Apple ekosisteminde yer alan MacOS X Sierra, High Sierra, Mojave, Catalina, Big Sur ve Monterey işletim sistemleri, mobil tarafta ise iOS 10,11,12,13,14, ve 15 sürümleri artık güvensiz olarak kabul edilen PPTP VPN iletişim protokolü yerine daha güvenli iletişim imkanı sağlayan IPSec destekli L2TP VPN protokolünü kullanmayı şart koşuyor. Bu yazımızda MikroTik RouterOS işletim sistemine sahip cihazların Router olarak kullanıldığı altyapılarda, IPSec destekli L2TP VPN ayarlarının nasıl yapıldığını anlatacağız.
NOT : Dökümanımızdaki anlatım RouterOS V6.44 ve sonraki sürümler için geçerlidir. İşlemlere başlamadan önce cihazınızın V6.44 veya daha yeni bir sürümde olduğundan emin olun.
L2TP sunucumunuzun ve VPN bağlantısı için kullanılacak hesapların varsayılan ağ geçidi, DNS gibi bilgilerini belirlemek için Winbox veya Webfig yardımı ile örnek resimdeki gibi bir VPN Profili oluşturabilir ya da, aşağıdaki kodu kendinize göre düzenleyip New Terminal’e yapıştırarak hızlıca bir VPN Profili oluşturabilirsiniz.
Oluşturulan VPN profilinde kullanılacak ”local address” kısmı VPN Ağınızın varsayılan ağ geçidini temsil eder, buraya, Router’ınız üzerinde kullanılmayan bir IP adresi yazmanızı öneririz, örneğimizde varsayılan ağ geçidi olarak ”192.168.254.1′‘ ip adresini kullanacağız, Profil içerisine VPN kullanıcılarının alan adı çözme işlemlerinde sorun yaşamaması için bir DNS adresi de yazılması gerekiyor, örneğimizde ”DNS Server” kısmında hiç bir operatör tarafından engellenmeyen Google DNS adreslerini (8.8.8.8,8.8.4.4) kullandık.
Profilimizi oluşturduktan sonra, L2TP Sunucumuzun etkinleştirme işlemini ”PPP > Interfaces” menüsünde yer alan ”L2TP Server” butonundan üstte yer alan resimdeki gibi yapın, veya etkinleştirmek için aşağıdaki kodu kullanın.
/interface l2tp-server server set enabled=yes default-profile=L2TP-PROFIL authentication=mschap1,mschap2
IP > IPSec > Policies > Default Rule > General Sekmesi Ayarları
IP > IPSec > Policies kısmında yer alan mavi renkli varsayılan IPSec kuralının yukarıdaki resimlerdeki gibi ayarlanmış olduğundan emin olun, ya da aşağıdaki kod yardımı ile varsayılan kural ayarlarını olması gerektiği gibi güncelleyebilirsiniz.
IP > IPSec >Identities Menüsünde mavi ”+” butonuna basın ve açılan pencerede yer alan ”Peer” kısmından, bir önceki adımda oluşturduğunuz ”Peer” kuralını seçin, ”Auth Method” seçeneğini ”Preshared Key” olarak değiştirin, ”Sercet” kısmına güçlü bir paylaşılan şifre yazın, ”My ID Type” ve ”RemoteID Type” seçeneğini ”Auto” olarak ayarlayın ve son olarak ”Generete Policy” seçeneğini ”port override” olarak değiştirip ayarları kaydedin, ya da aşağıdaki kod yardımı ile ayarları otomatik olarak ekleyin.
Sorunsuz bir bağlantı için, IP > IPSec > Proposals > Default kuralı içerisindeki şifreleme ayarlarını ”Auth Algorithms” seçeneğini ”sha1”, ”Encr. Algorithms” seçeneğini ”3des”, ”PFS Group” seçeneğini ”modp1024” olarak elle değiştirin veya, düzenlemeyi aşağıdaki kod yardımı ile tek seferde gerçekleştirebilirsiniz.
/ip ipsec proposal set default auth-algorithms=sha1 enc-algorithms=3des pfs-group=modp1024
PPP > Secrets > Yeni Kullanıcı Ekleme İşlemi
PPP > Secrets menüsündeki mavi ”+” butonu ile güçlü şifreye sahip bir kullanıcı adı oluşturun, ”Service”kısmını ”l2tp” olarak değiştirin, ”Profile” kısmından anlatımımızın başında oluşturduğunuz profili seçin, ”Remote address” kısmına PPP profili oluştururken kullandığınız varsayılan IP adresi ile aynı blokta, kullanılmayan bir IP adresi ekleyin (örnekte 192.168.254.2 ip adresi kullanılmıştır.) ve ayarları kaydedin. Ya da kullanıcı ekleme işlemini aşağıdaki kod yardımı ile hızlıca gerçekleştirebilirsiniz.
IP > Firewall > Filter Rules menüsünde, dışarıdan gelen bağlantıları filtreleyen mevcut kurallarınız varsa, bu kuralların üzerinde yer alacak biçimde ”1701,500,4500” UDP portlarına ve ”ipsec-esp”protokolüne izin veren kurallar eklemelisiniz, ya da aşağıdaki kodları kullanarak her iki izin kuralını da ekleyip, kuralları Filter Rules menüsünde yer alan kuralların en üstüne taşıyabilirsiniz.
paylaşılan içeriklere ulaşabilmesi ve internete çıkabilmesi için, IP > Firewall > Nat menüsüne L2TP profili ve kullanıcı adında kullandığımız IP bloğu için Masquerade kuralı eklemelisiniz. Bu kuralı kolay bir şekilde uygulamak için aşağıdaki kodu kullanabilirsiniz.
”Kimlik Doğrulama” Butonuna tıklayın ve parola kısmına, VPN kullanıcı adı‘nı oluştururken belirlediğiniz şifre‘yi girin, ”Paylaşılan Sır” kısmına ise ”IP > IPSec > Identities” kısmında belirlediğiniz güçlü şifreyi girin, ve tamam butonuna tıklayın,
Ayarları tamamlamak için ”Ağ” Sekmesindeki ”Uygula” butonuna tıklayın.
iOS için L2TP VPN Ayarı
Ayarlar kısmından VPN başlığına girin,
VPN Konfigurasyonu Ekle butonuna tıklayın,
Tür kısmını L2TP olarak değiştirin,
Sunucu kısmına VPN kurulumu yaptığınız Router’in Statik IP adresi‘ni yazın,
Hesap Kısmına VPN Kullanıcı adı’nızı, Şifre kısmına VPN Şifreniz’i, Sır kısmına ise ”IP > IPSec > Identities kısmında belirlediğiniz güçlü şifreyi girin, ve bitti butonuna tıklayın,
Bağlanmak istediğiniz VPN adını seçin, ve bağlan butonuna tıklayın.
MikroTik L2TP IPSec VPN Nasıl Kurulur?
Makale İçeriği
1- Adım PPP Profili Oluşturma
2- L2TP Sunucuyu Etkinleştirme
4- Firewall, Filter Rules ve NAT Ayarları
5- MacOS X için L2TP VPN Ayarı
iOS için L2TP VPN Ayarı