现在，所有的基础安装都已经完成，我们可以好好利用这些功能。今天，我们主要将注意力放在VPN功能上。更确切地说，我们要创建一个L2TP/IPsec VPN服务器。这样一来，用户便可以通过建立的通道远程访问存取文件或者用户也可以用它来安全连接公共网络。而且，我们要配置站点到站点的通道，那么用户的所有网络都可以被连接起来。

　　配置VPN(L2TP)服务器

　　首先，用户要确保自己安装了PPP数据包。这样，就可以在控制台或WinBox界面中找到其菜单。用户可以根据下列步骤，通过WinBox工具让服务器工作起来：

　　1. 点击PPP，选择Secrets选项卡。

　　2. 点击Plus按钮。

　　3. 输入名称和密码。

　　4. 输入一个本地地址(如1.1.1.1)和一个远程地址(1.1.1.2)。

　　5. 点“确认”。

　　现在，可以启用服务器。步骤如下：

　　1. 在PPP主窗口上，选择Interface选项卡。

　　2. 点击L2TP服务器按钮。

　　3. 选定启用的复选框，点“确认”。

　　现在，用户需要添加一个IPsec端点。步骤如下：

　　1. 点击IP>IPsec，选择Peer选项卡。

　　2. 点击Plus按钮。

　　3. 确保Auth Method是预共享密钥。

　　4. 至于Secret，要输入一个密码作为预共享密钥。配置Windows的时候，可稍后再输入该密码。

　　5. 验证Hash Algorithm是否为sha，Encryption Algorithm是3des，二者是Windows默认的。

　　6. 选定Generate Policy复选框。

　　在Windows中创建一个网络连接

　　现在，Windows用户可连接到VPN服务器，用户必须为电脑配置网络连接。下面是在XP系统中的操作步骤：

　　1. 打开网络连接窗口。

　　2. 双击建立新连接的图标，以启动创建向导，然后点击“下一步”。

　　3. 选择将网络连接到My Workspace，然后点击“下一步”。

　　4. 选择虚拟专有网络连接，点击“下一步”。

　　5. 输入公司名称，该名称也是新连接的名称，点击“下一步”。

　　6. 输入RouterOS服务器的IP地址，点“完成”。

　　7. 在弹出的连接窗口中，点击属性，选择安全选项卡。

　　8. 点击IPsec设置按钮，选择Use Pre-Shared Key For Authentication复选框，输入与创建预共享密钥时相同的密码，然后点击“确认”。

　　9. 在属性窗口中，选择联网选项卡，然后选择L2TP IPsec VPN选项。

　　10. 点“确认”，保存属性更改。

　在Windows中配置IPsec设置

　　用户必须在连接前就在操作系统中配置IPsec设置，以XP系统为例：

　　1. 点“开始”菜单>运行，输入mmc，确认。

　　2. 点击“文件”添加IP安全策略管理嵌套式管理单元> 添加/删除嵌套式管理单元。

　　3. 在新添加的嵌套式管理单元窗口中，选择Action>创建IP安全策略。

　　4. 在向导中，点“下一步”。

　　5. 点“下一步”接受默认名称。

　　6. 不选定激活默认响应规则，点“下一步”。

　　7. 选定“编辑”属性，点“完成”。

　　开启弹出的属性窗口，步骤如下：

　　1. 点“添加”。

　　2. 在向导上，选择“下一步”。

　　3. 选定This Rule Does Not Specify A Tunnel选项，选择“下一步”。

　　4. 选择局域网，然后点“下一步”。

　　5. 选择Use This String To Protect The Key Exchange，输入和此前在RouterOS上创建的相同预共享密钥，点下一步。

　　6. 选择“添加”，创建一个新的IP过滤列表。

　　7. 选择“添加”，按向导提示操作，选择My IP Address作为起点，再选择RouterOS的IP地址作为终点。

　　8. 在新IP过滤列表的窗口中，点“确认”。

　　9. 选择刚刚创建的新IP过滤列表，点“下一步”。

　　10. 选择Require Security，点“下一步”。

　　11. 不选定“属性”选项，点“完成”。

　　现在，用户要开启控制台上的服务嵌套式管理单元，这样便可以重启IPsec服务。随后，可回到IP安全策略嵌套式管理单元，右键单击新策略，选择指派。如此，用户应该可以连接VPN了。

　　创建站点到站点的通道

　　现在，用户可以在两台RouterOS电脑间创建一个IPsec VPN通道。这一方法非常适用于那些拥有多间办公室或多个网络接入点的用户以及那些希望在网络间实现共享的用户。首先，用户要用命令行中以SRC-NAT配置接受和伪装规则。

　　对于路由一：

　　ip firewall nat add chain=srcnat src-address=10.1.0.0/24 dst-address=10.2.0.0/24

　　ip firewall nat add chain=srcnat out-interface=public action=masquerade

　　路由二是：

　　ip firewall nat chain=srcnat add src-address=10.2.0.0/24 dst-address=10.1.0.0/24

　　ip firewall nat chain=srcnat add out-interface=public action=masquerade

　　现在，必须分别为其配置IPsec设置。

　　路由一：

　　ip ipsec policy add src-address=10.1.0.0/24 dst-address=10.2.0.0/24action=encrypt tunnel=yes sa-src-address=1.0.0.1 sa-dst-address=1.0.0.2

　　ip ipsec peer add address=1.0.0.2 exchange-mode=aggressive secret="gvejimezyfopmekun"

　　路由二：

　　ip ipsec policy add src-address=10.2.0.0/24 dst-address=10.1.0.0/24 action=encrypt tunnel=yes sa-src-address=1.0.0.2 sa-dst-address=1.0.0.1

　　ip ipsec peer add address=1.0.0.1 bexchange-mode=aggressive secret="gvejimezyfopmekun"