L2TP Mikrotik：設定。 機器Mikrotik

今、ますます多くの企業とその枝は単一の情報ネットワークに団結する傾向があるので、この質問は非常に関連性があります。 また、多くの場合、それは世界中のどこからでも従業員のためのネットワークを提供できるようにする必要があります。 その後、適切にネットワークを統合する方法を、この記事では、L2TPのパラメータを変更する例を説明します。 Mikrotik、後述する設定は、家庭やオフィスの両方のために良い選択肢であると考えられています。 ハップliteの機能に、あなたは少しの努力で、各従業員のためのリモートアクセスで作業することができます。 パフォーマンスのルータは、会社の前があまりにも多くの要求をしない小規模オフィスで作業することができます。

かなり頻繁にオフィスや支店を持つ同じローカルネットワークインチ 彼らは、同じプロバイダで動作するので、信号接続プロセスは非常に簡単です。 かなり頻繁に分岐がメインの中心から遠くでかつ互いに位置していることに留意すべきです。 最も必要とモーメントと呼ばれる技術で、関連する仮想プライベートネットワーク（VPN）。 これは、多くの方法で実施することができます。 技術は時代遅れ、とOpenVPNのであるとしてPPTPを使用することは推奨されません。 後者は、すべてのデバイスと通信することができません。

L2TPプロトコル

調整は、後述するL2TPプロトコルMikrotik、の相対的利用可能性は、多くのオペレーティングシステム上で実行することが可能です。 これは、最もよく知られていると考えられています。 クライアントがNATの背後になるときにそれらの問題にのみ発生する可能性があります。 この場合、特別なソフトウェアは、そのパッケージをブロックします。 この問題に対処する方法があります。 このプロトコルは、その欠点を有しています。

例えば、L2TPのものは、セキュリティとパフォーマンスとみなすことができます。 IPSecは、セキュリティレベルを高めるために使用される場合、第二成分が低減されます。 このいわゆるデータセキュリティ価格。

サーバーの設定

マスターサーバーは、静的IPアドレスのタイプを持っている必要があります。 彼の例があります：192.168.106.246。 いずれの場合のアドレスが変更されないので、このニュアンスは、非常に重要です。 それ以外の場合は、所有者や他のユーザーがDNS名、不要なアクションとのトラブルを自分で使用する必要があります。

プロファイルを作成します。

プロファイルを作成するには、PPPのセクションに移動する必要があります。 「プロファイル」メニューがあります。 さらにすなわち、単一のネットワーク、VPN接続のタイプに適用されるプロファイルを形成する必要があります。 なお、以下のオプションが含まれるべきである：「変更TCP MSS»、«使用圧縮」、 『使用の暗号化を』。 後者のオプションとしては、それはデフォルト値をとります。 私たちは、ルータMikrotikで作業を続けています。 L2TPサーバーと設定が非常に複雑なので、あなたはすべてのステップを監視する必要があります。

次に、ユーザは、「インターフェイス」タブに移動する必要があります。 L2TPサーバーに注意が払わなければなりません。 「有効にする」ボタンを押しての情報メニュー。 それはユニークで、少し先に作成したプロファイルは、デフォルトで選択されます。 あなたがしたい場合は、認証の種類を変更することができます。 ユーザーが何かを理解していない場合でも、それはデフォルト値のままにするのが最善の方法です。 IPsecのオプションが活性化されていないままにしてください。

その後、ユーザーは、「秘密」に移動して、ネットワーク上のユーザを作成する必要があります。 コラム「サーバー」では、あなたは、L2TPを指定する必要があります。 ここで必要に応じてMikrotikに使用されるプロファイルを示しています。 L2TPサーバの設定とほぼ終了。 ローカルおよびリモートサーバのアドレスが同じでなければなりません、違いは、下2桁のみを持っています。 この値は、それぞれ10.50.0.10/11。 必要な場合は、追加のユーザーを作成する必要があります。 ローカルアドレスは、しかし、変わらないままですが、遠隔は次第に同じ値に増加させる必要があります。

ファイアウォールの設定

ユニファイドネットワークで動作するためには、UDPポートの特殊なタイプを開く必要があります。 これは、ルールの優先順位を上昇し、上記位置を移動させます。 良い仕事のL2TPを達成するための唯一の方法。 Mikrotik構成は、それはいくつかの努力には本当に複雑ですが、。 さらに、チューナーは、NATやマスカレードを追加するにはログインする必要があります。 コンピュータが同じネットワーク内で見ることができるようにするためです。

ルートを追加します

リモートサブネットは、すべての設定時に作成されました。 それがルートを指定する必要があること。 サブネットの最終的な値は192.168.2.0/24することができます。 ゲートウェイは、ネットワーク自体にクライアントの同じアドレスで動作します。 ターゲット・ボリュームが団結する必要があります。 このすべてのエンドサーバ構成で、あなただけのクライアントパラメータの変更を保持します。

クライアントの設定

さらに調整を通じてL2TP技術「Mikrotik」クライアント構成は、大きな注意を払う必要があります。 「インターフェイス」セクションに移動し、新しいL2TPクライアントタイプを作成する必要があります。 あなたは、サーバーのアドレスと資格情報を指定する必要があります。 暗号化はデフォルトで選択され、ルートの近くにデフォルトのオプションは、起動チェックを除去する必要があります。 正しく行わ場合は、接続を保存した後L2TPネットワークに表示されます。 セットアップがほぼ完了してMikrotikは、VPNで使用するための優れたオプションです。

私たちは、グリッドで作成したノードのパフォーマンスをチェック。 192.168.1.1の値を入力します。 接続がリセットされなければなりません。 新しいスタティックルートタイプを作成することが必要です。 これは、サブネット192.168.1.0/24タイプです。 ゲートウェイ - 仮想ネットワークアドレスサーバ。 「ソース」は、ユーザのネットワークのアドレスを指定する必要があります。 いわゆるpingの操作性のノードを再チェックした後、化合物が現れていることがわかります。 しかし、グリッド内のコンピュータはまだそれを見ることはありません。 接続することを可能にするために、マスカレード作成します。 彼はすでにサーバー上に作成されたものと完全に類似しているべきです。 前記出力インタフェースは、値VPN型接続を有します。 pingが結実した場合、すべてが動作するはずです。 トンネルが作成され、コンピュータがグリッド内に接続して作業することができます。 良い関税パッケージで簡単に毎秒50メガビットの速度を求めます。 そのようなインジケータはMikrotikのIPsec（L2TPを使用して）技術が故障した場合にのみ達成することができます。

この標準的なネットワーク構成で完了します。 新しいユーザーが追加された場合、それは別のルートを追加するには、そのデバイス上にある必要があります。 その後、デバイスは、お互いが表示されます。 クライアント1とクライアント2から氷ルート場合は、サーバー上のすべての設定は変更する必要はありません。 あなたは、単にルートを作成し、ネットワーク対戦相手のゲートウェイアドレスを設定することができます。

MikrotikでL2TPとIPSecの設定

あなたはセキュリティの世話をする必要がある場合は、IPSecを使用する必要があります。 あなたは古いものを使用することができ、新しいネットワークを作成する必要はありません。 あなたがタイプ10.50.0のアドレス間のプロトコルを作成する必要がありますのでご注意ください。 これは関係なく、どのようなクライアントのアドレスの、技術が動作するようになります。

サーバとクライアントの間でWAN MikrotikでIPSecトンネルを作成する欲求がある場合は、後者は外部アドレスだったことを確認する必要があります。 彼は動的である場合、スクリプトを使用してプロトコルのポリシーを変更する必要があります。 IPSecは、外部アドレス、一般的には、およびL2TPの必要性の間で有効になっている場合は最小限に低減されます。

パフォーマンスをチェック

あなたは、パフォーマンスをチェックする設定の終了を確認してください。 これは、L2TP / IPSecのカプセル化を使用しているときは、CPUは非常に重いであることを意味し、ダブルタイプによって発生しているという事実にあります。 あなたがネットワークを作成するとき、多くの場合、接続速度が低下していることがわかります。 いくつかの10のストリームを作成することによって、それを増やします。 次に、プロセッサは、ほぼ百パーセントをロードされます。 これは、L2TP IPSecの技術Mikrotikの主な欠点です。 これは、パフォーマンスを犠牲にして最大の安全性を確保しています。

良いスピードを得るために、あなたは、技術の高いレベルを購入する必要があります。 また、コンピュータとRouterOSとの仕事をサポートするルータを選ぶことができます。 彼は暗号化ハードウェアユニットを持っている場合は、パフォーマンスが大幅に向上します。 残念ながら、安価な機器Mikrotikこの結果はしません。