Блог

 
 

§208 Объединение локальных сетей и офисов на Mikrotik с помощью L2TP

Одна из самых распространенных задач – объединение удаленных сетей, например, территориально удаленных офисов. Одним из наиболее простых вариантов реализации можно считать L2TP.

В качестве примера и для тестов мы использовали связку RB2011UiAS-RM и RB941-2n (hAP lite). Первый маршрутизатор – стоечная версия RB2011 с процессором MIPS 74Kc 600 МГц и 128 МБ оперативной памяти. Второй маршрутизатор – бюджетный домашний роутер, который тем не менее оснащен процессором MIPS 24Kc 650 МГц и 32 МБ оперативной памяти.

В чистом виде, без базового шифрования MPPE 128-бит, на этом оборудовании можно достичь порядка 85-90 Мбит/сек. При активации шифрования MPPE 128-бит, скорость падает до 50-55 Мбит. Если же вы захотите использовать на этом железе IPSec с AES – будьте готовы к тому, что производительность упадет еще более чем в 2 раза – до 17-20 Мбит/сек.

В любом случае, вы можете попробовать разные варианты на своем оборудовании, чтобы принять конечное решение. IPSec рекомендуется для всех сетей, для которых важно сохранить полную конфиденциальность и безопасность передаваемых данных.

Само собой, для таких целей лучше всего подойдут старшие модели маршрутизаторов Mikrotik – RB1100AH и RB1100AHx2 (сняты с производства), модельный ряд CCR (Cloud Core Router). Из ожидаемых новинок – RB3011 и RB850x2, последний вариант, пожалуй, самый предпочтительный.

Чтобы сымитировать сеть провайдера, оба маршрутизатора мы подключили к гигабитному коммутатору, который в свою очередь подключен к RB951Ui-2HnD. RB951 выступает в роли DHCP-сервера, в то время как цель коммутатора – нивелирование длинны кабеля во время теста.

Схематически, сеть имеет следующий вид

Адрес 192.168.106.246 – WAN IP, поэтому в реальности у вас он будет другой. Для сервера очень важно обеспечить белый внешний IP-адрес, безо всяких NAT. Не лишней станет услуга «статический IP», ведь вы же не хотите постоянно менять IP-сервера на клиенте, либо настраивать сервисы подобные No-IP?

Далее описана общая логика объединения, без скриншотов и детализацией по каждой настройке и опции. По-сути, операций не так много, сколько требуется скриншотов для детального описания. Если вы новичок и вообще не в курсе о чем здесь речь – рекомендуем читать полную версию публикации на сайте Lanmarket.

Вариант L2TP без IPSec

Шаг 1. Настройка сервера

Первым делом заходим в PPP => Profiles и меняем стандартный профиль так, как вам это необходимо. Можно создать свой профиль, особого значения это не имеет, одна в дальнейшем не забудьте выбрать именно этот профиль. По-умолчанию, включаем компрессию и шифрования (оно будет MPPE 128). Если вы решитесь не использовать шифрование MPPE, в профиле клиента также необходимо его отключить, иначе клиент будет отключаться.

Профиль готов, и сейчас, в принципе уже можно включить сервер L2TP, делается это в том же разделе PPP, вкладка Interface. Нажимаем кнопку «L2TP Server», ставим опцию, которая активирует сервер, указываем профиль по-умолчанию, а также тип аутентификации.
Сервер как сервис запущен, профили есть, но нет учетных записей. Переходим во вкладку Secrets. Тип сервиса выберите l2tp, локальный IP для всех учёток будет 10.50.0.10, можете придумать любой другой из диапазона домашних и виртуальных сетей. Удалённый IP указывайте из той же подсети /24, но отличный от локального.

После создания учётных записей, перейдите в раздел Interface и добавьте L2TP Server Binding для каждой учетной записи. В качестве имени можно указать логин, так более удобно.

Теперь необходимо в Firewall разрешить входящие соединения на порт 1701 UDP. Если вы используете обход NAT – необходимо открыть порт 4500 UDP. Для IPSec потребуется также открыть 500 UDP и разрешить протокол IPSec-ESP.

Для того, чтобы ПК из вашей подсети видели устройства в удалённой сети, в NAT добавьте маскарадинг для всех соединений PPP.

Последняя настройка – маршруты. Делается это в IP => Routers. Проблем возникнуть не должно, указываем удалённую подсеть и показываем маршрутизатору через какой шлюз туда добраться.

Шаг 2. Настройка клиента

На стороне клиента необходимо добавить интерфейс L2TP Client. Указываем всё данные, как они были настроены на сервере. Если вы вносили правки в профили – измените их аналогичным образом и на клиенте.

В таблице маршрутизации необходимо прописать маршруты в удалённые сети, а в NAT создать маскарадинг для вашего L2TP-интерфейса. Порт 1701 открывать нет необходимости. Если используете IPSec – открываете 500 UDP и разрешаете входящий протокол IPSec-ESP.

Вариант L2TP + IPSec

Вариант с IPSec предусматривает шифрование данных именно внутри L2TP. Если на обеих маршрутизаторах у вас белый внешний статический IP, сеть можно объединить на чистом IPSec без необходимости прибегать к L2TP. L2TP – хороший вариант, когда вы не знаете какой WAN IP у клиента, для l2tp это не важно, ведь клиент подключается к серверу, а ipsec создается внутри между локальными IP в виртуальной сети.

Первым делом, на сервере и клиенте отключаем NAT-маскарадинг для PPP.

Шаг 1. Настройки на сервере

В разделе IP => IPSec во вкладке Proposals делаем новое, либо меняем дефолтное представление. Для аутентификации указываем SHA1, шифрованные данных – AES 128. Можно также указать 3des, если будут VPN-клиенты на Windows 7.

Во вкладке Peers создаем нового пира с IP 0.0.0.0/0, порт оставляем 500, метод аутентификации Pre Shared Key и не забываем указать пароль. К слову пароль должен содержать комбинацию цифр и букв, если вы укажите одни цифры – работать не будет.

Метод обмена – main l2tp, Send Initial Contact, NAT Traversal по необходимости, шифрование и аутентификация – как и в Proposals. Generate policy ставим port strict.

В Policy необходимо добавить новую политику, в которой указываем нашу подсеть, конечную подсеть, Tunnel, IPSec ESP и IP на двух концах между подсетями.

Шаг 2. Настройки на клиенте

На клиенте проделываем всё те же действия. Proposal будет аналогичным, IP пира – локальный адрес на сервере. Policy точно такая же, только подсети и IP меняем местами.


Заметка основана на материале, опубликованном на ресурсе Lanmarket.ua


Рекомендуем также
  • Guest Wi-Fi: создание гостевой сети Wi-Fi с ограничением скорости на пример ... » Довольно часто возникают ситуации, когда необходимо предоставить (дома, или же на предприятии) доступ к Интернет через беспроводную сеть сторонним лицам. Сети бывают разными: одни выполняют только ...

  • Автозапуск VPN в Windows 7 (PPTP, L2TP) » Вчера один мой сосед попросил настроить ему автоматические подключение к интернету, без ручного запуска VPN. Классическое решение с bat-файлами меня не устроили, особенно учитывая, что за компом ...

  • Обзор маршрутизатора Mikrotik hEX rev.3 (RB750Gr3): аппаратный IPSec, мощны ... » Компания Mikrotik анонсировала обновление маршрутизатора hEX до 3-ей ревизии– RB750Gr3. Размеры и корпус остались практически без изменений, как и цена! Несмотря на отсутствие визуальных ...

  • Обзор маршрутизатора Mikrotik RB2011UiAS-RM (RouterBoard 2011): рабочая лош ... » На днях к нам на тест попал один из самых доступных стоечных маршрутизаторов от Mikrotik, модель RB2011UiAS-RM. Mikrotik RB2011UiAS-RM, как и все модели RB2011 очень напоминают гибриды Mikrotik CRS ...

  • Домашний роутер на Mikrotik. Базовые настройки безопасности в RouterOS. » Итак, вы купили роутер Mikrotik, принесли его домой, распаковали. Что с ним делать дальше? К порту 1 (WAN) следует подключить кабель от интернет-провайдера. Компьютер (ноутбук) подключаем к любому ...

  • Подключаем 3G-модем к Mikrotik: самый простой вариант резервирования канала ... » Не так давно на одном из небольших филиалов у нас возникли проблемы с интернет-провайдером. Суть проблемы следующая. Есть государственное учреждение, на первом этаже которого есть небольшой филиал. ...

  • Обзор маршрутизатора Mikrotik hAP (RB951Ui-2nD): золотая середина » 27 марта, на конференции Mikrotik User Meeting 2015 (MUM 2015) в Праге, компания Mikrotik не только представила hAP lite (RB941-2nD), но и огласила свои планы по выпуску линейки домашних ...


  • Заметка опубликована 03.09.15. Со времени публикации её просмотрели 10803 раз. Если вам понравилась заметка «Объединение локальных сетей и офисов на Mikrotik с помощью L2TP», вы можете поделиться ею со своими друзьями. Всё, что требуется сделать - нажать на одну (или несколько) из кнопок чуть ниже.



     

    К данной публикации комментариев ещё нет, но вы можете оставить свой комментарий первым, для этого воспользуйтесь формой ниже. После проверки ваше сообщение появится на сайте. Убедительная просьба соблюдать правила комментирования.

    Представьтесь:*
    E-Mail (не публикуется):
     
     
     
     
     
     
    Я ознакомлен(а) и принимаю правила комментирования.
    Включите эту картинку для отображения кода безопасностиНе читабельно? Обновите код!



    Последние заметки в блоге

     
    11.11
    2016
    Скидки в Rozetka.com.ua: ноябрь 2016, промокод ко Дню Шопинга 11.11: Итак, друзья, продолжаем традицию с промокодами. Для тех, кто не... [ Читать ]
    03.11
    2016
    Mikrotik обновил часть своих устройств: новые процессоры и радиомодули для cAP, mAP, OmniTIK 5, OmniTIK 5 PoE, QRT 2, SXT 2, DynaDish 5, SXT HG5 ac, SXT 5 ac, SXT SA5 ac и SXT Lite5 ac: Компания Mikrotik анонсировала большое обновление для своих устройств. Чуть ранее... [ Читать ]
    03.11
    2016
    Обзор маршрутизатора Mikrotik hEX rev.3 (RB750Gr3): аппаратный IPSec, мощный двуядерный процессор, 256 Мб оперативки и поддержка Dude Server: Компания Mikrotik анонсировала обновление маршрутизатора hEX до 3-ей ревизии– RB750Gr3.... [ Читать ]
    03.11
    2016
    Обзор Ubiquiti Rocket 5ac Prism: оптимальное решение для базовых станций и линков PTP по соотношению цена/качество: Год назад, на конференции Ubiquiti NEXT 2015, проходящей в Лас-Вегасе,... [ Читать ]
    01.11
    2016
    Сравнительный обзор EdgePoint EP-R6, EP-R8 и EP-S16: упрощаем коммутацию внутри сети: 12 октября в Лас-Вегасе на ежегодной конференции NEXT 2015 Роберт... [ Читать ]

    Самое популярное

     

    На правах рекламы ↓

     

    Навигация по тегам

     
    802.11ac, 802.11n, Android, DVB-T2, EdgeRouter, Google, hAP, hAP lite, Mikrotik, Parom.TV, RB951, RB951Ui-2HnD, RouterBOARD, RouterOS, Rozetka, rozetka.com.ua, Strong, Strong 8500, Strong SRT 8500, Trimax, Ubiquiti, UBNT, UniFi, Wi-Fi, Winbox, маршрутизатор, настройка, обзор, обновление, онлайн ТВ, планшет, промо, промо-код, прошивка, ресивер, роутер, сайт, скидки, тест, точка доступа

    Показать все теги