Du kennst das. Irgendwann sind die Portweiterleitungen deines Routers nicht mehr übersichtlich, veraltet oder du stößt an das Limit der Portweiterleitungen des (Zwangs-)Routers. Abhilfe schafft hier ein IPsec-Tunnel, der direkten Zugriff auf dein Heimnetz bietet.
Meine Konfiguration sieht wie folgt aus:
Handy > Telekom Hybrid Router > Mikrotik RB750Gr3 > Heimnetz
Ich adressiere meinen Hybrid Router mittels eines DDNS-Anbieters.
Als erstes erzeugen wir einen Adress-Pool auf dem Mikrotik:
/ip pool add name="L2TP-Pool" ranges=172.31.86.1-172.31.86.100
Dann erzeugen wir ein Profil:
/ppp profile add name=l2tp-profile local-address=L2TP-Pool remote-address=L2TP-Pool use-encryption=required change-tcp-mss=yes dns-server=8.8.8.8
local-address ist hier die IP-Adresse, die als Gateway für die einwählenden Clients vergeben wird.
remote-address=default-dhcp ist hier der DHCP-Pool aus dem IP-Adressen zugewiesen werden.
dns-server ist die Adresse eines DNS-Anbieters. Das kann dein lokaler DNS sein (falls du Namen in deinem Netz vergibst) oder z.B. ein öffentlicher DNS (Google: 8.8.8.8)
Jetzt aktivieren wir L2TP und weisen das IPsec Protokoll zu:
/interface l2tp-server server set authentication=mschap2 default-profile=l2tp-profile enabled=yes ipsec-secret=PASSWORT max-mru=1460 max-mtu=1460 use-ipsec=yes
Benutzer hinzufügen:
/ppp secret add name=Benutzername password=MeinPasswort service=l2tp profile=l2tp-profile
Jetzt müssen wir noch die IPsec Proposals anpassen:
/ip ipsec proposal add name=L2TP-Proposal auth-algorithms=sha1 enc-algorithms=3des,aes-256-cbc pfs-group=none
IP Peers anpassen:
/ip ipsec peer add address=0.0.0.0/0 port=500 auth-method=pre-shared-key secret="MYKEY" generate-policy=port-override exchange-mode=main-l2tp send-initial-contact=yes nat-traversal=yes hash-algorithm=sha1 enc-algorithm=3des,aes-256 dh-group=modp1024
IPsec Policies anpassen:
/ip ipsec policy add src-address=::/0 dst-address=::/0 protocol=all template=yes group=default action=encrypt level=require ipsec-protocols=esp tunnel=no sa-src-address=0.0.0.0 sa-dst-address=0.0.0.0 proposal=L2TP-Proposal
Dein Telefon muss jetzt irgendwie diese Einstellungen verarbeiten können:
Name : VPN-Verbindung
Typ : L2TP/IPSec PSK
Server Adresse : Die IP-Adresse bzw. Hostname des Mikrotik Routers
IPSec pre-shared key (PSK) : Das vergebene Passwort für IPsec
Benutzer: PAULCHEN
Passwort: SUPAGEHEIM!
Jetzt müssen noch einige Ports auf deiner Firewall geöffnet werden:
UDP 500, UDP 1701, UDP 4500 und Protokoll 50: ipsec-esp
Nun sollte alles sauber laufen. Kommentare, Hinweise, etc. sind natürlich immer gerne gesehen.