L2TP Mikrotik: настройка. Оборудование Mikrotik

Сейчас все больше компаний и их филиалов стремятся объединиться в одну информационную сеть, поэтому данный вопрос довольно актуален. Также часто требуется возможность предоставления сети для сотрудников из любой точки земного шара. То, как правильно нужно объединять сети, в данной статье будет объяснено на примере изменения параметров L2TP. Mikrotik, настройка которого описана далее, считается хорошим вариантом для работы как дома, так и в офисе. За счет функции hAP lite можно с небольшими усилиями работать с удаленным доступом каждого сотрудника. Производительность роутера позволит работать в небольших офисах, где перед собой компания не ставит слишком больших требований.

Довольно часто в одной локальной сети располагаются офис и его филиалы. Работают они с одним и тем же провайдером, поэтому процесс соединения сигналов довольно прост. Нужно заметить, что довольно часто филиалы расположены на большом расстоянии от главного центра и друг от друга. Наиболее востребована и актуальна на данный момент технология под названием Virtual Private Network (VPN). Ее реализовать можно многими способами. Не рекомендуется использовать PPTP, так как эта технология устаревшая, и OpenVPN. Последняя сможет взаимодействовать не со всеми устройствами.

Протокол L2TP

За счет относительной доступности протокол L2TP Mikrotik, настройка которого будет описана далее, способен работать на многих операционных системах. Он считается наиболее известным. Проблемы с ним могут возникать лишь тогда, когда клиент будет находиться за NAT. В таком случае специальное обеспечение будет блокировать его пакеты. Имеются способы по устранению этой проблемы. У этого протокола есть и свои недостатки.

Например, таковыми у L2TP можно считать безопасность и производительность. Когда используется IPSec для повышения уровня защищенности, снижается второй показатель. Это так называемая цена безопасности данных.

Настройка сервера

Главный сервер должен иметь IP-адрес статического типа. Имеется его пример: 192.168.106.246. Этот нюанс довольно важен, так как адрес ни в коем случае не должен изменяться. Иначе владельцу и другим пользователям придется использовать DNS-имя и утруждать себя лишними действиями.

Создание профилей

Для того чтобы создать профиль, нужно зайти в раздел PPP. Там будет меню «Профайлы». Далее нужно сформировать тот профиль, который будет применяться к подключениям типа VPN, то есть единой сети. Необходимо отметить и включить следующие опции: «Изменить TCP MSS», «Использовать сжатие», «Применять шифрование». Что касается последнего параметра, то он примет значение по умолчанию. Продолжаем работать с роутером Mikrotik. L2TP и Server настройку имеют довольно сложную, поэтому нужно следить за каждым своим шагом.

Далее пользователю нужно перейти на вкладку «Интерфейс». Там следует обратить внимание на L2TP-сервер. Появится информационное меню, в котором следует нажать на кнопку «Включить». Профиль будет выбран по умолчанию, так как он единственный и создан немного ранее. Если хочется, можно сменить тип аутентификации. Но если пользователь в этом ничего не понимает, лучше оставить стандартное значение. Опция IPsec должна остаться неактивированной.

После этого пользователю нужно перейти в «Секреты» и создать пользователя сети. В графе «Сервер» нужно указать L2TP. При желании здесь же указывается профиль, который будет использоваться в Mikrotik. Настройка L2TP и Server практически закончена. Локальный и удаленный адреса серверов должны быть одинаковыми, разница у них лишь в двух последних цифрах. Это значение 10.50.0.10/11 соответственно. Если необходимо, нужно создать дополнительных пользователей. Локальный адрес при этом остается неизменным, а вот удаленный нужно постепенно увеличивать на одно значение.

Настройка файрволла

Для того чтобы работать с объединенной сетью, нужно открыть специальный порт типа UDP. В нем поднимается приоритет правила и перемещается по позиции выше. Только так можно добиться хорошей работы L2TP. Mikrotik настройку имеет непростую, но при определенных усилиях это реально. Далее настройщику следует зайти в NAT и добавить маскарадинг. Делается это для того, что компьютеры были видны в пределах одной сети.

Добавление маршрута

При проведении всех настроек была создана удаленная подсеть. Именно в ней должен быть прописан маршрут. Конечное значение подсети должно быть 192.168.2.0/24. Шлюзом же при этом выступает адрес клиента в самой сети. Целевой объем должен равняться единице. На этом все настройки сервера заканчиваются, осталось лишь провести клиентские изменения параметров.

Настройка клиента

Проводя дальнейшие настройки технологии L2TP в «Микротик», настройке клиента нужно уделить большое внимание. Необходимо зайти в раздел «Интерфейс» и создать нового клиента типа L2TP. Следует указать адрес сервера и учетные данные. Шифрование остается выбранным по умолчанию, возле опции дефолтного маршрута необходимо снять галочку активации. Если все сделано правильно, то после сохранения должно появиться соединение в сети L2TP. Mikrotik, настройка которого почти завершена, является отличным вариантом для работы с VPN.

Проверяем работоспособность узлов в созданной сетке. Вводим значение 192.168.1.1. Соединение должно сброситься. Именно поэтому необходимо создать новый маршрут статического типа. Он представляет собой подсеть типа 192.168.1.0/24. Шлюз – адрес сервера виртуальной сети. В «Источнике» нужно указать адрес пользовательской сети. После повторной проверки работоспособности узлов так называемого пинга можно заметить, что соединение появилось. Однако компьютеры в сетке еще не должны видеть его. Для того чтобы они могли подключиться, нужно создать маскарадинг. Он должен быть полностью аналогичным тому, что уже был создан на сервере. Выходной интерфейс при этом имеет значение подключения VPN-типа. Если пинг осуществился, то все должно работать. Туннель создан, компьютеры могут подключаться и работать в сетке. При хорошем тарифном пакете с легкостью получается скорость более 50 Мбит в секунду. Такого показателя можно добиться только при отказе от технологии (при использовании L2TP) IPSec в Mikrotik.

На этом стандартная настройка сети завершается. Если будет добавляться новый пользователь, то следует на его устройстве добавить еще маршрут. Тогда устройства будут видеть друг друга. Если совершается проброс маршрута с Client1 и Client2, то никаких настроек на сервере менять не нужно. Можно просто создать маршруты, а шлюзом задать адрес сети оппонента.

Настройка L2TP и IPSec в Mikrotik

Если необходимо позаботится о безопасности, то следует использовать IPSec. Для этого не нужно создавать новую сеть, можно использовать старую. Обратите внимание, что создавать данный протокол необходимо между адресами типа 10.50.0. Это позволит технологии работать вне зависимости от того, какой адрес клиента.

Если есть желание создать туннель IPSec в Mikrotik между сервером и клиентом WAN, то нужно позаботиться, чтобы у последнего был внешний адрес. Если же он будет динамичным, то придется менять политику протокола, используя скрипты. Если будет задействован IPSec между внешними адресами, то в целом и надобность в L2TP будет снижена до минимума.

Проверка производительности

Обязательно в конце настроек нужно проверить производительность. Это связано с тем, что при работе с L2TP/IPSec происходит инкапсуляция по двойному типу, а значит, центральный процессор сильно нагружается. Часто при создании сети можно заметить, что падает скорость соединения. Увеличить ее можно, создав около 10 потоков. Процессор при этом будет загружен практически на сто процентов. Именно это является главным недостатком технологии L2TP IPSec в Mikrotik. Она в ущерб производительности гарантирует максимальную безопасность.

Для того чтобы получить хорошую скорость работы, нужно приобрести технику высокого уровня. Можно также остановить свой выбор на роутере, который поддерживает работу с компьютером и RouterOS. Если он будет иметь шифрование аппаратного блока, то производительность существенно улучшится. К сожалению, дешевое оборудование Mikrotik такого результата не даст.

Комментарии