L2TP Mikrotik: iestatījums. Mikrotik Aprīkojums

Tagad arvien vairāk uzņēmumu un to filiāļu mēģina apvienot vienā informācijas tīklā, tādēļ šis jautājums ir diezgan nozīmīgs. Tāpat bieži vien ir nepieciešams nodrošināt darbinieku tīklu no jebkuras vietas pasaulē. Šajā rakstā tiks izskaidrots veids, kā pareizi apvienot tīklus ar L2TP parametru mainīšanas piemēru. Mikrotik, kura konfigurācija ir aprakstīta zemāk, tiek uzskatīta par labu iespēju strādāt gan mājās, gan birojā. Sakarā ar funkciju HAP Lite, jūs varat strādāt ar katra darbinieka attālo piekļuvi ar mazu piepūli. Maršrutētāja veiktspēja ļaus strādāt nelielos birojos, kur uzņēmums nenosaka pārāk augstas prasības.

Diezgan bieži vienā vietējā tīklā ir birojs un tā filiāles. Viņi strādā ar vienu un to pašu pakalpojumu sniedzēju, tāpēc signālu savienošanas process ir diezgan vienkāršs. Jāatzīmē, ka diezgan bieži filiāles atrodas lielā attālumā no galvenā centra un viens no otra. Patlaban visvairāk pieprasītā un atbilstošā tehnoloģija ir virtuālais privātais tīkls (VPN). Varat to īstenot daudzos veidos. Nav ieteicams izmantot PPTP, jo šī tehnoloģija ir novecojusi, un OpenVPN. Pēdējais nevar mijiedarboties ar visām ierīcēm.

L2TP protokols

Pateicoties relatīvai pieejamībai, Mikrotik L2TP protokols, kura konfigurācija tiks aprakstīta vēlāk, var darboties daudzās operētājsistēmās. Viņš tiek uzskatīts par slavenāko. Problēmas ar to var rasties tikai tad, ja klients ir aiz NAT. Šajā gadījumā īpašā drošība bloķēs tā paketes. Ir veidi, kā novērst šo problēmu. Šim protokolam ir trūkumi.

Piemēram, drošību un veiktspēju var uzskatīt par tādu kā L2TP. Kad drošības uzlabošanai izmanto IPSec, otrais rādītājs tiek samazināts. Šī ir tā saucamā datu drošības cena.

Servera konfigurācija

Galvenajam serverim ir jābūt statiska tipa IP adresei. Ir viņa piemērs: 192.168.106.246. Šī nianse ir diezgan svarīga, jo adrese nekādā gadījumā nedrīkst mainīties. Pretējā gadījumā īpašniekam un citiem lietotājiem būs jāizmanto DNS vārds un jāizvairās no nevajadzīgām darbībām.

Profilu izveidošana

Lai izveidotu profilu, jums jāiet uz PPP sadaļu. Tiks atvērta izvēlne "Profili". Tālāk jums ir jāizveido profils, kas tiks piemērots VPN tipa savienojumiem, ti, vienam tīklam. Ir nepieciešams atzīmēt un iespējot šādas iespējas: "Mainīt TCP MSS", "Izmantot saspiešanu", "Piemērot šifrēšanu". Attiecībā uz pēdējo parametru tas aizņems noklusējuma vērtību. Mēs turpinām strādāt ar Mikrotik maršrutētāju. L2TP un servera iestatījumi ir diezgan sarežģīti, tāpēc jums ir jāuzrauga katrs solis.

Tālāk lietotājam ir jādodas uz cilni "Interfeiss". Tur jums vajadzētu pievērst uzmanību L2TP serverim. Tiek parādīta informācijas izvēlne, kurā jums vajadzētu noklikšķināt uz pogas Iespējot. Profils tiks atlasīts pēc noklusējuma, jo tas ir vienīgais un tika izveidots nedaudz agrāk. Ja vēlaties, varat mainīt autentifikācijas veidu. Bet, ja lietotājs to nesaprot, labāk atstāt standarta vērtību. IPsec opcijai vajadzētu palikt neaktīviem.

Pēc tam lietotājam jādodas uz "Secrets" un jāizveido tīkla lietotājs. Slejā "Serveris" ir jānorāda L2TP. Ja vēlaties, šeit tiek norādīts profils, kas tiks izmantots mikrotikā. L2TP un servera konfigurācija ir gandrīz pabeigta. Vietējām un attālo serveru adresēm jābūt vienādām, atšķirība ir tikai pēdējos divos ciparus. Šī vērtība ir attiecīgi 10.50.0.10.11. Ja nepieciešams, jums ir jāveido papildu lietotāji. Vietējā adrese nemainās, bet attālā adrese jāpalielina par vienu vērtību.

Ugunsmūra konfigurēšana

Lai strādātu ar vienoto tīklu, nepieciešams atvērt īpašu UDP porta veidu. Tas izvirza noteikuma prioritāti un virzās uz iepriekš minēto pozīciju. Tas ir vienīgais veids, kā sasniegt labu L2TP veiktspēju. Mikrotik uzstādīšana nav viegla, bet ar zināmām pūlēm tā ir reāla. Pēc tam pielāgotājam vajadzētu ieiet NAT un pievienot maskēties. Tas tiek darīts tā, lai datori tiktu rādīti vienā un tajā pašā tīklā.

Maršruta pievienošana

Veicot visus iestatījumus, izveidots attālais apakštīkls. Tajā jāietver maršruts. Apakšnodaļas gala vērtība ir 192.168.2.0/24. Vārteja ir klienta adrese tīklā. Mērķa apjoms ir viens. Tas aizpilda visus servera iestatījumus, bet tikai lai klientam veiktu izmaiņas iestatījumos.

Klienta konfigurēšana

Veikt L2TP tehnoloģiju turpmāku pielāgošanu "Microtics", klienta konfigurācijai jāpievērš liela uzmanība. Jums ir jādodas uz sadaļu "Interface" un jāizveido jauns L2TP tipa klients. Jums ir jānorāda servera adrese un akreditācijas dati. Pēc noklusējuma šifrēšana tiek izvēlēta blakus noklusējuma maršruta opcijai, jums ir noņemt atzīmi no aktivizācijas lodziņa. Ja viss ir izdarīts pareizi, pēc saglabāšanas savienojumam L2TP tīklā vajadzētu parādīties. Mikrotik, kura konfigurācija ir gandrīz pabeigta, ir lieliska iespēja strādāt ar VPN.

Mēs pārbaudām mezglu efektivitāti izveidotajā tīklā. Ievadiet vērtību 192.168.1.1. Savienojums ir jānomaina. Tieši tāpēc jums ir jāizveido jauns statiskā tipa maršruts. Tas ir 192.168.1.0/24 tipa apakštīkls. Gateway - virtuālā tīkla servera adrese. Sadaļā "Avots" jānorāda lietotāja tīkla adrese. Pēc tam, kad atkārtojāt tā saukto ping mezglu veselību, jūs varat redzēt, ka savienojums ir parādījies. Tomēr datoriem tīklā tas vēl neesat redzams. Lai viņi varētu izveidot savienojumu, jums ir jāizveido maskēšana. Tam vajadzētu būt pilnīgi līdzīgam servera jau izveidotajam. Izvades saskarne ir VPN tipa savienojuma vērtība. Ja ping tiek ieviests, viss ir jādarbojas. Tunnel ir izveidots, datori var savienot un strādāt tīklā. Izmantojot labu tarifu paketi, ir viegli iegūt ātrumu vairāk nekā 50 Mb / s. Šādu indikatoru var sasniegt tikai tad, ja tehnoloģija tiek pārtraukta (izmantojot L2TP) IPSec Mikrotikā.

Tas aizpilda standarta tīkla iestatījumu. Ja pievienojat jaunu lietotāju, savā ierīcē vajadzētu pievienot citu maršrutu. Tad ierīces redzēs viens otru. Ja veicat maršrutu no Client1 un Client2, jums nav jāmaina servera iestatījumi. Varat vienkārši izveidot maršrutus un iestatīt vārti uz jūsu pretinieka tīkla adresi.

Mikrotik konfigurēšana L2TP un IPSec

Ja jums jārūpējas par drošību, tad jums vajadzētu izmantot IPSec. Lai to izdarītu, nerādiet jaunu tīklu, varat izmantot veco. Ņemiet vērā, ka jums ir nepieciešams izveidot šo protokolu starp 10.50.0 tipa adresēm. Tas ļaus tehnoloģijai strādāt neatkarīgi no klienta adreses.

Ja jūs vēlaties izveidot IPSec tuneli Mikrotik starp serveri un WAN klientu, jums ir jāpārliecinās, ka tai ir ārējā adrese. Ja tas ir dinamisks, tad jums būs jāmaina protokola politika, izmantojot skriptus. Ja IPSec tiek izmantots starp ārējām adresēm, kopumā L2TP nepieciešamība tiks samazināta līdz minimumam.

Veiktspējas pārbaude

Noteikti pārbaudiet veiktspēju iestatījumu beigās. Tas ir saistīts ar faktu, ka, izmantojot L2TP / IPSec, ir dubultā iekapsulēšana, kas nozīmē, ka CPU ir lielā slodze. Bieži veidojot tīklu, jūs varat redzēt, ka savienojuma ātrums ir lēns. Varat to palielināt, izveidojot apmēram 10 pavedienus. Procesors tiks ielādēts gandrīz 100%. Šis ir galvenais L2TP IPSec tehnoloģiju trūkums Mikrotikā. Tas uz ekspluatācijas rēķina garantē maksimālu drošību.

Lai iegūtu labu darba ātrumu, jums jāiegādājas augsto tehnoloģiju aprīkojums. Varat arī izvēlēties maršrutētāju, kas atbalsta datoru un RouterOS. Ja tā ir aparatūras vienības šifrēšana, tad sniegums ievērojami uzlabosies. Diemžēl lēts aprīkojums Mikrotik šāds rezultāts nebūs.