Ръководство стъпка по стъпка за мрежово свързване чрез L2TP и L2TP
В ерата на тоталната информатизация на всички бизнес процеси въпросът за комбинирането на отдалечени офиси и клонове помежду си в една информационна мрежа става все по-остър. Доста често важна роля играе способността да се осигури отдалечен достъп за служителите от дома или навсякъде по света, където има достъп до интернет.
Ще разгледаме взаимовръзката на мрежата на примера на оборудването на Mikrotik. Рутерът RB2011UiAS-RM се използва като тестов сървър, което е отличен избор за малки офиси и компании с ограничен бюджет. Едно от най-достъпните решения се използва като краен клиент - Mikrotik hAP lite (RB941-2n).
Поради ниското си ниво, hAP lite може лесно да се използва у дома, за свързване на служители, които работят отдалечено. Добрият показател за ефективност позволява използването на това "бебе" дори в малки офиси, където няма високи изисквания.
Има ситуации, когато офисът и клоновете се намират в локалната мрежа на един и същ доставчик, което значително опростява процеса на свързване на мрежи. Въпреки това, най-често клоновете са географски обособени и могат да бъдат разположени на голямо разстояние един от друг.
Една от най-популярните технологии за такива цели е VPN - виртуална частна мрежа. За да внедрите VPN, можете да прибегнете до няколко опции: PPTP, L2TP, OpenVPN, SSTP и др. PPTP е остарял и OpenVPN и SSTP не се поддържат на всички устройства.
Поради тези причини, както и лесната му конфигурация и наличност на устройства, работещи с различни операционни системи, L2TP (Layer 2 Tunnel Protocol) е един от най-популярните тунелни протоколи. Проблеми могат да възникнат, когато клиентът е зад NAT и защитната стена блокира пакетите. Въпреки това, дори и в този случай, има решения за заобикаляне на ключалката. Един от недостатъците на L2TP е сигурността, която се решава с помощта на IPSec. Вторият и може би най-същественият недостатък е производителността. При използване на IPSec се получава двойно капсулиране, което намалява производителността - точно това е цената, която трябва да платите за сигурността на предадените данни.
Стенд за изпитване
За по-добро разбиране на настройките по-долу е дадена илюстрация, която показва структурата на мрежата.
Настройка на сървъра
Създаване на профили
Отиваме в секцията PPP, отваряме раздела Профили, тук трябва да създадете профил, който ще бъде приложен към VPN връзки. Проверете опциите Change TCP MSS, Use Compression, Use Encryption. По подразбиране ще се използва 128-битово MPPE криптиране.
Отидете в раздела Интерфейс. Щракнете върху L2TP Server, в прозореца, който се появява, поставете отметка в квадратчето Enabled и изберете профила по подразбиране, който създадохме по-рано. Тип удостоверяване, по желание - оставете го такъв, какъвто е, или изберете само MS-CHAP v2.
Оставете опцията IPsec забранена.
Отидете на Secrets, тук трябва да създадете нов потребител на VPN. Ние посочваме L2TP като услуга, можете веднага да посочите използвания профил.
Създаване на интерфейс
Ние създаваме собствен интерфейс за всеки потребител. Отворете раздела за интерфейси и щракнете върху плюса, изберете L2TP Server Binding от падащото меню, посочете показваното име и потребителско име. Когато потребителят се свърже, цялата информация ще се покаже тук.
Настройки на защитната стена
За да работи VPN, трябва да отворите UDP порт 1701 (верижен вход, протокол 17 (udp), dst-порт 1701, приемете). След това трябва да повишите приоритета на правилото, да го преместите по-нагоре.
След това влизаме в NAT и добавяме маскиране за VPN (верига srcnat, външен интерфейс всички ppp, маскарад за действие), това трябва да се направи, за да се виждат компютрите зад рутера.
Добавяне на маршрути
Регистрираме маршрут до отдалечена подмрежа. Крайната подмрежа е 192.168.2.0/24, IP на клиента във виртуалната мрежа действа като шлюз, в нашия случай това е 10.50.0.11, целевият обхват е зададен на един, Pref. Източник - локален IP на сървъра във виртуалната мрежа, 10.50.0.10.