Sada sve više tvrtki i njihovih podružnicanastoje se ujediniti u jednu informacijsku mrežu, pa je ovo pitanje prilično relevantno. Također se često traži mogućnost pružanja mreže zaposlenicima s bilo kojeg mjesta u svijetu. Ovaj članak će objasniti kako ispravno povezati mreže na primjeru promjene L2TP parametara. Mikrotik, čija je konfiguracija opisana u nastavku, smatra se dobrom opcijom za rad i kod kuće i u uredu. Zahvaljujući hAP lite funkciji, uz malo truda možete raditi s udaljenim pristupom svakog zaposlenika. Izvedba usmjerivača omogućit će vam rad u malim uredima, gdje tvrtka ne postavlja prevelike zahtjeve prema sebi.
Vrlo često na istoj lokalnoj mrežinalazi se ured i njegove podružnice. Rade s istim davateljem, tako da je proces povezivanja signala prilično jednostavan. Treba napomenuti da se grane često nalaze na velikoj udaljenosti od glavnog središta i jedna od druge. Najpopularnija i najrelevantnija tehnologija u ovom trenutku zove se virtualna privatna mreža (VPN). Može se implementirati na mnogo načina. Ne preporučuje se korištenje PPTP-a jer je ova tehnologija zastarjela i OpenVPN. Potonji neće moći komunicirati sa svim uređajima.
L2TP protokol
Zbog relativne dostupnosti L2TPMikrotik, čija će konfiguracija biti opisana u nastavku, sposoban je raditi na mnogim operativnim sustavima. Smatra se najpoznatijim. Problemi s njim mogu nastati samo kada klijent stoji iza NAT-a. U tom će slučaju posebni softver blokirati njegove pakete. Postoje načini za rješavanje ovog problema. Ovaj protokol također ima svoje nedostatke.
Na primjer, L2TP se može smatrati takvimsigurnost i performanse. Kada se IPSec koristi za poboljšanje sigurnosti, drugi rezultat se smanjuje. To je takozvana cijena sigurnosti podataka.
Podešavanje poslužitelja
Glavni poslužitelj mora imati statičku IP adresutip. Postoji primjer za to: 192.168.106.246. Ova nijansa je vrlo važna, jer se adresa ni u kojem slučaju ne smije mijenjati. Inače će vlasnik i ostali korisnici morati koristiti DNS ime i zamarati se nepotrebnim radnjama.
Izrada profila
Da biste kreirali profil, morate otići naVidi odjeljak JPP. Bit će izbornik "Profili". Zatim morate stvoriti profil koji će se primijeniti na veze tipa VPN, odnosno jednu mrežu. Sljedeće opcije trebaju biti označene i omogućene: "Promijeni TCP MSS", "Koristi kompresiju", "Primijeni enkripciju". Što se tiče posljednjeg parametra, on će prihvatiti zadanu vrijednost. Nastavljamo s radom s Mikrotik usmjerivačem. Postavke L2TP-a i poslužitelja su prilično komplicirane, pa morate pratiti svaki korak koji poduzimate.
Zatim korisnik treba prijeći na karticu"Sučelje". Tu trebate obratiti pažnju na L2TP poslužitelj. Pojavit će se izbornik informacija u kojem trebate kliknuti na gumb "Omogući". Profil će biti odabran prema zadanim postavkama, jer je jedini i kreiran je nešto ranije. Ako želite, možete promijeniti vrstu provjere autentičnosti. Ali ako korisnik ne razumije ništa o tome, bolje je ostaviti zadanu vrijednost. Opcija IPsec mora ostati deaktivirana.
Nakon toga korisnik treba ići na"Tajne" i stvoriti netizen. U stupcu "Poslužitelj" trebate navesti L2TP. Po želji ovdje je naznačen i profil koji će se koristiti u Mikrotiku. Konfiguracija L2TP-a i poslužitelja je gotovo dovršena. Lokalne i udaljene adrese poslužitelja moraju biti iste, razlika je samo u posljednje dvije znamenke. Ova vrijednost je 10.50.0.10/11. Ako je potrebno, trebate stvoriti dodatne korisnike. Istodobno, lokalna adresa ostaje nepromijenjena, ali udaljena se mora postupno povećavati za jednu vrijednost.
Konfiguracija vatrozida
Za rad s međusobno povezanom mrežom,morate otvoriti poseban port kao što je UDP. To podiže prioritet pravila i pomiče poziciju. Ovo je jedini način za postizanje dobrih L2TP performansi. Mikrotik nije lako postaviti, ali uz malo truda to je moguće. Zatim bi alat za prilagodbu trebao otići na NAT i dodati maskiranje. To je učinjeno kako bi računala bila vidljiva unutar iste mreže.
Dodavanje rute
Kada su sve postavke napravljene,udaljenu podmrežu. U njemu treba registrirati rutu. Konačna vrijednost podmreže mora biti 192.168.2.0/24. Gateway je adresa klijenta na samoj mreži. Ciljani volumen trebao bi biti jednak jedan. Time su dovršene sve postavke poslužitelja, ostaje samo izvršiti klijentske promjene parametara.
Postavljanje klijenta
Provođenje daljnjih postavki L2TP tehnologije u"Mikrotik", morate posvetiti veliku pažnju prilagođavanju klijenta. Morate otići na odjeljak "Sučelje" i stvoriti novi L2TP klijent. Navedite adresu poslužitelja i vjerodajnice. Šifriranje ostaje odabrano prema zadanim postavkama; pored zadane opcije rute morate poništiti potvrdni okvir za aktivaciju. Ako je sve učinjeno ispravno, nakon spremanja veza bi se trebala pojaviti u L2TP mreži. Mikrotik, koji je gotovo gotov, odlična je opcija za rad s VPN-om.
Provjeravamo izvedbu čvorova u kreiranomrešetka. Unesite vrijednost 192.168.1.1. Veza bi trebala biti prekinuta. Zato je potrebno izraditi novu rutu statičnog tipa. To je podmreža poput 192.168.1.0/24. Gateway - adresa virtualnog mrežnog poslužitelja. U "Izvoru" morate navesti adresu mreže korisnika. Nakon ponovne provjere funkcionalnosti takozvanih ping čvorova, primijetit ćete da se veza pojavila. Međutim, računala u mreži to još ne bi trebala vidjeti. Kako bi se spojili, morate stvoriti maskiranje. Trebao bi biti potpuno sličan onome što je već stvoreno na poslužitelju. U ovom slučaju izlazno sučelje ima vrijednost veze tipa VPN. Ako ping uspije, onda bi sve trebalo funkcionirati. Tunel je stvoren, računala se mogu povezati i raditi u mreži. Uz dobar tarifni paket lako možete dobiti brzinu veću od 50 Mbps. Ovaj se pokazatelj može postići samo ako se napusti tehnologija (kod korištenja L2TP) IPSec u Mikrotiku.
Time je dovršeno standardno postavljanje mreže.Ako se doda novi korisnik, na njegov uređaj treba dodati još jednu rutu. Tada će se uređaji međusobno vidjeti. Ako se ruta prosljeđuje iz Client1 i Client2, tada nije potrebno mijenjati postavke na poslužitelju. Možete jednostavno kreirati rute i koristiti gateway za postavljanje mrežne adrese protivnika.
Konfiguriranje L2TP i IPSec u Mikrotiku
Ako se trebate pobrinuti za sigurnost, ondatrebali biste koristiti IPSec. Da biste to učinili, ne morate stvarati novu mrežu, možete koristiti staru. Imajte na umu da se ovaj protokol mora kreirati između adresa kao što je 10.50.0. To će omogućiti da tehnologija radi bez obzira na adresu klijenta.
Ako želite stvoriti IPSec tunel uMikrotik između poslužitelja i WAN klijenta, tada morate paziti da potonji ima vanjsku adresu. Ako je dinamičan, morat ćete promijeniti politiku protokola pomoću skripti. Ako se IPSec koristi između vanjskih adresa, onda će općenito potreba za L2TP biti svedena na minimum.
Provjera izvedbe
Obavezno provjerite na kraju postavkiizvođenje. To je zbog činjenice da pri radu s L2TP / IPSec dolazi do inkapsulacije dvostrukog tipa, što znači da je središnji procesor jako opterećen. Često, prilikom stvaranja mreže, primijetit ćete da brzina veze pada. Možete ga povećati stvaranjem oko 10 niti. U tom slučaju, procesor će biti učitan gotovo sto posto. To je glavni nedostatak L2TP IPSec tehnologije u Mikrotiku. Jamči maksimalnu sigurnost na račun performansi.
Kako bi se postigla dobra radna brzina,morate kupiti tehniku visoke razine. Također se možete odlučiti za usmjerivač koji podržava rad s računalom i RouterOS-om. Ako ima hardversko blok šifriranje, performanse će se značajno poboljšati. Nažalost, jeftina oprema Mikrotik neće dati takav rezultat.
