L2TP Mikrotik: настройки. Микротиково оборудване

Все повече компании и техните филиали сега се борят да се обединят в една информационна мрежа, така че въпросът е доста уместен. Също така често е необходимо да се осигури мрежа за служители от всяка точка на света. В тази статия е обяснено как правилно да се интегрират мрежите като пример за промяна на настройките на L2TP. Микротик, чието разположение е описано по-долу, се счита за добър вариант за работа както в дома, така и в офиса. Благодарение на функцията hAP lite можете лесно да работите с отдалечения достъп на всеки служител. Производителността на маршрутизатора ще ви позволи да работите в малки офиси, където компанията не поставя твърде много изисквания.


Много често един офис и неговите филиали се намират в една локална мрежа. Те работят със същия доставчик, така че процесът на свързване на сигнала е доста прост. Трябва да се отбележи, че много често клоните се намират на голямо разстояние от главния център и един от друг. Най-търсената и актуална технология в момента се нарича Виртуална частна мрежа (VPN). Тя може да бъде изпълнена по много начини. Не се препоръчва използването на PPTP, тъй като тази технология е остаряла и OpenVPN. Последните няма да могат да взаимодействат с всички устройства.

L2TP протокол

Поради относителната достъпност на протокола L2TP Mikrotik, чиято конфигурация ще бъде описана по-долу, може да работи на много операционни системи. Смята се, че е най-известният. Проблеми с тях могат да възникнат само когато клиентътще бъде зад NAT. В този случай специалната сигурност ще блокира пакетите. Има начини да разрешите този проблем. Този протокол също има своите недостатъци.


Например, сигурността и производителността могат да се разглеждат като такива в L2TP. Когато използвате IPSec за повишаване на сигурността, вторият индикатор намалява. Това е така наречената цена на данните за сигурността.

Настройки на сървъра

Главният сървър трябва да има статичен IP адрес. Пример за това е: 192168106.246. Този нюанс е много важен, тъй като адресът по никакъв начин не трябва да се променя. В противен случай собственикът и другите потребители ще трябва да използват DNS името и да се натоварят с ненужни действия.

Създаване на профили

За да създадете профил, трябва да отидете в секцията PPP. Ще има меню "Профили". След това трябва да създадете профил, който да се прилага за VPN връзка, т.е. една мрежа. Необходимо е да се отбележат и да се включат следните опции: «Промяна на TCP MSS», «Използване на компресия», «Прилагане на криптиране». Що се отнася до последния параметър, той ще приеме стойността по подразбиране. Продължаваме да работим с маршрутизатора Mikrotik. Настройките на L2TP и Server са доста сложни, така че трябва да следите всяка своя стъпка.
След това потребителят трябва да отиде в раздела "Интерфейс". Там трябва да обърнете внимание на L2TP сървъра. Появява се информационно меню, в което трябва да кликнете върху бутона "Активиране". Профилът ще бъде избран по подразбиране, тъй като е уникален и създаден малко по-рано. Ако искате, можете да промените типаудостоверяване. Но ако потребителят не разбира това, най-добре е да остави стойността по подразбиране. Опцията IPsec трябва да остане неактивна.
След това потребителят трябва да отиде в "Тайните" и да създаде потребителска мрежа. В колоната "Сървър" трябва да посочите L2TP. Ако желаете, профилът, който ще се използва в Mikrotik, се посочва незабавно. Настройките на L2TP и Server са почти завършени. Адресите на локалния и отдалечения сървър трябва да са еднакви, само с две последни цифри. Тази стойност е съответно 10500.10 /11. Ако е необходимо, трябва да създадете допълнителни потребители. В същото време локалният адрес остава непроменен, но отдалеченият трябва да бъде постепенно увеличен с една стойност.

Настройки на защитната стена

За да работите с унифицираната мрежа, трябва да отворите специален UDP порт. Той повдига приоритета на правилото и се придвижва до позицията по-горе. Само така може да работи добра L2TP. Конфигурацията на Mikrotik не е лесна, но с малко усилия е истинска. След това инсталаторът трябва да влезе в NAT и да добави маскарад. Това се прави, за да се гарантира, че компютрите са видими в същата мрежа.

Добавяне на маршрут

По време на всички настройки е създадена отдалечена подмрежа. Там трябва да се регистрира маршрутът. Крайната стойност на подмрежата трябва да бъде 1921682.0 /24. В този случай шлюзът служи като адрес на клиента в самата мрежа. Целевият обем трябва да е равен на единица. При това всички настройки на сървъра свършиха, оставяйки само клиентски променипараметри.

Конфигурация на клиента

Когато настройвате технологията L2TP MicroTech, трябва да се обърне много внимание на конфигурациите на клиента. Трябва да отидете в раздела "Интерфейс" и да създадете нов L2TP клиент. Трябва да посочите адреса на сървъра и идентификационните данни. Криптирането е избрано по подразбиране, трябва да премахнете проверката за активиране до опцията по подразбиране за маршрут. Ако всичко е направено правилно, то след записа трябва да имате връзка в L2TP мрежата. Mikrotik, чиято конфигурация е почти завършена, е чудесен начин да работите с VPN.
Проверяваме работата на възлите в създадена мрежа. Въведете стойността 1921681.1. Връзката трябва да бъде нулирана. Ето защо трябва да създадете нов маршрут от статичен тип. Това е подмрежа от тип 1921681.0 /24. Gateway е адресът на виртуалния мрежов сървър. В "Източник" трябва да посочите мрежовия адрес на потребителя. След повторна проверка на функционирането на възлите на т.нар. Ping, можете да видите, че връзката се е появила. Въпреки това, компютрите в мрежата все още не трябва да го виждат. За да се свържат, трябва да създадете маскарад. Тя трябва да бъде напълно подобна на вече създадената на сървъра. Интерфейсът източник в този случай има значението на VPN-тип връзка. Ако пингът е изпълнен, всичко трябва да работи. Създава се тунел, компютрите могат да се свързват и работят в мрежа. С добър тарифен пакет скоростта на скоростта е над 50 Mbps в секунда. Този индикатор може да бъде постигнат само чрез отхвърляне на технологията IPSec (когато се използва L2TP)Mikrotik.
Стандартната мрежова настройка вече е завършена. Ако добавите нов потребител, трябва да добавите друг маршрут към неговото устройство. След това устройствата ще се виждат. Ако има прехвърляне на маршрут от Client1 и Client2, настройките на сървъра не трябва да се променят. Можете просто да създавате маршрути и шлюзът може да посочи адреса на мрежата на противника.

Конфигуриране на L2TP и IPSec в Mikrotik

Ако трябва да се грижите за сигурността, трябва да се използва IPSec. Не е необходимо да създавате нова мрежа за това, можете да използвате старата. Имайте предвид, че е необходимо да се създаде този протокол между адреси от тип 10500. Това ще позволи на технологията да работи независимо от адреса на клиента. Ако има желание да се създаде IPSec тунел в Mikrotik между сървъра и WAN клиента, тогава трябва да се уверите, че последният има външен адрес. Ако е динамичен, тогава ще е необходимо да промените политиката на протокола с помощта на скриптове. Ако IPSec се използва между външни адреси, то като цяло, нуждата от L2TP ще бъде намалена до минимум.

Проверка на производителността

Наложително е да се провери изпълнението в края на настройката. Това се дължи на факта, че при работа с L2TP /IPSec има двойно тип капсулиране, което означава, че централният процесор е силно натоварен. Често, когато създавате мрежа, можете да видите, че скоростта на връзката пада. Можете да го увеличите, като създадете около 10 потока. Процесорът ще се зареди с почти сто процента. Това е основният недостатък на L2TP IPSec технологията в Mikrotik. Тя е в опасностпроизводителността осигурява максимална безопасност.
За да получите добра скорост, трябва да закупите високотехнологично оборудване. Можете също да изберете маршрутизатор, който поддържа компютъра и RouterOS. Ако има хардуерен блок за криптиране, тогава производителността значително ще се подобри. За съжаление евтиното оборудване на Mikrotik няма да даде този резултат.

Свързани публикации