L2TP Mikrotik: nastavenia. Mikrotikové vybavenie

Čoraz viac spoločností a ich pobočiek sa teraz usiluje o zjednotenie do jednej informačnej siete, takže otázka je celkom relevantná. Často sa vyžaduje, aby poskytovala sieť pre zamestnancov z celého sveta. Ako správne integrovať siete je vysvetlené v tomto článku ako príklad zmeny nastavenia L2TP. Mikrotik, ktorého nastavenie je popísané nižšie, sa považuje za dobrú voľbu pre prácu doma aj v kancelárii. Vďaka funkcii hAP lite môžete bez námahy pracovať so vzdialeným prístupom každého zamestnanca. Produktivita smerovača vám umožní pracovať v malých kanceláriách, kde spoločnosť nekladie príliš veľa požiadaviek.


Často sa jedna kancelária a jej pobočky nachádzajú v jednej miestnej sieti. Pracujú s rovnakým poskytovateľom, takže proces pripojenia signálu je veľmi jednoduchý. Treba poznamenať, že pomerne často sa pobočky nachádzajú vo veľkej vzdialenosti od hlavného centra a od seba. Najžiadanejšia a najnovšia technológia sa v súčasnosti nazýva Virtuálna privátna sieť (VPN). Môže byť implementovaný mnohými spôsobmi. Neodporúča sa používať PPTP, pretože táto technológia je zastaraná a OpenVPN. Títo nemôžu komunikovať so všetkými zariadeniami.

protokol L2TP

Vzhľadom na relatívnu dostupnosť protokolu L2TP Mikrotik, ktorého konfigurácia bude opísaná nižšie, je schopná pracovať na mnohých operačných systémoch. To je považované za najznámejšie. Problémy s nimi sa môžu vyskytnúť len vtedy, keď klientbude za NAT. V takom prípade zablokuje špeciálne zabezpečenie svoje balíky. Existujú spôsoby, ako tento problém vyriešiť. Tento protokol má tiež svoje nevýhody.


Napríklad bezpečnosť a výkon môžu byť považované za také v L2TP. Ak používate IPSec na zvýšenie bezpečnosti, druhý indikátor klesá. Ide o takzvanú cenu bezpečnostných údajov.

Nastavenia servera

Hlavný server musí mať statickú adresu IP. Je tam príklad: 192168106.246. Táto nuance je veľmi dôležitá, pretože adresa sa v žiadnom prípade nemení. V opačnom prípade musí vlastník a ostatní používatelia používať názov DNS a zaťažiť sa zbytočnými činnosťami.

Vytváranie profilov

Ak chcete vytvoriť profil, musíte prejsť na časť PPP. K dispozícii bude menu "Profily". Ďalej je potrebné vytvoriť profil, ktorý sa bude vzťahovať na pripojenie VPN, teda na jedinú sieť. Je potrebné poznamenať a zahrnúť nasledujúce možnosti: «Zmena TCP MSS», «Použitie kompresie», «Použitie šifrovania». Pokiaľ ide o posledný parameter, bude akceptovať predvolenú hodnotu. Pokračujeme v práci s routerom Mikrotik. Nastavenia L2TP a Serveru sú pomerne komplikované, takže musíte sledovať každý krok.
Ďalej musí používateľ prejsť na kartu "Rozhranie". Tam by ste mali venovať pozornosť serveru L2TP. Zobrazí sa informačná ponuka, v ktorej by ste mali kliknúť na tlačidlo "Povoliť". Profil bude vybratý predvolene, pretože je jedinečný a vytvoril sa o niečo skôr. Ak chcete, môžete zmeniť typautentizácie. Ak však používateľ tomu nerozumie, je najlepšie ponechať predvolenú hodnotu. Možnosť IPsec musí zostať neaktívna.
Potom musí používateľ prejsť do sekcie "Secrets" a vytvoriť užívateľskú sieť. V stĺpci "Server" musíte zadať L2TP. Ak je to potrebné, okamžite sa zobrazí profil, ktorý sa má použiť v Mikrotik. Nastavenia L2TP a Serveru sú takmer úplné. Adresy lokálnych a vzdialených serverov musia byť rovnaké, iba s dvomi poslednými číslicami. Táto hodnota je 10500.10 /11. Ak je to potrebné, musíte vytvoriť ďalších používateľov. Súčasne zostáva miestna adresa nezmenená, ale vzdialená adresa sa musí postupne zvyšovať o jednu hodnotu.

Nastavenia brány firewall

Aby ste mohli pracovať s jednotnou sieťou, musíte otvoriť špeciálny port UDP. Zvýši prioritu pravidla a presunie sa na vyššie uvedené miesto. Len tak môže dobre pracovať s L2TP. Konfigurácia Mikrotik nie je jednoduchá, ale s určitým úsilím je skutočná. Ďalej by sa inštalátor mal prihlásiť do NAT a pridať maškaráda. Toto sa vykonáva, aby sa zabezpečilo videnie počítačov v rámci tej istej siete.

Pridanie trasy

Vo všetkých nastaveniach bola vytvorená vzdialená podsieť. Tam by mala byť registrovaná trasa. Konečná hodnota podsiete by mala byť 1921682,0 /24. Brána v tomto prípade slúži ako adresa klienta v rámci samotnej siete. Cieľový objem sa musí rovnať jednému. V tomto prípade sa všetky nastavenia servera skončili a zostali iba zmeny klientovParametre.

Konfigurácia zákazníka

Pri úprave technológie L2TP MicroTech je potrebné venovať veľkú pozornosť konfigurácii klientov. Musíte ísť do sekcie "Rozhranie" a vytvoriť nový klient L2TP. Musíte zadať adresu servera a poverenia. Šifrovanie je v predvolenom nastavení vybraté, musíte zrušiť začiarknutie aktivácie vedľa predvolenej možnosti cesty. Ak je všetko vykonané správne, potom po uložení by ste mali mať pripojenie v sieti L2TP. Mikrotik, ktorého konfigurácia je takmer úplná, je skvelý spôsob, ako pracovať s VPN.
Kontrolujeme výkonnosť uzlov v vytvorenej mriežke. Zadajte hodnotu 1921681.1. Spojenie sa musí obnoviť. Preto musíte vytvoriť novú trasu statického typu. Je to podsieť typu 1921681.0 /24. Brána je adresa virtuálneho sieťového servera. V položke "Zdroj" musíte zadať sieťovú adresu používateľa. Po opätovnej kontrole fungovania uzlov takzvaného pingu môžete vidieť, že sa pripojenie objavilo. Počítače v sieti však ešte nemusia vidieť. Aby sa mohli pripojiť, musíte vytvoriť maskovačku. Mal by byť úplne podobný tomu, čo už bolo vytvorené na serveri. Rozhranie zdroja má v tomto prípade význam pripojenia typu VPN. Ak je ping splnené, potom všetko musí fungovať. Vytvorí sa tunel, počítače sa môžu pripojiť a pracovať v mriežke. Pri dobrom tarifnom balíku je rýchlosť rýchlosti vyššia ako 50 Mbps za sekundu. Tento indikátor možno dosiahnuť iba odmietnutím technológie IPSec (pri použití L2TP)Mikrotik.
Štandardné nastavenie siete je teraz dokončené. Ak pridáte nového používateľa, mali by ste na svojom zariadení pridať ďalšiu trasu. Potom sa zariadenia navzájom spozorujú. Ak dôjde k prenosu trasy z Client1 a Client2, potom nie je potrebné zmeniť nastavenia na serveri. Môžete jednoducho vytvoriť trasy a brána môže určiť adresu súperovej siete.

Konfigurácia L2TP a IPSec v Mikrotik

Ak sa chcete postarať o bezpečnosť, potom by sa malo použiť IPSec. Na to nemusíte vytvárať novú sieť, môžete použiť starú sieť. Všimnite si, že je potrebné vytvoriť tento protokol medzi adresami typu 10500. To umožní, aby technológia fungovala bez ohľadu na adresu klienta. Ak existuje túžba vytvoriť tunel IPSec v Mikrotik medzi serverom a klientom WAN, musíte sa uistiť, že tento má externú adresu. Ak je to dynamické, bude potrebné zmeniť protokolové pravidlá pomocou skriptov. Ak sa IPSec používa medzi externými adresami, všeobecne bude potreba L2TP znížená na minimum.

Kontrola výkonnosti

Je nevyhnutné skontrolovať výkonnosť na konci nastavenia. Je to spôsobené skutočnosťou, že pri práci s L2TP /IPSec existuje dvojité zapuzdrenie, čo znamená, že centrálny procesor je silne zaťažený. Často pri vytváraní siete môžete vidieť, že rýchlosť pripojenia klesá. Môžete ho rozšíriť vytvorením približne 10 prúdov. Procesor bude nabitý takmer sto percent. Toto je hlavná nevýhoda technológie L2TP IPSec v spoločnosti Mikrotik. Je v nebezpečenstvevýkon zaručuje maximálnu bezpečnosť.
Aby ste dosiahli dobrú rýchlosť, musíte si kúpiť high-tech vybavenie. Môžete si tiež vybrať smerovač, ktorý podporuje počítač a RouterOS. Ak bude mať hardvérové ​​blokovanie šifrovanie, výkon sa výrazne zlepší. Bohužiaľ lacné zariadenie Mikrotik nedá tento výsledok.

Súvisiace publikácie