L2TP Mikrotik: налада. абсталяванне Mikrotik

Цяпер усё больш кампаній і іх філіялаў імкнуцца аб'яднацца ў адну інфармацыйную сетку, таму гэтае пытанне даволі актуальнае. Таксама часта патрабуецца магчымасць прадастаўлення сеткі для супрацоўнікаў з любой кропкі зямнога шара. Тое, як правільна трэба аб'ядноўваць сеткі, у дадзеным артыкуле будзе растлумачана на прыкладзе змены параметраў L2TP. Mikrotik, налада якога апісана далей, лічыцца добрым варыянтам для працы як дома, так і ў офісе. За кошт функцыі hAP lite можна з невялікімі высілкамі працаваць з выдаленым доступам кожнага супрацоўніка. Прадукцыйнасць роутера дазволіць працаваць у невялікіх офісах, дзе перад сабой кампанія не ставіць занадта вялікіх патрабаванняў.

Даволі часта ў адной лакальнай сеткі размяшчаюцца офіс і яго філіялы. Працуюць яны з адным і тым жа правайдэрам, таму працэс злучэння сігналаў даволі просты. Трэба заўважыць, што даволі часта філіялы размешчаны на вялікай адлегласці ад галоўнага цэнтра і адзін ад аднаго. Найбольш запатрабаваная і актуальная на дадзены момант тэхналогія пад назвай Virtual Private Network (VPN). Яе рэалізаваць можна многімі спосабамі. Не рэкамендуецца выкарыстоўваць PPTP, так як гэтая тэхналогія састарэлая, і OpenVPN. Апошняя зможа ўзаемадзейнічаць не з усімі прыладамі.

пратакол L2TP

За кошт адноснай даступнасці пратакол L2TP Mikrotik, налада якога будзе апісана далей, здольны працаваць на многіх аперацыйных сістэмах. Ён лічыцца найбольш вядомым. Праблемы з ім могуць узнікаць толькі тады, калі кліент будзе знаходзіцца за NAT. У такім выпадку спецыяльнае забеспячэнне будзе блакаваць яго пакеты. Маюцца спосабы па ліквідацыі гэтай праблемы. У гэтага пратаколу ёсць і свае недахопы.

Напрыклад, такімі ў L2TP можна лічыць бяспеку і прадукцыйнасць. Калі выкарыстоўваецца IPSec для павышэння ўзроўню абароненасці, зніжаецца другі паказчык. Гэта так званая цана бяспекі дадзеных.

Настройка сервера

Галоўны сэрвэр меў IP-адрас статычнага тыпу. Маецца яго прыклад: 192.168.106.246. Гэты нюанс даволі важны, так як адрас ні ў якім разе не павінен змяняцца. Інакш ўладальніку і іншым карыстальнікам давядзецца выкарыстоўваць DNS-імя і турбаваць сябе лішнімі дзеяннямі.

стварэнне профіляў

Для таго каб стварыць профіль, трэба зайсці ў раздзел PPP. Там будзе меню «прафайлы». Далей трэба сфармаваць той профіль, які будзе прымяняцца да падлучэння тыпу VPN, то ёсць адзінай сеткі. Неабходна адзначыць і ўключыць наступныя опцыі: «Змяніць TCP MSS», «Выкарыстаць сціск», «Ужываць шыфраванне». Што да апошняга параметру, то ён прыме значэнне па змаўчанні. Працягваем працаваць з роўтарам Mikrotik. L2TP і Server наладу маюць даволі складаную, таму трэба сачыць за кожным сваім крокам.

Далей карыстачу трэба перайсці на ўкладку «Інтэрфейс». Там варта звярнуць увагу на L2TP-сервер. З'явіцца інфармацыйнае меню, у якім варта націснуць на кнопку "Уключыць". Профіль будзе абраны па змаўчанні, так як ён адзіны і створаны крыху раней. Калі хочацца, можна змяніць тып аўтэнтыфікацыі. Але калі карыстальнік ў гэтым нічога не разумее, лепш пакінуць стандартнае значэнне. Опцыя IPsec павінна застацца неактивированной.

Пасля гэтага карыстачу трэба перайсці ў «Сакрэты» і стварыць карыстальніка сеткі. У графе «Сервер» трэба пазначыць L2TP. Пры жаданні тут жа згадваецца профіль, які будзе выкарыстоўвацца ў Mikrotik. Настройка L2TP і Server практычна скончаная. Лакальны і аддалены адрасы сервераў павінны быць аднолькавымі, розніца ў іх толькі ў двух апошніх лічбах. Гэта значэнне 10.50.0.10/11 адпаведна. Калі неабходна, трэба стварыць дадатковых карыстальнікаў. Лакальны адрас пры гэтым застаецца нязменным, а вось аддалены трэба паступова павялічваць на адно значэнне.

Настройка файрволла

Для таго каб працаваць з аб'яднанай сеткай, трэба адкрыць спецыяльны порт тыпу UDP. У ім уздымаецца прыярытэт правілы і перамяшчаецца па пазіцыі вышэй. Толькі так можна дамагчыся добрай працы L2TP. Mikrotik наладу мае няпростую, але пры пэўных намаганнях гэта рэальна. Далей наладчык варта зайсці ў NAT і дадаць маскарадинг. Робіцца гэта для таго, што кампутары былі бачныя ў межах адной сеткі.

даданне маршруту

Пры правядзенні ўсіх налад была створана аддаленая падсеткі. Менавіта ў ёй павінен быць прапісаны маршрут. Канчатковае значэнне падсеткі павінна быць 192.168.2.0/24. Шлюзам ж пры гэтым выступае адрас кліента ў самой сеткі. Мэтавай аб'ём павінен раўняцца адзінцы. На гэтым усё налады сервера сканчаюцца, засталося толькі правесці кліенцкія змены параметраў.

Настройка кліента

Праводзячы далейшыя налады тэхналогіі L2TP ў «Микротик», наладзе кліента трэба надаць вялікую ўвагу. Неабходна зайсці ў раздзел «Інтэрфейс» і стварыць новага кліента тыпу L2TP. Варта паказаць адрас сервера і ўліковыя дадзеныя. Шыфраванне застаецца абраным па змаўчанні, поруч опцыі дэфолтнае маршруту неабходна зняць галачку актывацыі. Калі ўсё зроблена правільна, то пасля захавання павінна з'явіцца злучэнне ў сетцы L2TP. Mikrotik, налада якога амаль завершана, з'яўляецца выдатным варыянтам для працы з VPN.

Правяраем працаздольнасць вузлоў у створанай сетцы. Ўводзім значэнне 192.168.1.1. Злучэнне павінна скінуць. Менавіта таму неабходна стварыць новы маршрут статычнага тыпу. Ён уяўляе сабой падсеткі тыпу 192.168.1.0/24. Шлюз - адрас сервера віртуальнай сеткі. У «Крыніцу» трэба пазначыць адрас карыстацкай сеткі. Пасля паўторнай праверкі працаздольнасці вузлоў так званага Пінга можна заўважыць, што злучэнне з'явілася. Аднак кампутары ў сетцы яшчэ не павінны бачыць яго. Для таго каб яны маглі падлучыцца, трэба стварыць маскарадинг. Ён павінен быць цалкам аналагічным таму, што ўжо быў створаны на серверы. Выхадны інтэрфейс пры гэтым мае значэнне падлучэння VPN-тыпу. Калі пінг ажыццявіўся, то ўсё павінна працаваць. Тунэль створаны, кампутары могуць падлучацца і працаваць у сетцы. Пры добрым тарыфным пакеце з лёгкасцю атрымліваецца хуткасць больш за 50 Мбіт у секунду. Такога паказчыка можна дасягнуць толькі пры адмове ад тэхналогіі (пры выкарыстанні L2TP) IPSec ў Mikrotik.

На гэтым стандартная налада сеткі завяршаецца. Калі будзе дадавацца новы карыстальнік, то варта на яго прыладзе дадаць яшчэ маршрут. Тады прылады будуць бачыць адзін аднаго. Калі здзяйсняецца пракінулі маршруту з Client1 і Client2, то ніякіх налад на сэрвэры мяняць не трэба. Можна проста стварыць маршруты, а шлюзам задаць адрас сеткі апанента.

Настройка L2TP і IPSec ў Mikrotik

Калі неабходна паклапоціцца пра бяспеку, то варта выкарыстоўваць IPSec. Для гэтага не трэба ствараць новую сетку, можна выкарыстоўваць старую. Звярніце ўвагу, што ствараць дадзены пратакол неабходна паміж адрасамі тыпу 10.50.0. Гэта дазволіць тэхналогіі працаваць па-за залежнасці ад таго, які адрас кліента.

Калі ёсць жаданне стварыць тунэль IPSec ў Mikrotik паміж серверам і кліентам WAN, то трэба паклапаціцца, каб у апошняга быў знешні адрас. А калі ён будзе дынамічным, то давядзецца мяняць палітыку пратаколу, выкарыстоўваючы скрыпты. Калі будзе задзейнічаны IPSec паміж вонкавымі адрасамі, то ў цэлым і патрэба ў L2TP будзе зніжана да мінімуму.

праверка прадукцыйнасці

Абавязкова ў канцы налад трэба праверыць прадукцыйнасць. Гэта звязана з тым, што пры працы з L2TP / IPSec адбываецца інкапсуляцыя па падвойным тыпу, а значыць, цэнтральны працэсар моцна нагружаецца. Часта пры стварэнні сеткі можна заўважыць, што падае хуткасць злучэння. Павялічыць яе можна, стварыўшы каля 10 патокаў. Працэсар пры гэтым будзе загружаны практычна на сто адсоткаў. Менавіта гэта з'яўляецца галоўным недахопам тэхналогіі L2TP IPSec ў Mikrotik. Яна ў шкоду прадукцыйнасці гарантуе максімальную бяспеку.

Для таго каб атрымаць добрую хуткасць працы, трэба набыць тэхніку высокага ўзроўню. Можна таксама спыніць свой выбар на роутере, які падтрымлівае працу з кампутарам і RouterOS. Калі ён будзе мець шыфраванне апаратнага блока, то прадукцыйнасць істотна палепшыцца. На жаль, таннае абсталяванне Mikrotik такога выніку не дасць.