Nyní stále více společností a jejich pobočeksnažit se sjednotit do jedné informační sítě, takže tento problém je docela relevantní. Často se také vyžaduje, aby bylo možné zajistit síť pro zaměstnance odkudkoli na světě. Tento článek vysvětlí, jak správně připojit sítě pomocí příkladu změny parametrů L2TP. Mikrotik, jehož konfigurace je popsána níže, je považován za dobrou volbu pro práci doma i v kanceláři. Díky funkci hAP lite můžete pracovat se vzdáleným přístupem každého zaměstnance s malým úsilím. Výkon routeru vám umožní pracovat v malých kancelářích, kde si společnost na sebe neklade příliš velké nároky.
Poměrně často ve stejné místní sítisídlí kancelář a její pobočky. Pracují se stejným poskytovatelem, takže proces připojení signálu je poměrně jednoduchý. Je třeba poznamenat, že větve se často nacházejí ve velké vzdálenosti od hlavního centra a od sebe navzájem. V současnosti nejpopulárnější a nejrelevantnější technologie se nazývá Virtual Private Network (VPN). Lze jej implementovat mnoha způsoby. Nedoporučuje se používat PPTP, protože tato technologie je zastaralá a OpenVPN. Ten nebude moci komunikovat se všemi zařízeními.
Protokol L2TP
Vzhledem k relativní dostupnosti protokolu L2TPMikrotik, jehož konfigurace bude popsána níže, je schopen pracovat na mnoha operačních systémech. Je považován za nejslavnějšího. Problémy s tím mohou nastat, jen když je klient za NAT. V takovém případě speciální software zablokuje jeho pakety. Existují způsoby, jak tento problém vyřešit. Tento protokol má také své nevýhody.
Za takový lze například považovat L2TPbezpečnost a výkon. Když se ke zlepšení zabezpečení používá IPSec, druhé skóre se snižuje. Jedná se o takzvanou cenu zabezpečení dat.
Ladění serveru
Hlavní server musí mít statickou IP adresutyp. Existuje příklad: 192.168.106.246. Tato nuance je velmi důležitá, protože adresa by v žádném případě neměla být změněna. V opačném případě bude muset vlastník a ostatní uživatelé používat název DNS a obtěžovat se zbytečnými akcemi.
Vytváření profilů
Chcete -li si vytvořit profil, musíte jít naViz část PPP. Zobrazí se nabídka „Profily“. Dále musíte vytvořit profil, který bude aplikován na připojení typu VPN, tj. Jedna síť. Měli byste zkontrolovat a povolit následující možnosti: „Změnit TCP MSS“, „Použít kompresi“, „Použít šifrování“. Pokud jde o poslední parametr, bude přijímat výchozí hodnotu. Pokračujeme v práci s routerem Mikrotik. Konfigurace L2TP a serveru je poměrně komplikovaná, takže musíte sledovat každý krok, který uděláte.
Dále musí uživatel přejít na kartu"Rozhraní". Zde byste měli věnovat pozornost serveru L2TP. Zobrazí se informační nabídka, ve které byste měli kliknout na tlačítko „Povolit“. Profil bude vybrán ve výchozím nastavení, protože je jediný a byl vytvořen o něco dříve. Pokud chcete, můžete změnit typ ověřování. Pokud ale uživatel ničemu nerozumí, je lepší ponechat výchozí hodnotu. Volba IPsec musí zůstat deaktivovaná.
Poté musí uživatel přejít na„Tajemství“ a vytvořte síť. Ve sloupci „Server“ musíte zadat L2TP. Pokud je to žádoucí, je zde také uveden profil, který bude použit v Mikrotiku. Konfigurace L2TP a serveru je téměř dokončena. Místní a vzdálená adresa serverů musí být stejná, rozdíl je pouze v posledních dvou číslicích. Tato hodnota je 10,50.0.10/11. V případě potřeby je třeba vytvořit další uživatele. Lokální adresa přitom zůstává beze změny, ale vzdálenou je třeba postupně navyšovat o jednu hodnotu.
Konfigurace brány firewall
Aby bylo možné pracovat s propojenou sítí,musíte otevřít speciální port, jako je UDP. Zvyšuje prioritu pravidla a posune se o pozici výš. Toto je jediný způsob, jak dosáhnout dobrého výkonu L2TP. Mikrotik není snadné nastavit, ale s určitým úsilím je to možné. Dále by měl personalizátor přejít na NAT a přidat maškarádu. To se provádí tak, aby počítače byly viditelné ve stejné síti.
Přidání trasy
Když byla provedena všechna nastavení,vzdálená podsíť. Právě v něm by měla být trasa zaregistrována. Konečná hodnota podsítě musí být 192.168.2.0/24. Brána je adresa klienta v samotné síti. Cílový objem by měl být roven jedné. Tím jsou všechna nastavení serveru dokončena, zbývá pouze provést klientské změny parametrů.
Nastavení klienta
Provedením dalších úprav technologie L2TP v„Mikrotiku“, musíte věnovat velkou pozornost přizpůsobení klienta. Musíte přejít do sekce „Rozhraní“ a vytvořit nového klienta L2TP. Zadejte adresu serveru a přihlašovací údaje. Šifrování zůstává ve výchozím nastavení vybráno; vedle výchozí možnosti trasy musíte zrušit zaškrtnutí políčka aktivace. Pokud je vše provedeno správně, mělo by se po uložení v síti L2TP objevit připojení. Mikrotik, který je téměř kompletní, je skvělou volbou pro práci s VPN.
Zkontrolujeme výkonnost uzlů ve vytvořenémmřížka. Zadejte hodnotu 192.168.1.1. Připojení by mělo být přerušeno. Proto je nutné vytvořit novou trasu statického typu. Je to podsíť jako 192.168.1.0/24. Gateway - adresa serveru virtuální sítě. Ve "Zdroji" musíte zadat adresu sítě uživatele. Po opětovné kontrole funkčnosti takzvaných pingových uzlů si všimnete, že se připojení objevilo. Počítače v síti by to však ještě neměly vidět. Aby se mohli připojit, musíte vytvořit maškarádu. Mělo by být zcela podobné tomu, co již bylo vytvořeno na serveru. V tomto případě má výstupní rozhraní hodnotu připojení typu VPN. Pokud ping uspěje, pak by mělo vše fungovat. Tunel je vytvořen, počítače se mohou připojit a pracovat v síti. S dobrým tarifním balíčkem můžete snadno dosáhnout rychlosti více než 50 Mbit za sekundu. Tohoto indikátoru lze dosáhnout pouze tehdy, pokud se opustí technologie (při použití L2TP) IPSec v Mikrotiku.
Tím je dokončeno standardní nastavení sítě.Pokud je přidán nový uživatel, měla by být na jeho zařízení přidána další trasa. Poté se zařízení navzájem uvidí. Pokud je trasa přesměrována z klienta1 a klienta2, není třeba měnit žádná nastavení na serveru. Můžete jednoduše vytvořit trasy a pomocí brány nastavit síťovou adresu protivníka.
Konfigurace L2TP a IPSec v Mikrotiku
Pokud se tedy musíte starat o bezpečnost, pakměli byste použít IPSec. K tomu není třeba vytvářet novou síť, můžete použít starou. Tento protokol musí být vytvořen mezi adresami jako 10.50.0. To umožní technologii fungovat bez ohledu na adresu klienta.
Pokud chcete vytvořit tunel IPSec vMikrotik mezi serverem a klientem WAN, pak se musíte postarat o to, aby ten měl externí adresu. Pokud je dynamický, budete muset změnit zásady protokolu pomocí skriptů. Pokud je mezi externími adresami použit IPSec, pak obecně bude potřeba L2TP snížena na minimum.
Kontrola výkonu
Nezapomeňte zkontrolovat na konci nastavenívýkon. Důvodem je skutečnost, že při práci s L2TP / IPSec dochází k zapouzdření dvojitého typu, což znamená, že centrální procesor je silně zatížen. Při vytváření sítě si často všimnete, že rychlost připojení klesá. Můžete to zvýšit vytvořením asi 10 vláken. V takovém případě bude procesor načten téměř na sto procent. Toto je hlavní nevýhoda technologie L2TP IPSec v Mikrotiku. Zaručuje maximální bezpečnost na úkor výkonu.
Abyste dosáhli dobré pracovní rychlosti,musíte si koupit techniku na vysoké úrovni. Můžete se také rozhodnout pro router, který podporuje práci s počítačem a RouterOS. Pokud má šifrování hardwarových bloků, výkon se výrazně zlepší. Levné zařízení Mikrotik bohužel neposkytne takový výsledek.
