HOME / XPERT ZONE / MikroTik / VPN : คู่มือการตั้งค่า MikroTik ให้ทำงานเป็น L2TP Server เพื่อให้ผู้ใช้งาน VPN เข้ามาผ่าน PC , Mobile

VPN : คู่มือการตั้งค่า MikroTik ให้ทำงานเป็น L2TP Server เพื่อให้ผู้ใช้งาน VPN เข้ามาผ่าน PC , Mobile

ปรับปรุงข้อมูลล่าสุด : 20250924-205824

VPN : คู่มือการตั้งค่า MikroTik ให้ทำงานเป็น VPN Server แบบ L2TP/IPsec

คำถาม

ต้องการเชื่อมต่อ VPN เข้ามาจากภายนอกเข้ามายัง Office โดยให้สิทธิเสมือนเป็น Client ที่อยู่ฝั่ง Office เลย
เดิมใช้ PPTP อยู่แต่ปัจจุบันมือถือบางรุ่น ทั้ง IOS เวอร์ชั่นใหม่ๆไม่ได้รองรับ PPTP แล้ว

คำตอบ

แนะนำลองดู L2TP ครับ ทำ VPN ได้เหมือนกัน ซีเคียวดีกว่า และปัจจุบันใน IOS ก็ยังมี support อยู่ สามารถใช้งานได้


แบ่งเป็นขั้นตอนหลักๆดังนี้ครับ

1. เซต Mikrotik ให้เชื่อมต่อออก Internet ได้ปกติ (ใช้เป็นวง 192.168.100.xxx, Test on Server 192.168.100.254)
2. เซต DDNS ให้ Mikrotik (ใช้เป็นของ Dyndns.org)
3. เซต Service L2TP-Server พร้อมสร้าง User ที่จะเข้ามาผ่าน L2TP/IPsec


1. เซต Mikrotik ให้เชื่อมต่อออก Internet (ใช้เป็นวง 192.168.100.xxx)

1. ทำการเซ็ต Modem ADSL โดยตั้งค่าให้เป็น Bridge

2. ดาวน์โหลดโปรแกรม Winbox เพื่อใช้ในการ config MikroTik --> พื้นฐาน : คู่มือการดาวน์โหลดและติดตั้ง Winbox พร้อมอัพเกรด RouterOS แบบ Extra Package

3. เชื่อมต่อสาย LAN จาก Modem ADSL เข้า Port 1 ของ Mikrotik
และเชื่อมต่อสาย LAN จาก Computer(Admin) เข้า Port 5 ของ Mikrotik

4. เข้าโปรแกรม Winbox แล้วคลิกเลือก mac address MikroTik ที่ broadcast เจอ แล้วกด Connect





5. เลือก Remove Configuration





6. เข้าไปใส่ password ของ admin ใหม่ด้วย
(ป้องกันโดนภายนอกเข้ามาก่อกวนเพราะ default จะไม่มีพาส ทำให้ใครจะเข้ามาก็เข้าได้เลยแค่สแกน ip เจอ)




7. ปิด Port ที่ไม่ได้ใช้งานอื่นๆ
ตัวอย่างเปิดเฉพาะ winbox และ www เปลี่ยนเป็น 81




8. เซตMikrotik เพื่อเชื่อมต่อออกเน็ต
แท็ป General
สร้าง pppoe-out1 เลือก port interface ขา wan ที่เข้ามา





9. แท็ป Dial Out
ใส่ user,pass ของ Internet ที่ได้จากผู้ให้บริการ
เลิอกติ๊ก Use Peer DNS และ Add Default Route




** ถ้า user ,pass ถูกต้อง สถานะของ Status มุมขวาล่างจะขึ้น connected




** ใน address list จะมีขึ้นแสดง IP ขา wan ที่ได้รับมา




10. กำหนด DNS ให้อุปกรณ์
(แนะนำใส่เพิ่มของ google จะเป็น 8.8.8.8, 8.8.4.4)
แล้วติ๊ก Allow Remote Requests





11. ทดสอบ Mikrotik ว่าออกเน็ตได้ไหม
เข้า Terminal แล้ว ping google.com เทสว่าออกเน็ตได้ไหม





12. กำหนด IP Address ให้ ether2




13. สร้าง DHCP server โดยกำหนด IP และ วง network ฯลฯ
























14. เซต NAT Rule ให้อุปกรณ์








15. ใส่ Script DDNS ให้อุปกรณ์
เพิ่มเติมแบบละเอียดได้ที่ Link > 1.15 วิธีการ Remote อุปกรณ์ Mikrotik โดยใช้ DDNS





16. สร้าง Schedules เพื่อทำการ recheck ip public ล่าสุด ตามเวลาที่กำหนด




17. เข้าเว็ป ddns.org เพื่อเช็ค IP ว่า มีการอัพเดรตไหม ( IP ที่อัพเดรต ควรตรงกับ IP ขา WAN ของ Mikrotik )

บนเว็ป ddns.org








18. เซต Time ให้ตัวอุปกรณ์ Mikrotik






2. เซต VPN ให้อุปกรณ์ Mikrotik (ใช้เป็นวง 192.168.10.xxx)


19. เซต IP > Pool ให้ โดยกำหนด rank ที่จะแจกให้ L2TP





20. สร้าง NAT ให้ สำหรับ L2TP












21. สร้าง Firewall Rule Protocol : udp, Port : 1701








22. สร้าง Firewall Rule Protocol : udp, Port : 500








23. สร้าง Firewall Rule Protocol : udp, Port : 4500













24. สร้าง Firewall Rule Protocol : ipsec-ah 51









25. สร้าง Firewall Rule Protocol : ipsec-ah 50













26. สร้าง PPP > Profiles โดยกำหนด IP local และ remote (สามารถ พิพม์เป็น IP เข้าไปได้เลย หรือเลือกใน List ที่เพิ่งสร้างขึ้นมาได้)

แท็ป General




แท็ป Protocols







27. L2TP Server ทำการติ๊ก Enable





28. สร้าง Secrets
โดยกด "+" และทำการสร้าง PPP Secrets กำหนด Pass, เลือก Service: l2tp, เลือก Profile ที่ต้องการ





29. IPsec > Proposals





แท็ป Peer จะแสดงข้อมูลมาให้เราเอง




แท็ป Identities จะแสดงข้อมูลมาให้เราเอง





แท็ป Profiles





สถานนะเวลาผู้ใช้งานเชื่อมต่อเข้า Inastalled SAs





3. เชื่อมต่อ L2TP เข้ามาจากภายนอก (Windows)

สร้างบน WINDOWS 10










Server name or ip address คือขา wan ip ของ mikrotik ที่ได้รับมาหรือถ้าเราทำ ddns ก็ระบุเป็นชื่อ HOsT ได้เลย
Pre-share key คือรหัส Ipsec secret . ที่เราสร้างของ L2tP ที่ mikrotik เพื่อป้องกันการเจาะเข้าระบบได้อีกชั้นนึง
user/pass ชื่อผู้ใช้และรหัสที่้ราให้แต่ละคน





ลองกด Connect VPN ที่สร้างได้เลยถ้าเชื่อมต่อได้ปุ่มจะเปลี่ยนป็น Disconnect











***กรณีที่สร้างแล้วเชื่อมต่อไม่ได้ อาจลอง network reset บน windows ใหม่แล้ว Restart เครื่องรอบนึงดูครับ***







สร้างบน WINDOWS 7














































แสดงสถานะการเชื่อมต่อ














4. เชื่อมต่อ L2TP เข้ามาจากภายนอก (IOS)






















แสดงสถานะการเชื่อมต่อ






***หมายเหตุ****

กรณีเรามี Internet เข้ามามากกว่า 1 เส้น เราต้องสร้างกฏ mangle ให้ผู้ที่เชื่อมต่อข้ามาทางฝั่ง L2TP วิ่งเข้ามาเจอ Local วงภายในก่อนไม่งั้น อาจทำให้ผู้ที่เข้ามาจาก L2TP ไปวนไปออก WAN อื่นแทน ซึ่งจะไม่สามารถเจอวงภายในได้เลย และเอากฏที่เราสร้างไว้ด้านบนสุดของเงื่อนไขด้วย

***กรณีที่เราต้องการ MAP DRIVE เครื่องภายในเวลาเรา VPN เข้ามาแล้วนั้นปกติต้องเรียกผ่าน IP ADDRESS เท่านั้น ถ้าหากต้องการเรียกเป็นชื่อเครื่อง ต้องกำหนดใน HOST เครื่องที่เข้ามาเท่านั้น เพราะ VPN ไม่สามารถส่งชื่อเครื่องของอีกฝั่งมาได้***

ค้นหา notepad คลิกขวาเปิดแบบ run as administrator





เมื่อเปิด notepad แล้วไป open เลิอกแบบ all file -> WIN10(C:) > Windoes > System32 > drivers > etc
เปิดไฟล์ชื่อ hosts ได้เลย





จะเห็น Text ให้เพิ่มข้อความด้านล่างได้เลย อย่างตัวอย่างต้องการให้ชื่อ sys2u ไปหา ip 192.168.10.248 เพราะฉนั้นเราก็ต้องกำหนดชื่อเครื่องให้ตรงกับ ip ที่เราจะค้นหา





ลองค้น \\sys2u





ก็จะวิ่งไปหา ip ที่เรากำหนดใน host ไว้







กรณีต้องการให้เครื่องที่ VPN Client เข้ามาไม่ต้องการให้ออก Internet ที่ Mikrotik ให้แก้ตามนี้ (เฉพาะคอมพิวเตอร์)

เข้าไปตั้งค่าส่วน VPN ที่สร้าง Connection ไว้
more vpn properties -> Edit




เลือกแท็ป Networking และไปที่ Internet protocol Version 4




เลือกแท็ป Advanced




แท็ป IP Settings ให้เอา Use Default gateway on remote Network ออก




หลังจากนั้นเครื่อง Client ที่ VPN เข้าไปก็จะไม่สามารถไปออก Interืnet ที่ฝั่ง mikrotik ที่เป็น VPN Server ได้แล้ว
แต่ก็อาจจะทำให้ไม่สามารถมองเห็น locol ฝั่ง VPN Server ได้เช่นกันอาจต้องทำการ ADD Router ที่เครื่องคอมด้วย
โดยเปิดคำสั้ง command แบบ administrator ขึ้นมาพิมพ์
route -p ADD 192.168.100.0 MASK 255.255.255.0 10.10.10.1 METRIC 10





ตรวจสอบใช้คำสั่ง route print





เพียงเท่านี้เครื่อง Client ก็จะวิ่งไปหาวงฝั่ง server ได้อย่างเดียว ส่วนเวลาออก internet ก็จะไปออกฝั่งเดิมของที่ใช้งาน

จบบทความ

Back to XPERT ZONE