Windows 10 VPN + MikroTik L2TP over IPsec

Auf dieser Seite wird beschrieben, wie man mit einem MikroTik Router RB951Ui-2HnD (hier RouterOS v7.1.2), einen L2TP-Server einrichten kann. Die L2TP Verbindung ist mit IPsec abgesichert, alle Konfigurationen sind mit dem Tool WinBox.exe (runter zu laden unter https://mikrotik.com/download erstellt worden. Am Mikrotik wurde unter IP -> Cloud der Dienst „DDNS Enabled“ aktiviert um einen VPN Tunnel über ein NETGEAR 4G LTE Moden zu realisieren. 

Im Tutorial zeige ich auch, wie man die VPN-Verbindung im Windows 10 einrichtet.

Hier der Start mit winbox und dem Mikro Tik. 

MikroTik RB951Ui-2HnD verbunden mit einem NETGEAR LB1110 – 4G LTE-Modem im Bridge Modus am Ether1. Wichtig beim Provider eine fixe IP Adresse zu nehmen. 

MikroTik RB951Ui-2HnD verbunden mit einem NETGEAR LB1110 – 4G LTE-Modem im Bridge Modus am Ether1
Mikrotik Interfaces -> Interface -> INterface List

IP -> Pool vpn-dhcp erstellen

Einen IP Pool für den DHCP Server kann im Bereich IP -> Pool angelegt werden. Dieser sollte natürlich einen anderen Bereich haben als der vorhandene dhcp Pool.

mikrotik_VPN_L2TP_IPSec_Bild5_IP_Pool_VPN

PPP -> Profiles -> + neues Profil erstellen

Als nächstes wird ein neues PPP Profil erstellt. Man kann auch eines der bestehenden Default-Profile verwenden. Wir erstellen hier aber ein neues Profil mit treffendem Namen vpn-profile, indem wir auf das plus-Symbol klicken. 

Das PPP-Profil konfigurieren wir dann wie im Bild oberhalb und unterhalb dieses Textes zu sehen. Dabei ist die Local Address: die IP-Adresse des MikroTik Geräts 192.168.8.1. Diese IP-Adresse ist eine feste Adresse aus dem lokalen LAN und sollte nicht mit einem anderen DHCP-Pool kollidieren. Bei Remote Adresse wählt man den zuvor erstellten DHCP-Pool für die VPN-Clients (wie in diesem Beispiel zu sehen). Dieser wurde vorher unter IP > Pool eingerichtet. Der MikroTik Router ist in diesem Beispiel auch der DNS Server. Als letztes muss noch wie im Bild zu sehen „Change CTP MSS“ auf „yes“ gesetzt werden.
mikrotik_VPN_L2TP_IPSec_Bild6_PPP_New_PPP_Profile_für_VPN2x

Unter dem Reiter Protocols setzten wir „Use MPLS“ auf „yes“ und „Use Encryption“ auf „required„!

PPP -> Interface -> L2TP Server aktivieren

Die Einrichtung des L2TP-Server wird unter dem Reiter Interface gemacht.

Nach dem der L2TP Server aktiviert „Enabled“ wurde, wird das zuvor erstelle vpn-profile bei „Default Profile“ ausgewählt. Bei der Authentifizierung ist es wichtig nur mschap2 auszuwählen. Alle anderen Authentifizierungsmöglichkeiten können als zu schwach angesehen werden, und somit vermieden werden! Zum Schluss wird dem L2TP Server gesagt dass er IPsec verwenden soll, dafür wird auch eine festes IPsec Secret vergeben.

PPP -> Secrets

mikrotik_VPN_L2TP_IPSec_Bild8_PPP_Secrets_für_VPNy
Unter dem Reiter Secrets wird mit dem + Plus Symbol, ein neuer VPN-User Benutzer erstellt. Hier wird Benutzername und ein möglichst starkes Password eingegeben. Als Service wird l2tp verwendet und auch hier wird als Profil, das zuvor erstellte von-profile ausgewählt.

IP -> Firewall

Im Menü links unter IP gelangen sie zur Firewall. Hier werden zwei Filter-Regeln durch klicken auf das + plus Symbol angelegt. WICHTIG: Es ist unbedingt darauf zu achten das die neuen Regeln oberhalb der drop Regel sind! Das macht man per drag and drop und zieht die regeln nach oben.

mikrotik_VPN_L2TP_IPSec_Bild_IP_Firewall_L2TP_Ports_für_VPNx

IP -> Firewall -> L2TP Regel

In der ersten Regel wird als Chain: input ausgewählt und als Protocol: verwenden sie die 17 (udp). Bei Dst. Port: ist es möglich alle drei notwendigen Ports über eine Regel zu steuern, daher stehen dort alle benötigten Ports: 500,1701,4500. Das In. Interface heißt in diesem Fall WAN. Es handelt sich um die Schnittstelle die ans Internet angeschlossen ist ether1. Der Connection State einer L2TP Verbindung wird auf new gesetzt.

Unter dem Reiter Action muss „accept“ ausgewählt sein.

IP -> Firewall -> IPsec Regel

Die zweite Filter-Regel erstellen wir als nächstes für den IPsec Zugriff. Hier muss Protokoll 50 (esp) erlaubt werden, da in der IPsec Policy als Protokoll esp gewählt wurde. Das In. Interface ist auch in diesem Fall WAN, die Schnittstelle zum Internet.

Auch diese Regel hat als Action accept.

Bridge -> ARP

Wichtig ist noch unter Bridge den Punkt ARP von „enabled“ auf „proxy-arp“ umzustellen!

windows11_vpn_mikrotik_L2TP_IPsec_6_7

VPN Verbindung in Windows 11 einrichten

In der Systemsteuerung unter Netzwerk und Internet können die Einstellungen für VPN konfiguriert werden. Oder Windows Start und dann auf das Zahnrad klicken und dort dann auf Netzwerk und Internet. Dort dann auf VPN klicken.

windows11_vpn_mikrotik_L2TP_IPsec_1_3

Unter VPN hinzufügen muss man dann die zuvor getätigten Einstellungen und Kennwörter sowie die externe IP Adresse eintragen. Bei VPN-Typ müssen Sie L2TP/IPsec mit vorinstallierten Schlüssel wählen. Bei „Vorinstallierter Schlüssel“ geben Sie das bei L2TP Server eingetragene IPsec Secret ein!  

windows11_vpn_mikrotik_L2TP_IPsec_2_3
windows11_vpn_mikrotik_L2TP_IPsec_3_3

Nach dem die Verbindung gespeichert wurde findet man diese rechts unten unter VPN wieder. Jetzt sollte man mit Verbinden eine VPN-Verbindung zum MikroTik Router aufbauen können.

IP - > Firewall -> NAT

Falls der IP-Adressbereich für die VPN-Verbindungen ein anderer als der des internen Netzwerks ist z.B. 10.1.1.0, müssen die VPN-Clients noch vom NAT ausgenommen werden! Sie sollen ja Zugriff auf das interne Netzwerk erhalten. Dazu wird bei IP -> Firewall -> NAT eine neue Regel erstellt.

mikrotik_VPN_L2TP_IPSec_Bild_IP_Firewall_NAT_VPN_1_2x

Im Bereich Action muss accept ausgewählt werden!