L2TP Mikrotik: podešavanje. Mikrotik oprema

Sada više tvrtki i njihovih podružnica pokušava se udružiti u jednu informacijsku mrežu, pa je ovo pitanje vrlo relevantno. Također je često potrebno pružiti mrežu zaposlenicima s bilo kojeg mjesta na svijetu. Kako ispravno spojiti mreže u ovom članku objasnit će se primjerom promjena parametara L2TP. Mikrotik, čija je konfiguracija opisana u nastavku, smatra se dobrom opcijom za rad kod kuće i u uredu. Zbog funkcije hAP lite, možete raditi s daljinskim pristupom svakog zaposlenika uz malo napora. Izvedba usmjerivača omogućit će rad u malim uredima, gdje tvrtka ne postavlja prevelike zahtjeve.

Često su u jednoj lokalnoj mreži ured i njegove grane. Oni rade s istim dobavljačem, pa je proces povezivanja signala prilično jednostavan. Treba napomenuti da se često grane nalaze na velikoj udaljenosti od glavnog centra i međusobno. Najviše tražene i relevantne u ovom trenutku tehnologija zove Virtualna privatna mreža (VPN). Možete ga implementirati na mnogo načina. Nije preporučljivo koristiti PPTP jer je ova tehnologija zastarjela i OpenVPN. Potonji ne mogu komunicirati sa svim uređajima.

L2TP protokol

Zbog relativne dostupnosti, L2TP Mikrotik protokol, čija će konfiguracija biti opisana kasnije, sposobna je prikazivati ​​na mnogim operativnim sustavima. Smatra se najpoznatijim. Problemi s njom mogu nastati samo kada je klijent iza NAT-a. U tom će slučaju posebna sigurnost blokirati svoje pakete. Postoje načini za rješavanje ovog problema. Ovaj protokol ima svoje nedostatke.

Na primjer, sigurnost i izvedba mogu se smatrati takvim za L2TP. Kada se IPSec koristi za poboljšanje sigurnosti, drugi pokazatelj se smanjuje. To je takozvana cijena sigurnosti podataka.

Konfiguracija poslužitelja

Glavni poslužitelj mora imati statičku IP adresu. Postoji njegov primjer: 192.168.106.246. Ova nijansa je vrlo važno, jer se adresa ni u kojem slučaju ne bi trebala mijenjati. U suprotnom, vlasnik i drugi korisnici morat će koristiti DNS ime i smetati se nepotrebnim radnjama.

Izrada profila

Da biste izradili profil, morate otići na odjeljak PPP. Bit će izbornik "Profili". Zatim morate stvoriti profil koji će se primijeniti na VPN veze tipa, odnosno jednu mrežu. Potrebno je zapamtiti i omogućiti sljedeće opcije: "Promijeni TCP MSS", "Koristi kompresiju", "Primijeni šifriranje". Što se tiče zadnjeg parametra, ona će preuzeti zadanu vrijednost. I dalje radimo s Mikrotik usmjerivačem. L2TP i postava poslužitelja su prilično složeni, stoga morate pratiti svaki korak.

Zatim, korisnik treba ići na karticu "Sučelje". Trebali biste obratiti pažnju na L2TP poslužitelj. Prikazat će se izbornik s informacijama u kojem trebate kliknuti gumb "Omogući". Profil će biti odabran prema zadanim postavkama, budući da je to jedini i stvoren je malo ranije. Ako želite, možete promijeniti vrstu provjere autentičnosti. Ali ako korisnik to ne razumije, bolje je napustiti standardnu ​​vrijednost. IPsec opcija bi trebala ostati neaktivna.

Nakon toga, korisnik mora ići na "Tajne" i stvoriti mrežnog korisnika. U stupcu "Server" morate navesti L2TP. Ako želite, ovdje se navodi i profil koji će se koristiti u Mikrotiku. Konfiguracija L2TP i Server je gotovo potpuna. Lokalne i udaljene adrese poslužitelja moraju biti jednake, razlika je samo u posljednje dvije znamenke. Ova je vrijednost 10.50.0.10/11. Ako je potrebno, trebate izraditi dodatne korisnike. Lokalna adresa ostaje nepromijenjena, ali daljinsku adresu treba povećati za jednu vrijednost.

Konfiguriranje vatrozida

Da biste radili s jedinstvenom mrežom, morate otvoriti posebnu priključnicu kao što je UDP. To povećava prioritet pravila i pomiče se na gornji položaj. To je jedini način postizanja dobrog L2TP izvedbe. Postavljanje Mikrotika nije lako, ali s određenim naporima to je stvarno. Zatim, konfigurator bi trebao ići u NAT i dodati masquerade. To se radi tako da se računala mogu vidjeti unutar iste mreže.

Dodavanje rute

Pri izradi svih postavki stvorena je udaljena podmreža. Mora sadržavati rutu. Konačna vrijednost podmreže mora biti 192.168.2.0/24. Pristupnik je adresa klijenta u samoj mreži. Ciljni volumen mora biti jedan. Time se dovršavaju sve postavke poslužitelja, ostaje samo da klijentu promijene postavke.

Postavljanje klijenta

Izvođenje daljnjih prilagodbi L2TP tehnologije u "Microtics", konfiguraciju klijenta treba dati veliku pažnju. Morate ići na odjeljak "Sučelje" i stvoriti novi klijent L2TP tipa. Morate navesti adresu poslužitelja i vjerodajnice. Šifriranje je odabrano prema zadanim postavkama, uz opciju zadane rute morate isključiti okvir za aktivaciju. Ako je sve ispravno učinjeno, nakon spajanja treba se pojaviti veza u L2TP mreži. Mikrotik, čija konfiguracija je gotovo potpuna, izvrsna je mogućnost za rad s VPN-om.

Provjeravamo operativnost čvorova u stvorenoj rešetki. Unesite vrijednost 192.168.1.1. Veza se mora resetirati. Zato je potrebno stvoriti novu statična ruta tipa. To je podmreža tipa 192.168.1.0/24. Gateway - adresa virtualnog mrežnog poslužitelja. U "Izvoru" morate navesti adresu korisničke mreže. Nakon ponovnog testiranja zdravlja čvorova tzv. Ping-a, možete vidjeti da se veza pojavila. Međutim, računala u rešetki ne trebaju je još vidjeti. Da bi se povezali, morate stvoriti masquerade. To bi trebalo biti potpuno slično onome što je već stvoreno na poslužitelju. Izlazno sučelje je vrijednost VPN-veze. Ako se implementira ping, sve bi trebalo raditi. Tunel je stvoren, računala se mogu povezati i raditi u mreži. Uz dobar tarifni paket, lako je dobiti brzinu veću od 50 Mbps. Takav pokazatelj može se postići jedino ako je tehnologija napuštena (koristeći L2TP) IPSec u Mikrotiku.

Na ovom standardu postavljanje mreže je dovršen. Ako je dodan novi korisnik, dodajte drugu rutu na svoj uređaj. Onda će se uređaji međusobno vidjeti. Ako napravite rutu od Client1 i Client2, ne morate mijenjati nikakve postavke na poslužitelju. Jednostavno možete stvoriti rute i postaviti pristupnika na mrežnu adresu vašeg protivnika.

Konfiguriranje L2TP i IPSec u Mikrotik

Ako trebate voditi brigu o sigurnosti, trebali biste koristiti IPSec. Da biste to učinili, ne stvarajte novu mrežu, možete koristiti stari. Imajte na umu da ovaj protokol morate stvoriti između adresa vrste 10.50.0. To će omogućiti tehnologiji da radi bez obzira na adresu klijenta.

Ako postoji želja za stvaranjem IPSec tunela u Mikrotiku između poslužitelja i WAN klijenta, morate paziti da potonji ima vanjsku adresu. Ako je dinamičan, morat ćete promijeniti pravila protokola pomoću skripti. Ako se IPSec koristi između vanjskih adresa, općenito će potreba za L2TP biti smanjena na minimum.

Provjera izvedbe

Svakako provjerite izvedbu na kraju postavki. To je zbog činjenice da kada koristite L2TP / IPSec, postoji dvostruko enkapsuliranje, što znači da je CPU jako napunjen. Često pri stvaranju mreže možete vidjeti da je brzina veze spora. Možete ga povećati stvaranjem oko 10 niti. Procesor će biti napunjen gotovo 100%. Ovo je glavni nedostatak L2TP IPSec tehnologije u Mikrotiku. To na trošak izvedbe jamči maksimalnu sigurnost.

Da biste dobili dobru radnu brzinu, morate kupiti opremu visoke tehnologije. Također možete odabrati usmjerivač koji podržava računalo i RouterOS. Ako ima enkripciju hardverske jedinice, performanse će se značajno poboljšati. Nažalost, jeftina oprema Mikrotik takav rezultat neće.