Задача стоит «подключить два удаленных офиса между собой по VPN».
В обоих офисах стоят маршрутизаторы Mikrotik.

Адресация офисов.

Адресация Офиса 1 (MSK), который будет у нас VPN-сервером:
WAN 88.53.44.1
LAN 192.168.10.0/24
VPN 192.168.60.1
Адресация Офиса 2(SPB), который будет VPN-клиентом:
WAN 88.53.55.2
LAN 192.168.20.0/24
VPN 192.168.60.2

Настройка VPN-server.

1. Первый маршрутизатор в офисе MSK.
Включаем VPN-Server.

/interface l2tp-server server
set authentication=mschap2 enabled=yes

L2TP-Server-Enable

2. Создаем пользователя, который к нам будет подключаться.

/ppp secret
add local-address=192.168.60.1 name=User password=11225555 profile=default-encryption remote-address=192.168.60.2 service=l2tp

3. Добавляем интерфейс сервера.

/interface l2tp-server
add name=l2tp-in2 user=User

L2TP-Serv

L2TP-Serv2

Настройка VPN-клиента.

Второй маршрутизатор в офисе SPB, создаем клиентское подключение к головному офисе в Москве. Пользователь с именем User, пароль 1225555

/interface l2tp-client
add allow=mschap2 connect-to-88.53.44.1 disabled=no name="SBP-MSK" password=1225555 user=User

L2tp-client

L2TP-client-general

L2TP-dial-out

Маршрутизация офисов.

Теперь, после создания подключений на маршрутизаторах, нам нужно прописать статически маршруты в локальные сети через VPN на Mikrotik  в обоих офисах.

Начнем с первого офиса в MSK:
dst-address — указываем локальную сеть офиса в SPB, к которой будем подключаться.
gateway — шлюз через который будем подключаться к сети, ip VPN клиента.
pref. source — указываем свою локальную сеть, с которой будем выходить.

/ip route
add comment="route MSK-SPB VPN" dst-address=192.168.20.0/24 gateway=192.168.60.2 pref-src=192.168.10.1

MskToSpb

Второй офис в SPB:

/ip route
add comment="route SPB-MSK VPN" dst-address=192.168.10.0/24 gateway=192.168.60.1 pref-src=192.168.20.1

Route SpbtoMsk

Заключение

Таким образом мы объединили два офиса между собой позволив пользователям чувствовать себя в одной сети и использовать внутренние общие ресурсы.

Если вы не видите общие ресурсы компьютеры офисов между собой или не проходит ping —  отключите на обоих машинах firewall и проверьте открытость UDP порта 1701.

24 thoughts on “Объединение двух офисов по VPN на Mikrotik.

  1. за такую инструкцию надо не поддерживать сайт, а закрыть. а где шифрование? как офисы между собой соединять без шифрования трафика?

    1. Шеф, по умолчанию включается MPPE128 stateless encoding, поскольку в свойствах пользователя указывается профайл default-encryption. Ваш Кэп.

    1. Ошибка в Preffered source для обоих маршрутов. Необходимо подставлять собственный адрес в VPN-паре, т.е. для офиса MSK это 192.168.60.1, а для офиса SPB это 192.168.60.2 соответственно. Тогда все работает, проверено на собственном опыте.

  2. Здравствуйте, спасибо за инструкцию, всё получилось!
    Только столкнулся с проблемой, пытаюсь подключится к веб-морде камеры, подключенной в условном офисе спб, но страница не грузится, в браузере висит вечная загрузка страницы. Пинг идёт нормально.

  3. Добрый день!

    Спасибо за статью! Все работает по вашему примеру. Пробовал еще объединять два офиса в одной сети, но почему то этот номер не проходит, ну т.е. 192.168.10.0 в одном офисе и точно такая же сеть во-втором. Понятно, что пул адресов разный, чтобы не было повторений. Однако маршруты находятся в состоянии unreachable и сети не объединяются. Не могли бы вы прокомментировать этот момент?

  4. Благодарю Вас за очень доходчивую и полезную статью, для чайников, коим я являюсь.
    Задача поставленная в заголовке решена с Вашей помощью.

  5. Будет это работать, если на стороне сервера ip адрес статический, а со стороны клиента «серый» (интернет через 4g модем) ?

    Хочу с работы получить доступ к web интерфейсу домашнего видеорегистратора.

    1. в этом смысл любого впн. конечно со стороны клиента можно иметь любой адрес, лишь бы провайдер не блочил впн (а сотовые операторы некоторые этим грешат). но тогда можно сменить впн на другой тип.

  6. «Ошибка в Preffered source » — мозги не пудри. из-за тебя пришлось лезть в мануалы микротик.wiki проверять. ящер. Автору спасибо, все кратко и понятно, кучу гавна у себя вычистил. Проблема пингов реально оказалась в фаерволах! для чайников, в виндах правила пингов и самбы в фаерволе включены только для сети «локальная сеть», куда сеть впн не попадает по адресации. Нужно или ручками создать правило или найти виндовое и ткнуть галочку входящие/исходящие «для всех сетей», вместо Локальная. и сразу и пинги и шара заработали. Есть еще опция в бридже ARP=enable, где то слышал что для лучшего взаимодействия локалок лучше поставить =arp-proxy

  7. Здравствуйте!
    Подскажите, будет ли эта схема работать, если один (или оба) из микротов стоит за фаерволом?
    Что нужно будет поменять, чтобы заработало?

  8. Привет.
    Я так понимаю это без ipsec, а насколько такой vpn оправдан с точки зрения секьюрности?

  9. Компы в другой сети пингуются, но доступа к шаре нет, и по имени и по IP. Файерволы отключены. Что мы сделали не так?

  10. Добрый вечер. Настроил все по такой схеме. Но, неожиданно возник казус.
    В сеть, где основной микротик, можно подключиться по ВПН соединению, но нет доступа ни к одному ресурсу в этой сети.
    При соединении по ВПН с сетью второго микротика, все ресурсы той сети доступны.
    Как можно решить эту проблему?

  11. Как-то не понял что значат вот эти два адреса:
    VPN 192.168.60.1
    VPN 192.168.60.2
    Адреса роутеров, на которых поднят ВПН? Шлюзы?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.