İçeriği atlamak için "Enter"'a basın

[Çözüm] MikroTik L2TP IPSec VPN Yapılandırma

Giriş

Apple ekosisteminde yer alan MacOS X Sierra, High Sierra, Mojave ve Catalina işletim sistemleri, mobil tarafta ise IOS 10,11,12 ve 13 sürümleri artık güvensiz olarak kabul edilen PPTP VPN iletişim protokolü yerine daha güvenli iletişim imkanı sağlayan IPSec destekli L2TP VPN protokolünü kullanmayı şart koşuyor. Bu yazımızda MikroTik RouterOS işletim sistemine sahip cihazların Router olarak kullanıldığı altyapılarda, IPSec destekli L2TP VPN ayarlarının nasıl yapıldığını anlatacağız.

NOT:  Dökümanımızdaki anlatım RouterOS V6.44 ve sonraki sürümler için geçerlidir. İşlemlere başlamadan önce cihazınızın V6.44 veya daha yeni bir sürümde olduğundan emin olun.

1- Adım PPP Profili Oluşturma

PPP > Profile Menüsünde yeni bir profil oluşturma

L2TP sunucumunuzun ve VPN bağlantısı için kullanılacak hesapların varsayılan ağ geçidi, DNS gibi bilgilerini belirlemek için Winbox veya Webfig yardımı ile örnek resimdeki gibi bir VPN Profili oluşturabilir ya da, aşağıdaki kodu kendinize göre düzenleyip New Terminal’e yapıştırarak hızlıca bir VPN Profili oluşturabilirsiniz.

Oluşturulan VPN profilinde kullanılacak ”local address” kısmı VPN Ağınızın varsayılan ağ geçidini temsil eder, buraya, Router’ınız üzerinde kullanılmayan bir IP adresi yazmanızı öneririz, örneğimizde varsayılan ağ geçidi olarak ”192.168.254.1′‘ ip adresini kullanacağız, Profil içerisine VPN kullanıcılarının alan adı çözme işlemlerinde sorun yaşamaması için bir DNS adresi de yazılması gerekiyor, örneğimizde ”DNS Server” kısmında hiç bir operatör tarafından engellenmeyen Google DNS adreslerini (8.8.8.8,8.8.4.4) kullandık.

/ppp profile add name=L2TP-PROFIL local-address=192.168.254.1 dns-server=8.8.8.8,8.8.4.4

2- L2TP Sunucuyu Etkinleştirme

PPP > Interface > L2TP Server Ayarları

Profilimizi oluşturduktan sonra, L2TP Sunucumuzun etkinleştirme işlemini ”PPP > Interfaces” menüsünde yer alan ”L2TP Server” butonundan üstte yer alan resimdeki gibi yapın, veya etkinleştirmek için aşağıdaki kodu kullanın.

/interface l2tp-server server set enabled=yes default-profile=L2TP-PROFIL authentication=mschap1,mschap2

3- IPSec Ayarları

  • IP > IPSec > Policies kısmında yer alan mavi renkli varsayılan IPSec kuralının yukarıdaki resimlerdeki gibi ayarlanmış olduğundan emin olun, ya da aşağıdaki kod yardımı ile varsayılan kural ayarlarını olması gerektiği gibi güncelleyebilirsiniz.

/ip ipsec policy set [ find default=yes ] src-address=0.0.0.0/0 dst-address=0.0.0.0/0 protocol=all proposal=default

IP > IPSec > Peers Sekmesi Ayarları
  • IP > IPSec >Peer Menüsüne Yukarıdaki resimden veya aşağıdaki kod yardımı ile resimde görünen seçenekleri içeren bir Peer kuralı ekleyin,

/ip ipsec peer add exchange-mode=main passive=yes name=l2tpserver

IP > IPSec > Identities Sekmesi Ayarları
  • IP > IPSec >Identities Menüsünde mavi ”+” butonuna basın ve açılan pencerede yer alan ”Peer” kısmından, bir önceki adımda oluşturduğunuz ”Peer” kuralını seçin, ”Auth Method” seçeneğini ”Preshared Key” olarak değiştirin, ”Sercet” kısmına güçlü bir paylaşılan şifre yazın, ”My ID Type” ve ”RemoteID Type” seçeneğini ”Auto” olarak ayarlayın ve son olarak ”Generete Policy” seçeneğini ”port override” olarak değiştirip ayarları kaydedin, ya da aşağıdaki kod yardımı ile ayarları otomatik olarak ekleyin.

/ip ipsec identity add generate-policy=port-override auth-method=pre-shared-key secret="GUCLUBIRSIFREYAZIN" peer=l2tpserver

IP > IPSec > Proposals Sekmesi Ayarları
  • Sorunsuz bir bağlantı için, IP > IPSec > Proposals > Default kuralı içerisindeki şifreleme ayarlarını ‘‘Auth Algorithms” seçeneğini ”sha1”, ”Encr. Algorithms” seçeneğini ”3des”, ”PFS Group” seçeneğini ”modp1024” olarak elle değiştirin veya, düzenlemeyi aşağıdaki kod yardımı ile tek seferde gerçekleştirebilirsiniz.

/ip ipsec proposal set default auth-algorithms=sha1 enc-algorithms=3des pfs-group=modp1024

PPP > Secrets > Yeni Kullanıcı Ekleme İşlemi
  • PPP > Secrets menüsündeki mavi ”+” butonu ile güçlü şifreye sahip bir kullanıcı adı oluşturun, ”Service” kısmını ”l2tp” olarak değiştirin, ”Profile” kısmından anlatımımızın başında oluşturduğunuz profili seçin, ”Remote address” kısmına PPP profili oluştururken kullandığınız varsayılan IP adresi ile aynı blokta, kullanılmayan bir IP adresi ekleyin (örnekte 192.168.254.2 ip adresi kullanılmıştır.) ve ayarları kaydedin. Ya da kullanıcı ekleme işlemini aşağıdaki kod yardımı ile hızlıca gerçekleştirebilirsiniz.

/ppp secret add name="KULLANICIADI" password="GUCLUSIFRE" service=l2tp profile=L2TP-PROFIL remote-address=192.168.254.2

4- Firewall, Filter Rules ve NAT Ayarları

  • IP > Firewall > Filter Rules menüsünde, dışarıdan gelen bağlantıları filtreleyen mevcut kurallarınız varsa, bu kuralların üzerinde yer alacak biçimde ”1701,500,4500” UDP portlarına ve ”ipsec-esp” protokolüne izin veren kurallar eklemelisiniz, ya da aşağıdaki kodları kullanarak her iki izin kuralını da ekleyip, kuralları Filter Rules menüsünde yer alan kuralların en üstüne taşıyabilirsiniz.

/ip firewall filter add chain=input action=accept protocol=udp port=1701,500,4500

/ip firewall filter add chain=input action=accept protocol=ipsec-esp

L2TP VPN ile bağlanan kullanıcıların yerel ağınızdaki paylaşılan içeriklere ulaşabilmesi ve internete çıkabilmesi için, IP > Firewall > Nat menüsüne L2TP profili ve kullanıcı adında kullandığımız IP bloğu için Masquerade kuralı eklemelisiniz. Bu kuralı kolay bir şekilde uygulamak için aşağıdaki kodu kullanabilirsiniz.

/ip firewall nat add action=masquerade chain=srcnat src-address=192.168.254.0/24

5- MacOS X için L2TP VPN Ayarı

  • Sistem Tercihleri > Ağ kısmındaki ”+” butonuna tıklayın,
  • Arabirim‘i ”VPN” olarak değiştirin,
  • VPN Türü‘nü ”IPSec üzerinden L2TP” olarak seçin,
  • Tercihe göre bir VPN adı belirleyin ve yarat butonuna basın,
  • Konfigurasyon kısmını”Saptanmış” olarak bırakın, ‘
  • ‘Sunucu Adresi” kısmına VPN kurulumu yaptığınız Router’in Statik IP adresi‘ni yazın,
  • ”Hesap adı” kısmına oluşturduğunuz VPN Kullanıcı adı‘nı yazın,
  • ”Kimlik Doğrulama” Butonuna tıklayın ve parola kısmına, VPN kullanıcı adı‘nı oluştururken belirlediğiniz şifre‘yi girin, ”Paylaşılan Sır” kısmına ise ”IP > IPSec > Identities” kısmında belirlediğiniz güçlü şifreyi girin, ve tamam butonuna tıklayın,
  • Ayarları tamamlamak için ‘‘Ağ” Sekmesindeki ”Uygula” butonuna tıklayın.

iOS için L2TP VPN Ayarı

  • Ayarlar kısmından VPN başlığına girin,
  • VPN Konfigurasyonu Ekle butonuna tıklayın,
  • Tür kısmını L2TP olarak değiştirin,
  • Sunucu kısmına VPN kurulumu yaptığınız Router’in Statik IP adresi‘ni yazın,
  • Hesap Kısmına VPN Kullanıcı adı‘nızı, Şifre kısmına VPN Şifreniz‘i, Sır kısmına ise ”IP > IPSec > Identities kısmında belirlediğiniz güçlü şifreyi girin, ve bitti butonuna tıklayın,
  • Bağlanmak istediğiniz VPN adını seçin, ve bağlan butonuna tıklayın.