Vpn l2tp site-to-site (об’єднання офісів)
схема мережі
У головному офісі встановлений маршрутизатор GW1. Він же буде налаштований в якості VPN-сервера. У філії встановлено маршрутизатор GW2, який буде налаштований як VPN-клієнт.
Налаштування першого маршрутизатора
Через графічний інтерфейс
Включити L2TP-сервер. Не дивлячись на те, що L2TP не несе в собі нормального шифрування, краще залишити тільки аутентифікацію "mschap2" як найбільш надійний.
Створити статичну запис L2TP сервера. Ця дія не обов'язково, т. К. Якщо запис створити вручну, то при кожному підключенні вона буде створюватися динамічно. Але при цьому наявність цього запису полегшує подальшу настройку і діагностику.
через консоль
/ Interface l2tp-server server
set authentication = mschap2 enabled = yes
/ Ppp secret
add local-address = 172.16.30.1 name = user1 password = user1-password profile = default-encryption remote-address = 172.16.30.2 service = l2tp
/ Interface l2tp-server
add name = "L2TP Server for filial1" user = user1
Налаштування другого маршрутизатора
Через графічний інтерфейс
Створити інтерфейс для підключення до першого маршрутизатора. Тут так само залишаємо тільки аутентифікацію "mschap2".
через консоль
/ Interface l2tp-client
add allow = mschap2 connect-to = 10.1.100.1 disabled = no name = "L2TP HQ connection" password = user1-password user = user1
Налаштування маршрутизації
Якщо на попередніх етапах все було зроблено вірно, то VPN-з'єднання між двома офісами було встановлено, але для того, що б обидві мережі могли обмінюватися інформацією один з одним вони повинні знати один про одного, т. Е. Між ними повинна бути налаштована маршрутизація . Для цього треба виконати наступні кроки:
На першому маршрутизаторе
/ Ip route
add comment = "route to filial1 through VPN" dst-address = 192.168.25.0 / 24 gateway = 172.16.30.2 pref-src = 192.168.15.1
На другому маршрутизаторе
через консоль
/ Ip route
add comment = "route to HQ through VPN" dst-address = 192.168.15.0 / 24 gateway = 172.16.30.1 pref-src = 192.168.25.1
HQ - це абревіатура від headquarter, що в перекладі означає головний офіс.
Примітка: Параметр Pref. Source (pref-src) не є обов'язковим. Він стає потрібен, якщо кількість філій буде більш одного. Без цього параметра не проходитимуть ping'і з маршрутизатора однієї філії до хостів і внутрішнього інтерфейсу маршрутизатора іншого філії. Чи не будуть проходити ping'і саме з маршрутизаторів, т. Е. Між хостами двох філій зв'язок буде.
Перевірка складається з двох частин:
- Треба переконатися, що між двома маршрутизаторами MikroTik встановлено VPN-з'єднання. Це описано нижче.
- Якщо VPN-з'єднання встановлено успішно, то далі треба перевірити чи є зв'язок між хостами в двох мережах. Для цього достатньо запустити ping з будь-якого комп'ютера в мережі на будь-який комп'ютер іншої мережі.
Через графічний інтерфейс
Після підключення, то статус підключення повинен відображатися з буквою "R". Що значить running, т. Е. Запущено.
через консоль
виконати команду
/ Interface l2tp-server print - на сервері
/ Interface l2tp-client print - на клієнті
Якщо з'єднання встановлено успішно, то статус підключення, так само, як і через графічний інтерфейс, повинен відображатися з буквою "R".