详细介绍如何在Mikrotik RouterOS上配置L2TP服务以便实现远程访问家里内网。
以下是具体的操作步骤以及一些关于Profile配置的建议。
第一步:配置L2TP服务器
- 打开WinBox工具,进入到RouterOS的管理界面。
启用L2TP服务器:
- 打开
PPP
->Interface
->L2TP Server
。 - 点击
L2TP Server
标签页,然后点击Enable
按钮启用L2TP服务器。 - 勾选
Use IPsec
来确保L2TP流量被加密传输。这个选项将使用IPsec协议来保护数据,使得传输更加安全。 - 在
IPsec Secret
字段中设置一个共享密钥,这个密钥将在客户端配置中使用,用来认证与RouterOS的连接。
- 打开
第二步:配置Profile(用户配置)
关于Profile的选择,可以使用默认的Profile或者新建一个自定义的Profile。两者的区别以及作用如下:
默认Profile(default profile):
RouterOS中默认有一个名为
default
的Profile,这个Profile包含了一些基础的PPP连接设置,例如:- 默认的地址池。
- DNS配置。
- 如果您的需求相对简单,只是想实现远程访问,并且不需要复杂的带宽控制或者不同的用户组设置,使用默认Profile是足够的。它可以减少配置的复杂度。
新建一个自定义Profile:
- 如果您需要更多的控制,例如不同用户使用不同的地址池,带宽限制,或者为远程用户配置不同的网关设置,那么您可以新建一个Profile。
具体创建步骤:
- 打开
PPP
->Profiles
-> 点击Add (+)
。 - 输入一个名称,例如
L2TP_Profile
。 配置
Local Address
和Remote Address
:Local Address
:路由器在L2TP连接中的地址(通常是内网地址,例如:192.168.88.1
)。Remote Address
:为远程L2TP客户端分配的地址池,可以新建一个IP地址池来管理分配的IP。
- 如果需要,可以在
Rate Limit
中设置带宽限制,或者配置DNS Server
来为客户端提供特定的DNS解析服务。
- 打开
建议:
- 如果您的L2TP访问需求简单,推荐使用默认Profile,这样配置更简洁,并且后续维护更加方便。
- 如果您需要为不同的用户提供不同的IP地址范围或者设置带宽限制,建议创建一个新的Profile以实现更灵活的管理。
第三步:配置L2TP用户
- 打开
PPP
->Secrets
-> 点击Add (+)
来添加L2TP用户。 - 输入用户名和密码,确保
Service
选择为l2tp
。 - 在
Profile
字段中,选择之前创建的Profile(可以选择default
或者自定义Profile)。
第四步:配置防火墙规则
为了确保L2TP/IPsec正常工作,需要配置一些防火墙规则以允许相关的流量:
- 打开
IP
->Firewall
->Filter Rules
。 - 添加规则来允许UDP 端口
1701
(L2TP)、500
(IKE)、4500
(NAT-T)以及ESP
(协议号50)。 示例规则:
- 在
General
选项卡中,Chain
选择input
,Protocol
选择udp
,Dst. Port
设置为1701,500,4500
。 - 在
Action
选项卡中选择accept
,点击OK
。
- 在
第五步:配置IPsec策略和提议
RouterOS在Use IPsec
的L2TP中会自动生成相应的IPsec配置,一般不需要手动配置策略和提议。如果有需求,您可以到IP
-> IPsec
来查看相关配置是否正确。
总结
- 使用默认Profile适用于大部分简单场景,不需要特殊配置,便于快速部署。
- 自定义Profile适用于需要更多控制和灵活性,适合对不同用户进行管理和限制。
- L2TP结合IPsec可以提供加密的传输链路,更安全地远程访问家庭内网。
希望这个详细的配置步骤能够帮助您顺利设置L2TP服务,完成远程访问的需求。