Mikrotik deve ter um IP de Internet real a uma determinada interface. Se ele estiver localizado atrás de NAT, o modem que fornece acesso à Internet deve ser capaz de encaminhar pacotes IPSec-ESP.
Configuração padrão da rede INTERNA:
LAN: 192.168.1.1/24
Se o seu Mikrotik está por trás de um modem de Internet que não encaminha IPSec-ESP, então você deve parar aqui.
Seu smartfone Android deve estar na versão 4 ou mais recente, a fim de fazer funcionar o L2TP/IPsec. O cliente Android suporta os seguintes :
Authentication algorithm : sha1
Encryption algorithm : 3des
Diffie-Hellman : Group2 (modp1024)
Vamos criar os usuários e definir os ips de cada um:
/ppp secret add local-address=192.168.1.1 name=jviana password=123 profile=default-encryption remote-address=192.168.1.10
Vamos ativar o servidor L2TP
/interface l2tp-server server set authentication=mschap1,mschap2 default-profile=default enabled=yes ipsec-secret=ABCDEFG use-ipsec=required
Uma vez que o servidor L2TP é activado, temos de definir o emparelhamento de IPSec e também a política IPSec predefinida. Aviso: Em versões mais recentes do RouterOS, generate-policy definido como yes Não é suportada. Neste caso, basta usar generate-policy=port-override
Configurações do IPSEC
/ip ipsec peer profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=3des
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
/ip ipsec peer
add address=0.0.0.0/0 generate-policy=port-override passive=yes secret=ABCDEFG
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0
Próximas etapas :
Se o nosso Mikrotik tem IP de Internet real para uma interface e temos habilitado firewall, devemos permitir que o UDP nas portas :
500 UDP
1701 UDP
4500 UDP
E Protocol 50: ipsec-esp
Para o cliente Android, temos de definir o seguinte :
Name : Home VPN
Type : L2TP/IPSec PSK
Server address : real ip address of mikrotik
IPSec pre-shared key : o valor que você definiu em “ipsec-secret=ABCDEFG”
Boa sorte.