г. Москва, ул. Азовская, 14
+7 (495) 310-97-15
Пн-пт: с 9.00 до 18.00
Заказать звонок
Обратный звонок
Ваше имя*
Ваш телефон*
Ваш Email*
Перезвоните мне
Настройка 2х MikroTik L2TP Server + IPSec

Соединяемся с ПЛК через VPN туннель

В данной статье попробую подробно, пошагово описать те шаги, которые требуются для настройки двух роутеров Mikrotik hAPac2 по протоколу L2TP, а заодно для себя создам памятку как подключить такой туннель к ПЛК210 CS SP14 по прошествии времени.
Сам не являюсь каким-то гуру по сетевым технологиям и допускаю что может допустил ошибку в описании.
Если у Вас не получится так соединить, стучитесь, постараюсь помочь.
VPN туннель хорошо подходит для тех случаев, когда держать на объекте компьютер для удаленного доступа небезопасно и избыточно, да и получается значительная экономия трафика.

Проблематика настройки удаленного доступа по VPN туннелю , удаленному контроллеру состоит одновременно с несколькими особенностями:
1. Общие правила соединения двух узлов (site-to-site) может по ряду признаков отличаться. Если у одних пользователей работает, у вас может и не заработать. Тонкости скрыты в деталях.
2. Задачи от задачи отличаются и один совет может совершенно не годиться для другого случая
3. В Ютубе изобилие подобных роликов по подключениям, но очень сложно и смотреть и повторять + то что раскручено, то обычно уже достаточно устарело.
Так по незнанию можно потратить много времени и поиск стоящих статей, настроенных на практическое применение, достаточно сложно. Потом даже найдя стоящую статью и все равно, в итоге обратиться к знающим специалистам, так как особенностей масса.

Какая задача стояла у меня:
Был для объекта закуплен контроллер ПЛК210-01. Он стоит глубоко в подземных казематах теплового пункта большой многоэтажки. Объект это около 1000 сигналов ввода-вывода и контролировать правильность программного кода не представлялось разумным ни через Anydesk/TeamViwer, ни тем более частыми поездками по вызову. Соответственно нужно как-то контролировать процесс удаленно и корректировать код незамедлительно, если найден недостаток.

Что было предпринято:
1. В том месте где я больше всего нахожусь в г.Москве был арендован статический IP адрес Он не секретен, можете к нему подключаться и программировать. Там подключен второй ПЛК210 от ОВЕН (89.23.36.110)
2. Уже был ранее приобретен роутер MIKROTIK hAP ac2 и оставалось приобрести второй, чтобы организовать VPN туннель с шифрованием. Как удачно, что они дешевеют год из года, первый стоил аж 5500р, этот взял за 4680, на Авито можно купить аналогичный примерно за 2т.р
3. Был заранее выбран протокол L2TP, так как он достаточно защищен и достаточно прост в настройках
4. Оба роутера имеют аналогичные прошивки, в клиентском стоит 6.48.4

1.png

2.png

В соответствии со структурной схемой видно, что первый роутер Mikrotik (сервер) откуда ведется программирование (GW1), будет настроен на роль L2TP Server + IPSec, со следующими настройками:
Внешний IP (WAN): 89.23.36.110 (статический IP адрес);
IP-адрес VPN Server: 172.19.19.1;
Адрес роутера в LAN сети: 192.168.1.254.

MIkrotik в том месте, где будет подключаться ПЛК210 (GW2) будет являться VPN-клиентом с настройками:
Внешний IP (WAN): 192.168.8.1 (адрес того что дает модем с симкартой Tele2) модем LTE HUAWEI (перепрошит);
IP-адрес VPN Client: 172.19.19.2;
Адрес роутера в LAN сети: 192.168.11.253.

Настраиваем серверный роутер

1. Создаем пользователя Secret. Указываем адреса VPN Server + VPN Client 172.19.19.1(2)
PPT-Secrets(+)
3.png

2. Создаем интерфейс PPT, в котором указываем пользователя Secret
4.png
5.png

3. Включаем L2TP Server
6.png

4. Устанавливаем три правила для Firewall
7.png
8.png
9.png

Серверную часть мы настроили, переходим далее к настройке клиентской части (роутера)

Настраиваем роутер клиента

1. Создаем новый профиль пользователя, оставляем дефолтные профили без изменения.
10.png
Добавляем протокол
Выставляем галку YES на строке Use Encription
11.png

2. Добавляем интерфейс L2TP Client в PPP
12.png
13.png
14.png
15.png

Если появилась у строки клиентского сервиса буква R – значит все настроено.
16.png

Для исключения проблемы Path MTU Discovering Black Hole связанной с большой фрагментацией пакетов (плохой канал связи, много hops) необходимо сделать следующее:

Управление фреймами
В настройках сервера занизить Max. MTU до 1350-1300. Установить MRRU в 1600

MRRU
В настройках клиента также указать MRRU 1600

Считаю правильным решение дополнить вот чем: чтоб Вы смогли с серверной части через туннель заходить на клиентский роутер установите правило для 8291 порта
Правило захода в клиентский роутер

Выражаю свою личную признательность Alexander Polikushin (pa@ampcompany.ru) за помощь в донастройке данного решения!

#VPN, #L2TP, #Mikrotik, #ПЛК210, #ОВЕН

Оставьте первый комментарий

Ваш комментарий добавлен
Оставьте Вашу заявку и получите ответ в самые короткие сроки!