详细介绍如何在Mikrotik RouterOS上配置L2TP服务以便实现远程访问家里内网。

以下是具体的操作步骤以及一些关于Profile配置的建议。

第一步:配置L2TP服务器

  1. 打开WinBox工具,进入到RouterOS的管理界面。
  2. 启用L2TP服务器

    • 打开PPP -> Interface -> L2TP Server
    • 点击L2TP Server标签页,然后点击Enable按钮启用L2TP服务器。
    • 勾选Use IPsec来确保L2TP流量被加密传输。这个选项将使用IPsec协议来保护数据,使得传输更加安全。
    • IPsec Secret字段中设置一个共享密钥,这个密钥将在客户端配置中使用,用来认证与RouterOS的连接。

第二步:配置Profile(用户配置)

关于Profile的选择,可以使用默认的Profile或者新建一个自定义的Profile。两者的区别以及作用如下:

  1. 默认Profile(default profile)

    • RouterOS中默认有一个名为default的Profile,这个Profile包含了一些基础的PPP连接设置,例如:

      • 默认的地址池。
      • DNS配置。
    • 如果您的需求相对简单,只是想实现远程访问,并且不需要复杂的带宽控制或者不同的用户组设置,使用默认Profile是足够的。它可以减少配置的复杂度。
  2. 新建一个自定义Profile

    • 如果您需要更多的控制,例如不同用户使用不同的地址池带宽限制,或者为远程用户配置不同的网关设置,那么您可以新建一个Profile。
    • 具体创建步骤:

      • 打开PPP -> Profiles -> 点击Add (+)
      • 输入一个名称,例如L2TP_Profile
      • 配置Local AddressRemote Address

        • Local Address:路由器在L2TP连接中的地址(通常是内网地址,例如:192.168.88.1)。
        • Remote Address:为远程L2TP客户端分配的地址池,可以新建一个IP地址池来管理分配的IP。
      • 如果需要,可以在Rate Limit中设置带宽限制,或者配置DNS Server来为客户端提供特定的DNS解析服务。

建议

  • 如果您的L2TP访问需求简单,推荐使用默认Profile,这样配置更简洁,并且后续维护更加方便。
  • 如果您需要为不同的用户提供不同的IP地址范围或者设置带宽限制,建议创建一个新的Profile以实现更灵活的管理。

第三步:配置L2TP用户

  1. 打开PPP -> Secrets -> 点击Add (+)来添加L2TP用户。
  2. 输入用户名和密码,确保Service选择为l2tp
  3. Profile字段中,选择之前创建的Profile(可以选择default或者自定义Profile)。

第四步:配置防火墙规则

为了确保L2TP/IPsec正常工作,需要配置一些防火墙规则以允许相关的流量:

  1. 打开IP -> Firewall -> Filter Rules
  2. 添加规则来允许UDP 端口1701(L2TP)、500(IKE)、4500(NAT-T)以及ESP(协议号50)。
  3. 示例规则:

    • General选项卡中,Chain选择inputProtocol选择udpDst. Port设置为1701,500,4500
    • Action选项卡中选择accept,点击OK

第五步:配置IPsec策略和提议

RouterOS在Use IPsec的L2TP中会自动生成相应的IPsec配置,一般不需要手动配置策略和提议。如果有需求,您可以到IP -> IPsec来查看相关配置是否正确。

总结

  • 使用默认Profile适用于大部分简单场景,不需要特殊配置,便于快速部署。
  • 自定义Profile适用于需要更多控制和灵活性,适合对不同用户进行管理和限制。
  • L2TP结合IPsec可以提供加密的传输链路,更安全地远程访问家庭内网。

希望这个详细的配置步骤能够帮助您顺利设置L2TP服务,完成远程访问的需求。

最后修改:2024 年 10 月 23 日
赞赏必须赞赏,多多益善,老板一直发大财!