически, но если вы настраиваете «ручные» IPsec Peers — следите за этим.

Резюме для сетевых инженеров

Настройка Site-to-Site туннеля — это не просто «включить галочку VPN». Это понимание того, как трафик инкапсулируется, как работает NAT-трансляция и как роутеры выбирают путь (маршрутизация). Связка L2TP + IPsec в MikroTik — это золотой стандарт для малого и среднего бизнеса. Она надежна, безопасна и, что самое приятное, не требует покупки «белых» IP-адресов для обоих офисов (один «белый» на главном офисе решает всё).

Материал основан на программе курса «Администрирование сетевых устройств MikroTik» (Модуль 5: Туннели). В следующей статье мы перейдем к Модулю 6: Файрвол. Мы разберем, как защитить этот самый туннель и локальную сеть от «любопытных» пользователей, и я покажу, почему правило «Drop All» в конце цепочки — это ваша главная страховка. Подписывайтесь!