Hướng dẫn cấu hình VPN Client to Site (L2TP/IPSec) trên Router MikroTik

Bài viết này, CNTTShop sẽ hướng dẫn các bạn các cấu hình VPN Client to Site sử dụng L2TP over IPSec trên router MikroTik. Bản OS sử dụng là bản RouterOS 7.6, ở các phiên bản khác cũng cấu hình tương tự.

1. Mô hình lab

Trong bài lab, chúng ta sử dụng 1 router MikroTik với bản RouterOS 7.6 sẽ kết nối với switch và các máy tính trong mạng LAN-HQ. Router sẽ được kết nối với card Cloud0 tương ứng với card NAT trong công cụ lab PnetLabs. Do đây là bài lab giả lập, bạn có tưởng tượng là router đang được kết nối với internet. Đến bước kết nối VPN, chúng ta sẽ kết nối trực tiếp trên máy tính đang sử dụng làm lab nhé!
Một số phần quy hoạch địa chỉ IP cho bài lab:

• Địa chỉ IP Public của công ty: 10.1.1.163 (đây là IP mà card NAT trong PnetLab cấp cho router MikroTik. Trong thực tế, bạn cần đăng ký 1 gói mạng có IP WAN tĩnh và quay PPPoE trên router MikroTik thì mới có thể tiến hành các bước cấu hình tiếp theo)
• Mạng LAN Local trong công ty: 192.168.1.0/24
• Dải IP Pool VPN sẽ cấp cho Client: 172.16.1.10 - 172.16.1.100

2. Cấu hình cơ bản

Bước này, các bạn cấu hình các interface, cấu hình IP cho các interface đó như IP LAN. Sau đó là tạo DHCP để cấp cho dải LAN-HQ.

3. Tạo Pool cho VPN

Cần tạo 1 pool để cấp IP cho các client khi họ truy cập VPN vào LAN-HQ.

Trong mục IP >> Pool, nhấn dấu + để thêm 1 pool mới. Ở đây ta sẽ đặt dải IP cho người dùng là: 172.16.1.10 - 172.16.1.100

4. Tạo PPP Profile

Khởi tạo nhóm thuộc tính cho các máy tính/hoặc thiết bị di động từ ngoài Internet kết nối vào mạng của công ty

Vào mục PPP >> Profile. Ở mục name, đặt tên và lưu lại để sử dụng Profile này cho bước tiếp theo. Ở các mục, Local Address và Remote Address chọn pool VPN vừa tạo ở bước trên.

Lưu ý: Khi tạo nhóm thuộc tính thì nên thực hiện gán băng thông cho mỗi kết nối để đảm bảo đủ lượng băng thông cho nhiều người dùng cùng lúc.

5. Tạo Secrets cho VPN

Đây là bước khởi tạo username, password cho người dùng để truy cập VPN với Service là L2TP. Phần Profile chọn Profile đã tạo ở bước trên.

6. Bật dịch vụ L2TP

Chúng ta cần bật dịch vụ L2TP trong phần L2TP Server và điền các thông số cơ bản như sau:

Vào mục PPP >> Interface “L2TP Server”, tích chọn Enable để bật dịch vụ lên. Ở mục Use IPsec chúng ta chọn yes để sử dụng giao thức IPSec nhé. Tiếp theo ta điền khóa pre shared key để thiết lập kết nối VPN.

Như vậy là chúng ta đã thực hiện cấu hình xong VPN client to site trên router Mikrotik. Các bước cấu hình bạn chỉ cần chọn OK là cấu hình sẽ tự lưu rồi nhé.

7. Kết nối VPN

Thực hiện việc kết nối VPN/L2TP trên máy tính dùng Windows, điền các thông số như: username, password và pre shared key đã tạo ở bước trên theo trong ảnh bên dưới.

Lưu ý: 

Trong quá trình kết nối VPN từ máy tình thì có thể gặp trường hợp không thể kết nối do firewall của doanh nghiệp đã chặn các port của dịch vụ L2TP VPN. Nên chúng ta cần kiểm tra và mở các port có liên quan để có thể kết nối được VPN tới router MikroTik nhé.

L2TP/IPsec sử dụng giao thức UDP với port cần mở là:

• 1701 (Service: L2TP Server)
• 500   (Service: ISAKMP)
• 4500 (Service: ISAKMP)

Kết nối VPN từ máy tính Windows

Kiểm tra máy tính đã nhận IP từ VPN

Test thử ping đến PC trong LAN-HQ

8. Kết luận

Như vậy là CNTTShop đã hướng dẫn thành công cấu hình VPN Client to Site sử dụng L2TP/IPSec trên router MikroTik. Các bạn nên thực hiện tuần tự theo các bước như trong hướng dẫn để tránh nhầm lẫn và sai sót.

Chúc các bạn thành công!

>> Tham khảo thêm các sản phẩm MikroTik mà CNTTShop phân phối chính hãng tại Việt Nam tại: https://cnttshop.vn/router-mikrotik