Как настроить L2TP/PPTP VPN подключение на роутере TL-WR820N?

Это техническое руководство поможет вам подключить роутер к интернету с типом wan-подключения L2TP (например Билайн). Модель роутера не имеет значения. Отличия заключается лишь в разных производителей роутеров, в компоновке функций настроек и названий пунктов меню в административном режиме устройтва. Руководство подходит для всех провайдеров использующих L2TP-подключение!

Настройка роутера

1. На роутере находим порт WAN (как правило синий цвет порта). В него вставляем витую пару от интернет-провайдера, который до этого мог быть подключенным напрямую к компьютеру, если ранее вы не пользовались роутером. После там же находим несколько желтых портов LAN. В любой из них вставляем сетевой кабель который шел в комплекте с роутером, а другой конец в сетевую плату на компьютере.

2. На ПК или ноутбуке работающем на OS Windows 7 открываем раздел сетевые настройки: Пуск — Панель Управления — Сеть и Интернет — Центр управления сетями и общим доступом — Управление сетевыми подключениями — Изменения параметров адаптера.

Правой кнопкой мыши по пункту «Подключение по локальной сети» заходим в «Свойства» далее в раздел Протокол Интернета «TCP/IPv4» и выбираем следующие пункты «IP автоматически» и «DNS сервера автоматически»

Жмем «ОК».

3. На роутера ищем IP адрес, который используется для входа в настройки роутера (по умолчанию — 192.168.0.1), и логин с паролем (зачастую login:admin, password: admin)

4. Потом в браузере  пишем в адресной строке 192.168.0.1 (если он такой же на роутере), и забиваем — login и password которые мы видели на роутере.

5. Далее в меню роутера находим раздел Network в нем пункт «WAN»

6. В графе «WAN Connection Type» (тип интернет подключения) выбираем «L2TP/Russia L2TP»/ Логин и пароль указываем из договорас провайдером. Имя сервера указываем: tp.internet.beeline.ru (или иное, так же смотрим в договоре). Сохраняем настройки.

7. Открываем в меню раздел «Беспроводная сеть» и пишем для пунктов свои значения:

• SSID — имя wifi сети.

• Защита сети — WPA2-Personal
• Шифрование — AES или TKIP
• Секретный ключ — пароль для Wi-Fi, не менее 8 символов.

8. Применяем настройки. Заходим с устройство, которое должно принимать интернет (у него должен быть Wi-Fi модуль). Кликаем на иконку беспроводных соединения (в правом нижнем углу иконок Windows, рядом с часами). Находим в списке нашу сеть и подключаемся, вводим пароль(тот, который содержит не менее 8 символов).

9. Радуемся, настройка закончена.

Перед настройкой нам нужно обновить прошивку и сбросить все предустановленные настройки.

Если вы не читали первую часть “Mikrotik: выбор домашнего маршрутизатора“, то вкратце повторю как сбросить настройки, по обновлению прошивки читаем первую часть (ближе к концу).

Подключаемся к маршрутизатору патчкордом в любой порт кроме первого и запускаем WinBox. Через некоторое время наш роутер появляется в списке доступных устройств.

На данном этапе НЕ ПОДКЛЮЧАЕМ КАБЕЛЬ ОТ ПРОВАЙДЕРА В НАШ РОУТЕР!

Клацаем мышкой на MAC-адрес что бы он появился в строке Connect To, в поле Login вводим admin, поле пароля оставляем пустым и нажимаем Connect.

Подключившись идём в меню System – Reset Configuration, выставляем галочки No Default Configuration, Do Not Backup и нажимаем Reset Configuration.

Через некоторое время наш маршрутизатор перезагрузится и снова появится в WinBox, на этот раз уже без IP-адреса. Теперь мы готовы приступить к настройкам.

Снова подключаемся к маршрутизатору и заходим в меню System – Users и добавляем нового пользователя с полными правами.

Выходим из WinBox и подключаемся уже новым пользователем

Снова заходим в System – Users и отключаем старого пользователя. Делается это дабы исключить подбор пароля к вашему роутеру, т.к. практически всем известно имя пользователя по умолчанию. В принципе root для этого тоже не слишком подходит, но для примера пойдёт, вы же придумайте свой логин.

На этом в принципе подготовительную часть можно считать завершённой и далее приступим непосредственно к настройкам.

Сразу оговорюсь что в данном примере я подключение от провайдера буду настраивать на физический пятый порт. Сделано это в целях экономии розетки. У меня роутер установлен далеко от розетки и питание на него я подаю по PoE, PoE-in в моём маршрутизаторе (MikroTik hAP ac²) это первый физический порт (который подписан Internet) и если в него воткнуть шнурок от провайдера то придётся подавать питание через PoE-инжектор – раз розетка, плюс розетка на коммутатор (switch), а раз уж все равно кабель от маршрутизатора тянуть к свитчу, то глупо не задействовать PoE от свитча.

Для тех кто не в курсе – у MikroTik’а нет такого понятия как выделенный WAN-порт как на бытовых маршрутизаторах, тут любой порт может выполнять любую роль. Хоть четырёх провайдеров в него заводите, а пятый порт на свитч ))

В принципе все настройки я старался сделать через bridge, так что никому не помешает потом перетусовать все физичесие порты под свои нужды, на работоспособность это уже никак не повлияет.

Но ближе к делу.

В первую очередь идём в меню Interfaces и отключаем порт ether5, для этого выделяем его и нажимаем на красный крестик. После этого можно безбоязненно подключать к нему кабель от интернет-провайдера. Сделано это что бы исключить попытки вторжения на наше устройство пока оно не настроено. На дальнейшие настройки это никак не повлияет.

Далее идём в меню Bridge и добавляем два моста – bridge1-LAN и bridge2-WAN

Далее открываем там же вкладку Ports и добавляем там порты в наши мосты )) Порты ether1-ether4 и wlan1-wlan2 в бридж bridge1-LAN, порт ether5 соответственно в bridge2-WAN

Затем открываем меню Interfaces и на вкладке Interface List добавляем список ls-LAN-all нажав на кнопку Lists. Затем в данный список добавляем bridge1-LAN

На этом настройка портов и мостов закончена, перейдем к настройке локальной сети ))

Перейдём в меню IP – Addresses и добавим новый адрес (в моём случае это 192.168.253.1, в вашем случае это может быть другой) присвоив его интерфейсу bridge1-LAN. Это и будет адрес нашего маршрутизатора. Адрес нужно добавлять с сетевой маской, так как на скриншоте. В принципе маску можно писать и полной – 192.168.253.1/255.255.255.0

Далее нам нужно настроить DHCP-сервер, который будет назначать IP-адреса сетевым устройствам в нашей локальной сети. Для этого перейдём в меню IP – DHCP Server и воспользуемся там мастером настроек нажав кнопку DHCP Setup. В принципе для типовой конфигурации можно со всем согласиться как есть привязав сервер к интерфейсу bridge1-LAN, единственно я добавил гугловские адреса DNS-серверов. Здесь может быть несколько вариантов – взять DNS-сервера от провайдера, добавить свои, добавить гугловские, настроить DNS-сервер на нашем маршрутизаторе и раздавать его. Последнему варианту будет посвящена отдельная статья, а пока оставим так – пусть будет гугл.

И напоследок переименуем наш DHCP-сервер в dhcp1-LAN, пригодится в будущем.

Начнём с настройки DHCP-клиента, для этого перейдем в меню IP – DHCP Client. Откроем вкладку DHCP Client Options и добавим там новый параметр со следующими значениями:

Name: parameter_request_list Code: 55 Value: 0x010306212A79F9

Затем на вкладке DHCP Client добавляем нового клиента привязав его к интерфейсу bridge2-WAN.

Add Default Route выбираем special_classless, что позволяет получить classless маршрут, так и маршрут по умолчанию в стиле MS.

На вкладке Advanced добавляем DHCP Options: clientid, hostnameи наш parameter_request_list. По поводу последнего параметра – не знаю точно передаёт ли билайн до сих пор что нибудь, но на всякий случай пусть будет, отключить никогда не поздно. Default Route Distance ставим 10.

/ip dhcp-client add add-default-route=special-classless default-route-distance=10 dhcp-options=     clientid,hostname disabled=no interface=bridge2-WAN

Теперь настроим непосредственно L2TP подключение.

Перейдём в меню PPP и добавим L2TP Client. Назовём его l2tp-out1-beeline, Max MTU установим 1460, Max MRU 1500. Затем на вкладке Dial Out заполним поля Connect To: tp.internet.beeline.ru, User: ваш логин выданный провайдером, Password: соответственно ваш пароль, поставим галочку Add Default Route, Default Route Distance: 5, снимем галочки с mschap1 и pap

Выбираем меню Interfaces и переходим на вкладку Interface List, добавляем новый список ls-WAN-all. Затем в этот список добавляем интерфейсы bridge2-WAN и l2tp-out1-beeline

Меню IP – Firewall на вкладке Address Lists добавляем список под названием LocalNet с нашими адресами – 192.168.253.0/24

Добавляем привила firewall. Что бы не пихать сюда кучу картинок напишу все правила скриптом, кто не знает, то просто вводите данные команды в окне терминала (меню New Terminal). Данные правила самые базовые, но на первых порах их должно быть достаточно.

/ip firewall filter add action=accept chain=input connection-state=established,related add action=accept chain=forward connection-state=established,related add action=drop chain=input in-interface-list=ls-WAN-all add action=drop chain=forward connection-state=invalid add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface-list=ls-WAN-all

В результате должно выглядеть так как на скрине ниже, за исключением правил для IPTV, их добавим чуть попозже ))

На этом этапе можно включить отключенный интерфейс ether5 и попробовать что нибудь попинговать из терминала на MikroTik’е

Как видим интернет на маршрутизаторе уже есть и работает, но если попытаться сделать тоже самое с компьютера из локальной сети то ничего не получится, для этого добавим правила NAT

/ip firewall nat add action=masquerade chain=srcnat out-interface-list=ls-WAN-all src-address=192.168.253.0/24

После этого у нас появился интернет и в нашей локальной сети.

Если интернет работает, но некоторые сайты почему то не открываются (не по причине блокировки Роскомнадзором) то можно попробовать добавить правило в Mangle

/ip firewall mangle add action=change-mss chain=forward new-mss=1360 protocol=tcp tcp-flags=syn tcp-mss=1453-65535

IPTV от билайна можно настроить двумя способами. Если вам удобнее протянуть кабель от приставки непосредственно к вашему MikroTik’у, то проще всего добавить ещё один порт в bridge2-WAN, предварительно удалив его из brifge1-LAN и подключить приставку в этот порт, например так:

Всё, больше ничего делать не нужно. Именно поэтому я для WAN сделал отдельный мост, а не настраивал как внешний интерфейс непосредственно порт ether5.

Если же вам удобнее IPTV-приставку подключить в коммутатор (switch), то продолжим настройку.

С официального сайта MikroTik из раздела Software нужно будет скачать Extra packages для своей версии прошивки. В моём случае это файл all_packages-arm-6.45.1.zip, т.к. я для написания данного материала пользуюсь MikroTik hAP ac² (RBD52G-5HacD2HnD).

Из полученного архива нам нужен файл multicast-6.45.1-arm.npk (в вашем случае может быть другой, в зависимости от архитектуры процессора и версии прошивки).

Для установки данного пакета в наш MikroTik нужно в WinBox открыть меню Files и в открывшееся окно просто перетащить нужный нам файл. Вместо того что бы перетаскивать, можно воспользоваться кнопкой Upload или просто сделать Copy-Paste. У меня почему то не получилось сделать это из WinBox и я воспользовался доступом через web-интерфейс, который в принципе почти полностью повторяет функционал WinBox, за исключением естественно возможности подключения по MAC-адресам. Так же для загрузки можно воспользоваться доступом по FTP или SFTP.

Теперь просто перезагрузим роутер – меню Sytem – Reboot и после перезагрузки данный дополнительный пакет будет установлен в систему, убедиться в этом можно перейдя по меню System – Packages

После установки необходимого нам пакета multicast приступим непосредственно к настройкам.

В меню Bridge открываем bridge1-LAN и включаем там IGMP Snooping

Тоже из консоли:

/interface bridge set bridge1-LAN igmp-snooping=yes

Routing – IGMP Proxy – нажимаем кнопочку Setup и устанавливаем параметры Query Interval: 30 секунд и Query Response Interval: 20 секунд, Quick Leave оставляем выключенным.

Из консоли:

/routing igmp-proxy   set query-interval=30s query-response-interval=20s quick-leave=no

Теперь в IGMP Proxy добавляем интерфейс bridge2-WAN с параметрами Alternative Subnets: 0.0.0.0/0, включаем Upstream и интерфейс bridge1-LAN – никаких параметров не меняем.

Из консоли:

/routing igmp-proxy interface add alternative-subnets=0.0.0.0/0 interface=bridge2-WAN upstream=yes add interface=bridge1-LAN

Осталось добавить пару правил в firewall:

/ip firewall filter   add chain=input protocol=igmp action=accept   add chain=forward dst-address=232.0.0.0/5 protocol=udp action=accept

Нужно проследить что бы данные правила были выше первого дропа в цепочке, т.е. правило chain=input protocol=igmp action=accept должно быть выше первого дропа в цепочке input, а правило chain=forward dst-address=232.0.0.0/5 protocol=udp action=accept должно быть выше первого дропа в цепочке forward.

Порядок следования правил в WinBox можно поменять просто перетащив нужное правило на своё место – вверх или вниз. В нашем случае результат будет таким:

Не забывайте к каждому правилу добавлять комментарии, что бы потом не запутаться какое правило за что отвечает.

С настройками IPTV на MikroTik на этом закончим – телевизор показывает ))

В принципе у нас уже всё работает, но необходимо внести ещё парочку мелких изменений в настройки нашего MikroTik.

Отключим все неиспользуемые нами сервисы. Для этого перейдём в меню IP – Services и отключим всё, что мы не используем, а для тех что используем ограничим доступ только из локальной сети:

/ip service set telnet disabled=yes set ftp disabled=yes set www address=192.168.253.0/24 set ssh address=192.168.253.0/24 set api disabled=yes set winbox address=192.168.253.0/24 set api-ssl disabled=yes

И ограничим обнаружение нашего маршрутизатора только в локальной сети:

/ip neighbor discovery-settings set discover-interface-list=ls-LAN-all

Ну и включим поддержку UPnP для устройств и программ поддерживающих данную технологию, например для торрентов, что бы он смог принимать входящие соединения. Если поддержка UPnP не нужна, то лучше данную опцию не включать, т.к. она может нести в себе определённую угрозу вашей сети.

/ip upnp set allow-disable-external-interface=yes enabled=yes /ip upnp interfaces add interface=bridge1-LAN type=internal add interface=bridge2-WAN type=external

На этом часть про базовые настройки маршрутизатора на основе RouterOS можно считать завершённой.

За бортом остались настройки Wi-Fi, настройки DNS и много чего ещё, но это уже тема последующих статей.

Все приведённые примеры использовались и работают на маршрутизаторе MikroTik hAP ac² (RBD52G-5HacD2HnD-TC) с версией RouterOS 6.45.1.

Отдельно хочу сказать огромное человеческое спасибо своему хорошему другу Владу Глазкову, без его подсказок и советов данной статьи просто не было бы.

С благодарностью приму конструктивную критику и замечания в комментариях.

Обновление от 20.07.2019:В настройках DHCP клиента в parameter_request_list добавил получение Classless Static Route Option, правда в моём регионе (Красноярск) билайн кажется “забил” на это (

Обновление от 17.10.2019: В настройках DHCP клиента удалён параметр parameter_request_list и Add Default Route изменён с yes (по умолчанию) на special-classless, что позволяет получать как classless маршруты так и маршрут по умолчанию в стиле MS.

 [Всего голосов: 20 — Общая оценка: 5]

Адрес VPN-сервера Билайн – это виртуальная сеть, которая работает по протоколам IP, РРТР, SSL, L2TP. У каждого канала есть маршрутизатор. У VPN – это WAN. Благодаря комбинированному соединению создается закрытая, защищенная связь. Система работает по принципу «точка-точка».

Что такое VPN

VPN – это тип интернет-соединения. Если сеть будут использовать более чем два устройства, то ей потребуется защита. Сигнал с одного источника попадает во второй, и там замыкает сеть. Именно этот путь называется ВПН. Имя сервера Билайн — L2TP. Этот протокол хорошо кодируется с маршрутизатором данной версии. Благодаря VPN, передача данных полностью защищена. Схема работы: от компьютера к планшету, потом к основному серверу. После исходной точки сигнал продолжает свой путь опять к компьютеру, но уже с обновленной информацией. Например, при вводе запроса.

Крупные компании, такие как Билайн, являются посредником соединения, но с отведенной сетью.

Протоколы ВПН

Билайн L2TP – это один из протоколов, с помощью которого интернет-соединение работает стабильно. Этот вид создан в 1999 году. Он считается самым безопасным из ныне существующих. Работа не такая быстрая, как у аналогов, но стабильная и качественная. SSL – новый вид протокола. Он работает быстрее, но если ввести неверный алгоритм шифрования, соединение будет прервано. Стабильно предоставляет сетевой канал только на базе Windows. РРРТР – устаревший протокол, он небезопасен, хотя поддерживает все операционные системы.

Об интернете от Билайна

Соединение от Билайн работает как отдельная сеть, хотя она зависима от сервера. Особенность VPN-услуги заключается в том, что данные известны только клиенту. Получить сведения можно при наличии верного ключа шифрования. Глобальная настройка позволяет обеспечить полную безопасность информацию, которая передается по сети. Клиенту предлагается следующее:

1. Анонимная работа в интернете.
2. Загрузки любых приложений и сервисов, даже если ip-адрес ресурса находится в другой точке мира.
3. Защищенная работа предприятия с использованием коммуникаций.
4. Легкость настройки и подключения. Если изучить инструкцию, то сделать это сможет любой пользователь самостоятельно.
5. Обеспечение высокой интернет-скорости от Билайн: без атак хакеров, обрывов и сетевого сбоя.

VPN Билайн – это защищенная локальная сеть, созданная для передачи трафика.

Подключение VPN от Билайн

Чтобы настроить домашний интернет потребуется роутер. Для частных лиц следует использовать соединение л2тп. Чтобы провести правильное подключение и настройку, нужно посетить официальный портал Билайн по адресу: https://moskva.beeline.ru. Автоматической настройки не предусмотрено, но создана инструкция по подключению.

Рекомендуем:  Рекомендации для выбора лучшего роутера от Beeline

Как самостоятельно настроить ВПН

Прямое соединение создать проблематично, поскольку требуется создание доменного канала. Настройка производится на основном компьютере, который потом будет раздавать трафик. Пошаговая инструкция:

1. Открыть раздел «Центр управления сетями и общим доступом».
2. Найти вкладку «Создание и настройка нового подключения или сети».
3. Выбрать маршрут: «Подключение к рабочему месту».
4. Если до этого на оргтехнике не проводили установку интернета, система попросит создать новое подключение или нажать пункт: «Использовать мое подключение к интернету (VPN)».
5. Открывшееся окно содержит два пустых поля. Первая строчка – l2tp.internet.beeline.ru. Вторая содержит «Имя объекта», пользователь придумывает его на свое усмотрение. Действия подтверждаются кнопкой «Создать».
6. Вернуться в «Сетевые подключения», чтобы изменить позиции адаптера. Во вкладке «Параметры» выбрать «Билайн».
7. Кликнуть на вкладку правой кнопкой мыши. Выбрать «Свойства» и «Безопасность».
8. В поле «Тип VPN» указать «Протокол L2TP c IPSec pppoe». Эти данные можно найти на ресурсе Билайн.

Если все сделано правильно, то компьютер пройдет авторизацию в сети. Затем вводится логин и пароль.

Проблема может возникнуть из-за роутера, который присоединяется после настройки ВПН. Для билайновского подключение важно приобрести «родной» приемник.

Подключение роутера

Тип подключения к интернету Билайн — L2TP, который указывается в настройках. Чтобы подключать модем и роутер, важно убедиться, что в комплекте присутствуют все кабель. Шнур синего цвета подключается в один из портов WAN, в него вставляется витая пара от интернет-провайдера. Желтый кабель предусмотрен для порта LAN, который соединяется с компьютерной техникой через сетевую плату.

С другими приборами соединение выполняется по беспроводной сети.

Настройка соединения и маршрутизатора Билайн

Когда роутер подключен, нужно проложить маршрут и провести заключительные настройки:

1. Открыть «Сетевые настройки» через кнопку «Пуск».
2. Выполнить переход по пунктам: «Панель Управления», «Сеть и Интернет», «Подключение по локальной сети». В последней вкладке открыть «Свойства».
3. Найти Протокол «TCP/IPv4». Выбрать позиции: «IP автоматически» и «DNS-сервера автоматически».
4. Выполнить вход в браузер. В поисковой строчке указать путь: 192.168.0.1.
5. Ввести имя и пароль, которые указаны на нижней крышке роутера. Чаще всего это: login – admin, password – admin.
6. В меню прибора найти раздел «Network», далее пункт «WAN».
7. Выбрать позицию «L2TP/Russia L2TP». Провести установку личного пароля. Именно с помощью этой вкладки можно блокировать интернет.
8. Указать имя сервера – tp.internet.beeline.ru, если в контракте с провайдером не указано иное.
9. Сохранить настройки.
10. Совершить возврат в раздел «Сеть». В двух полях прописывается: SSID – имя Wi-Fi, защита – WPA2-Personal, шифровка – AES или TKIP.

Рекомендуем:  Как получить интернет от Beeline за 1 рубль

Дополнительно указывается персональный ключ, придуманный пользователем. Он должен состоять из 8 символов. После этого все позиции сохраняются. Остается только провести стандартное подключение к Билайн через вкладку рабочего стола.

Используемые источники:

• http://winetwork.ru/nastrojka-routera/nastroika-beeline-l2tp.html
• https://grib69.ru/2019/07/16/mikrotik-nastrojka-podkljuchenija-l2tp-ot-bilajn/
• https://beelinehelp24.ru/bilajn-internet/adres-vpn-servera