L2TP Mikrotik: настройка. Микротично оборудване

Сега повече компании и техните филиали се опитват да се обединят в една информационна мрежа, така че този въпрос е доста подходящ. Често се изисква да предоставя мрежа за служители от всяка точка на света. Как правилно да се слеят мрежи в тази статия ще бъде обяснено с примера за промяна на параметрите на L2TP. Mikrotik, чиято конфигурация е описана по-долу, се счита за добра възможност за работа както в дома, така и в офиса. Благодарение на функцията hAP lite можете да работите с отдалечен достъп на всеки служител с малко усилия. Работата на маршрутизатора ще позволи да работите в малки офиси, където компанията не поставя твърде високи изисквания.

Доста често в една локална мрежа са офисът и неговите клонове. Те работят със същия доставчик, така че процесът на свързване на сигналите е доста прост. Трябва да се отбележи, че доста често клоновете се намират на голямо разстояние от централния център и един от друг. Най-търсената и актуална в момента технология, наречена Виртуална частна мрежа (VPN). Можете да го приложите по много начини. Не се препоръчва използването на PPTP, защото тази технология е остаряла и OpenVPN. Последният не може да взаимодейства с всички устройства.

L2TP протокол

Поради относителната наличност протоколът L2TP Mikrotik, чиято конфигурация ще бъде описана по-късно, може да работи на много операционни системи. Той се смята за най-известен. Проблеми с него могат да възникнат само когато клиентът е зад NAT. В този случай специалната сигурност ще блокира пакетите си. Има начини за отстраняване на този проблем. Този протокол има своите недостатъци.

Например сигурността и производителността могат да се считат за такива за L2TP. Когато IPSec се използва за подобряване на сигурността, вторият индикатор се намалява. Това е т.нар. Цена на сигурността на данните.

Конфигуриране на сървъра

Главният сървър трябва да има IP адрес със статичен тип. Има негов пример: 192.168.106.246. Този нюанс е много важен, тъй като адресът в никакъв случай не трябва да се променя. В противен случай собственикът и другите потребители ще трябва да използват името DNS и да се занимават с ненужни действия.

Създаване на профили

За да създадете профил, трябва да отидете в секцията за ПЧП. Ще има меню "Профили". След това трябва да създадете потребителския профил, който ще се използва за свързвания тип VPN, т.е. една единствена мрежа. Необходимо е да отбележите и да активирате следните опции: "Промяна на TCP MSS", "Използване на компресия", "Прилагане на шифроване". Що се отнася до последния параметър, той ще приеме стойността по подразбиране. Ние продължаваме да работим с маршрутизатора Mikrotik. Настройките на L2TP и Server са доста сложни, така че трябва да следите всяка стъпка.

След това потребителят трябва да отиде в раздела "Интерфейс". Там трябва да обърнете внимание на L2TP сървъра. Ще се покаже меню с информация, в което трябва да кликнете върху бутона "Активиране". Профилът ще бъде избран по подразбиране, тъй като той е единственият и е създаден малко по-рано. Ако искате, можете да промените типа удостоверяване. Но ако потребителят не разбере това, по-добре е да оставите стандартната стойност. Опцията IPsec трябва да остане неактивна.

След това потребителят трябва да отиде в "Тайните" и да създаде мрежов потребител. В колоната "Сървър" трябва да посочите L2TP. При желание профилът, който ще се използва в Mikrotik, е посочен тук. Конфигурацията на L2TP и Server е почти завършена. Адресите на местен и отдалечен сървър трябва да са еднакви, разликата е само в последните две цифри. Тази стойност е съответно 10.50.0.10 / 11. Ако е необходимо, трябва да създадете допълнителни потребители. Местният адрес остава непроменен, но отдалеченият адрес трябва да бъде увеличен с една стойност.

Конфигуриране на защитната стена

За да работите с унифицираната мрежа, трябва да отворите специален порт като UDP. Той повишава приоритета на правилото и се придвижва по-горе. Това е единственият начин да се постигне добро представяне на L2TP. Настройката на Mikrotik не е лесна, но с определени усилия е реална. След това персонализаторът трябва да отиде в NAT и да добави маскиране. Това се прави така, че компютрите да се виждат в една и съща мрежа.

Добавяне на маршрут

Когато сте направили всички настройки, е създадена отдалечена подмрежа. Тя трябва да съдържа маршрут. Крайната стойност на подмрежата трябва да бъде 192.168.2.0/24. Порталът е адресът на клиента в самата мрежа. Целевият обем трябва да е една. Това завършва всички настройки на сървъра, остава само да се направят клиентски промени в настройките.

Настройване на клиента

Извършвайки по-нататъшни корекции на технологията L2TP в "Microtech", клиентската конфигурация трябва да получи много внимание. Трябва да отидете в секцията "Интерфейс" и да създадете нов клиент от типа L2TP. Трябва да посочите адреса на сървъра и идентификационните данни. Шифроването остава избрано по подразбиране, до опцията на маршрута по подразбиране, трябва да махнете отметката от квадратчето за активиране. Ако всичко е извършено правилно, връзката в L2TP мрежата трябва да се появи след запаметяване. Mikrotik, чиято конфигурация е почти пълна, е отлична възможност за работа с VPN.

Ние проверяваме оперативността на възлите в създадената мрежа. Въведете стойността 192.168.1.1. Връзката трябва да бъде нулирана. Ето защо е необходимо да се създаде нов статичен път пишете. Това е подмрежа от тип 192.168.1.0/24. Gateway - адреса на сървъра за виртуална мрежа. В "Източник" трябва да посочите адреса на потребителската мрежа. След като отново тествате здравето на възлите на т. Нар. Пинг, можете да видите, че връзката се е появила. Все пак компютрите в мрежата не трябва да я виждат още. За да се свържат, трябва да създадете маскиране. То трябва да е напълно подобно на това, което вече е създадено на сървъра. Изходният интерфейс е VPN тип връзка. Ако се изпълнява пинг, всичко трябва да работи. Тунелът е създаден, компютрите могат да се свързват и да работят в решетка. С добрия тарифен пакет е лесно да получите скорост над 50 Mbps. Подобен индикатор може да бъде постигнат само ако технологията бъде изоставена (използвайки L2TP) IPSec в Mikrotik.

На този стандарт настройка на мрежата е завършена. Ако се добави нов потребител, трябва да добавите друг маршрут на устройството му. Тогава устройствата ще се видят. Ако направите маршрут от Client1 и Client2, не е необходимо да променяте настройките на сървъра. Можете просто да създадете маршрути и да настроите портала към мрежовия адрес на противника си.

Конфигуриране на L2TP и IPSec в Mikrotik

Ако трябва да се грижите за сигурността, трябва да използвате IPSec. За да направите това, не създавайте нова мрежа, можете да използвате старата. Имайте предвид, че трябва да създадете този протокол между адреси от тип 10.50.0. Това ще позволи на технологията да работи независимо от това, доколко е насочен клиентът.

Ако има желание да се създаде тунел IPSec в Mikrotik между сървъра и WAN клиента, трябва да се погрижите последният да има външен адрес. Ако е динамичен, ще трябва да промените правилата на протокола, като използвате скриптове. Ако IPSec се използва между външни адреси, тогава като цяло, необходимостта от L2TP ще бъде намалена до минимум.

Проверка на ефективността

Не забравяйте да проверите ефективността в края на настройките. Това се дължи на факта, че при използване на L2TP / IPSec има двойно капсулиране, което означава, че процесорът е силно зареден. Често при създаването на мрежа можете да видите, че скоростта на връзката е бавна. Можете да го увеличите, като създадете около 10 нишки. Процесорът ще бъде зареден почти 100%. Това е основният недостатък на технологията L2TP IPSec в Mikrotik. Това за сметка на изпълнението гарантира максимална сигурност.

За да получите добра работна скорост, трябва да закупите високотехнологично оборудване. Можете също така да изберете маршрутизатор, който поддържа компютъра и RouterOS. Ако има криптиране на хардуерното устройство, производителността ще се подобри значително. За съжаление, евтино оборудване Mikrotik такъв резултат няма.