Частным случаем реализации данной задачи является организация доступа через шлюз MikroTik по протоколу L2TP с использованием IpSec и ключа проверки подлинности (IPSec Secret). При этом при создании пользователей для доступа по VPN через сервер L2TP используется профиль SSTP.
Однако, как показала практика, возникают сложности с соединением, выражающиеся в отображении пользователю ошибки 809 при его попытке соединиться с локальной сетью, например:
Устранение данной ошибки является комплексным решением проблемы и включает в себя условно 3 этапа.
1. Модем. При работе из дома пользователи, как правило, используют домашний роутер, предоставленный провайдером услуг Интернет. Необходимо убедиться, что Ваш домашний роутер будет корректно обрабатывать протоколы L2TP и IpSec. Пример решения для одного из модемов приведён в этой заметке.
По личному опыту, этого было достаточно при работе в Linux.
2. Брандмауэр Windows, по умолчанию, блокирует необходимые для описываемого типа VPN-соединения соединения к определённым портам. Для обеспечения соединения нужно открыть доступ к портам UDP 500, 1701, 4500. Назначение этих портов:
500 – ISAKMP – Internet Security Association and Key Management Protocol;
1701 – Layer 2 Forwarding Protocol (L2F) & Layer 2 Tunneling Protocol (L2TP);
4500 – NAT-T – IPSec Network Address Translator Traversal.
Запустите оснастку управления брандмауэром Windows и нажмите на ссылку "Дополнительные параметры":
Нужно создать 2 правила: для входящих подключений и исходящих подключений. Активизируйте соответствующий пункт в верхнем меню слева:
Далее в верхнем меню справа нажмите на "Создать правило":
При запросе типа правила укажите, что данное правило создаётся для порта:
Укажите локальные порты UDP: 500, 4500, 1701
Аналогично сделайте и для другого вида подключения (в этом примере далее – для исходящего).
Попробуйте установить соединение. Если не помогло – работаем дальше.
3. Внесение измнения в реестр Windows.
Запустите редактор реестра (regedit) и пройдите в ветку
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Services\ Rasman\ Parameters
Создайте двоичный параметр DWORD с именем ProhibitIpSec и значением 1:
Перезагрузитесь. Попробуйте соединиться со своей сетью по VPN. Получилось?
