L2TP Mikrotik: ការកំណត់។ ឧបករណ៍ Mikrotik

ក្រុមហ៊ុនកាន់តែច្រើននិងសាខារបស់ខ្លួនឥឡូវនេះមាននិន្នាការទៅចូលទៅក្នុងបណ្តាញពរួបរួមគ្នាតែមួយ, ដូច្នេះសំណួរនេះគឺមានពាក់ព័ន្ធណាស់។ ដូចគ្នានេះផងដែរជាញឹកញាប់វាត្រូវការដើម្បីអាចផ្តល់បណ្តាញមួយសម្រាប់បុគ្គលិកពីគ្រប់ទីកន្លែងនៅក្នុងពិភពលោក។ បន្ទាប់មករបៀបបញ្ចូលបណ្តាញនេះបានត្រឹមត្រូវ, អត្ថបទនេះនឹងពន្យល់អំពីឧទាហរណ៍នៃការផ្លាស់ប្តូរប៉ារ៉ាម៉ែត្រនៃ L2TP នេះ។ Mikrotik ការកំណត់ដែលត្រូវបានរៀបរាប់នៅពេលក្រោយ, ត្រូវបានចាត់ទុកថាជាជម្រើសល្អសម្រាប់ទាំងផ្ទះនិងការិយាល័យ។ ដោយសារតែលក្ខណៈពិសេសតូចហាប់, អ្នកអាចជាមួយនឹងការខិតខំប្រឹងប្រែងតិចតួចដើម្បីធ្វើការជាមួយដំណើរការពីចម្ងាយសម្រាប់បុគ្គលិកនីមួយ។ រ៉ោតទ័រការសម្តែងអនុញ្ញាតឱ្យទៅធ្វើការនៅក្នុងការិយាល័យតូចមួយ, ដែលជាកន្លែងដែលផ្នែកខាងមុខនៃក្រុមហ៊ុនមួយនេះមិនបានធ្វើឱ្យតម្រូវការច្រើនពេក។

ជាញឹកញាប់នៅក្នុងបណ្តាញមូលដ្ឋានដូចគ្នាជាមួយនឹងការការិយាល័យនិងសាខា។ ពួកគេបានធ្វើជាមួយអ្នកផ្តល់សេវាដូចគ្នា, ដូច្នេះដំណើរការតភ្ជាប់សញ្ញាគឺស្មុគស្មាញ។ វាគួរតែត្រូវបានកត់សម្គាល់ថាជាញឹកញាប់ត្រូវបានគេដែលមានទីតាំងស្ថិតនៅសាខាមួយចម្ងាយពីចំនុចកណ្តាមេនិងពីគ្នាទៅវិញទៅមក។ ភាគច្រើនត្រូវការជាចាំបាច់និងពាក់ព័ន្ធនៅពេលនេះបច្ចេកវិទ្យាដែលគេហៅថា បណ្តាញឯកជននិម្មិត (VPN) ។ វាអាចត្រូវបានអនុវត្តនៅក្នុងវិធីជាច្រើន។ វាមិនត្រូវបានផ្ដល់អនុសាសន៍ឱ្យប្រើ PPTP, ដូចជាបច្ចេកវិទ្យានេះត្រូវបានហួសសម័យនិង OpenVPN ។ ក្រោយមកទៀតមិនអាចទាក់ទងជាមួយនឹងឧបករណ៍ទាំងអស់។

ពិធីការ L2TP

ដោយសារតែភាពអាចរកបានទាក់ទងនៃពិធីការ L2TP នេះ Mikrotik ដែលការលៃតម្រូវនឹងត្រូវបានរៀបរាប់នៅពេលក្រោយ, វាអាចដំណើរការនៅលើប្រព័ន្ធប្រតិបត្តិការជាច្រើន។ វាត្រូវបានគេចាត់ទុកថាជាបានគេស្គាល់ថាល្អបំផុត។ មានបញ្ហាជាមួយនឹងពួកគេអាចកើតមានឡើងតែនៅពេលម៉ាស៊ីនភ្ញៀវនឹងមាននៅពីក្រោយត។ ក្នុងករណីនេះកម្មវិធីពិសេសនេះនឹងរារាំងកញ្ចប់របស់ខ្លួន។ មានវិធីមួយដើម្បីដោះស្រាយបញ្ហានេះ។ ពិធីការនេះមានគុណវិបត្តិរបស់ខ្លួន។

ឧទាហរណ៍, អ្នកដែលនៃអាចត្រូវបាន L2TP ចាត់ទុកថាជាសន្តិសុខនិងការសម្តែង។ ពេល IPSec ត្រូវបានប្រើដើម្បីបង្កើនកម្រិតសន្តិសុខសមាសភាគទីពីរត្រូវបានកាត់បន្ថយ។ ទិន្នន័យដែលគេហៅថាតម្លៃសន្ដិសុខនេះ។

ការរៀបចំម៉ាស៊ីនបម្រើបាន

ម៉ាស៊ីនបម្រើមេត្រូវតែមានប្រភេទអាសយដ្ឋាន IP ឋិតិវន្ត។ មានឧទាហរណ៍របស់គាត់គឺ: 192.168.106.246 ។ nuances នេះគឺមានសារៈសំខាន់ណាស់, ដោយសារតែអាសយដ្ឋាននៅក្នុងករណីណាដែលមិនគួរត្រូវបានផ្លាស់ប្តូរ។ បើមិនដូច្នោះទេម្ចាស់និងអ្នកប្រើផ្សេងទៀតនឹងត្រូវប្រើឈ្មោះ DNS-ឈ្មោះនិងបញ្ហាខ្លួនឯងជាមួយនឹងសកម្មភាពដែលមិនចាំបាច់។

បង្កើតទម្រង់

ដើម្បីបង្កើតទម្រង់មួយ, អ្នកត្រូវការដើម្បីចូលទៅក្នុងផ្នែកក្របខ័ណ្ឌ PPP ។ "ទម្រង់" វានឹងមានម៉ឺនុយ។ លើសពីនេះទៀតវាគឺជាការចាំបាច់ដើម្បីបង្កើតទម្រង់ដែលនឹងត្រូវបានអនុវត្តទៅប្រភេទនៃការតភ្ជាប់ VPN ឧបណ្តាញតែមួយ។ វាគួរតែត្រូវបានកត់សម្គាល់និងរួមបញ្ចូលទាំងជម្រើសដូចខាងក្រោមនេះ: "ការផ្លាស់ប្តូរការ TCP MSS », «ប្រើការបង្ហាប់", "ប្រើការអ៊ីនគ្រីប" ។ ដូចជាសម្រាប់ជម្រើសចុងក្រោយនេះវានឹងយកតម្លៃលំនាំដើម។ យើងបន្តធ្វើការជាមួយរ៉ោតទ័រ Mikrotik នេះ។ ម៉ាស៊ីនបម្រើ L2TP និងការកំណត់មានលក្ខណៈស្មុគស្មាញ, ដូច្នេះអ្នកចាំបាច់ត្រូវមើលគ្រប់ជំហាន។

បន្ទាប់, អ្នកប្រើត្រូវការដើម្បីចូលទៅកាន់ផ្ទាំង "ចំណុចប្រទាក់" ។ មានត្រូវយកចិត្តទុកដាក់នោះ L2TP ម៉ាស៊ីនបម្រើ។ ម៉ឺនុយពមួយនៅក្នុងការដែលចុចប៊ូតុង "អនុញ្ញាត" ។ ទម្រង់នេះនឹងត្រូវបានជ្រើសដោយលំនាំដើម, ដូចដែលវាគឺជាការតែមួយគត់និងបានបង្កើតមុននេះបន្តិច។ ប្រសិនបើអ្នកចង់អ្នកអាចផ្លាស់ប្តូរប្រភេទនៃការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ។ ប៉ុន្តែប្រសិនបើអ្នកប្រើមិនយល់អ្វីនោះទេវាជាការល្អបំផុតដើម្បីទុកតម្លៃលំនាំដើម។ ជម្រើស IPsec គួរតែនៅតែ unactivated ។

បន្ទាប់ពីនោះអ្នកប្រើត្រូវការដើម្បីចូលទៅកាន់ "សម្ងាត់" និងបង្កើតអ្នកប្រើនៅលើបណ្តាញ។ នៅក្នុងជួរឈរ "ម៉ាស៊ីនបម្រើ" អ្នកត្រូវបញ្ជាក់ L2TP ។ ប្រសិនបើអ្នកចង់បាននៅទីនេះបង្ហាញថាទម្រង់ដែលនឹងត្រូវបានប្រើនៅក្នុងការ Mikrotik ។ ការកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនបម្រើ L2TP និងបានបញ្ចប់ស្ទើរតែ។ អាសយដ្ឋានម៉ាស៊ីនបម្រើមូលដ្ឋាននិងពីចម្ងាយត្រូវតែមានដូចគ្នានេះ, ភាពខុសគ្នានោះគឺពួកគេមានតែលេខពីរខ្ទង់ចុងក្រោយ។ តម្លៃនេះ 10.50.0.10/11 រៀង។ បើចាំបាច់, អ្នកត្រូវតែបង្កើតអ្នកប្រើបន្ថែម។ អាសយដ្ឋានក្នុងស្រុក, ទោះជាយ៉ាងណា, តែមិនផ្លាស់ប្តូប៉ុន្តែការពីចម្ងាយគឺជាការចាំបាច់ដើម្បីបង្កើនជាបណ្តើរទៅនឹងតម្លៃដូចគ្នា។

កំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើង

ក្នុងគោលបំណងដើម្បីធ្វើការជាមួយបណ្តាញតែមួយ, អ្នកត្រូវការបើកជាប្រភេទពិសេសមួយនៃច្រក UDP ។ វាកើនឡើងការគ្រប់គ្រងនិងផ្លាស់ទីអាទិភាពទីតាំងខាងលើ។ មធ្យោបាយតែមួយគត់ដើម្បីសម្រេចបាននូវ L2TP ការងារល្អ។ ការកំណត់រចនាសម្ព័ន្ធ Mikrotik គឺមានភាពស្មុគស្មាញនោះទេប៉ុន្តែវាពិតជាមួយនឹងការខិតខំប្រឹងប្រែងមួយចំនួន។ លើសពីនេះទៀតឧបករណ៍ចាប់ប៉ុស្តិ៍ត្រូវតែចូលក្នុងដើម្បីបន្ថែមតមួយនិង masquerading ។ នេះត្រូវបានធ្វើដូច្នេះកុំព្យូទ័រអាចត្រូវបានគេមើលឃើញថានៅក្នុងបណ្តាញដូចគ្នានេះ។

លោកបានបន្ថែមផ្លូវ

បណ្ដាញរងពីចម្ងាយត្រូវបានបង្កើតឡើងក្នុងអំឡុងពេលនៃការកំណត់ទាំងអស់។ ថាវាត្រូវតែបានបញ្ជាក់ផ្លូវ។ តម្លៃចុងក្រោយនៃបណ្ដាញរងដែលត្រូវបាន 192.168.2.0/24 ។ ផ្លូវចេញចូលផងដែរដើរតួនាទីនៅអាសយដ្ឋានដូចគ្នានៃម៉ាស៊ីនភ្ញៀវក្នុងបណ្តាញខ្លួនវានោះទេ។ ទំហំគោលដៅគួរតែមានការឯកភាពគ្នា។ ទាំងអស់នេះកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនបម្រើចុងបញ្ចប់, អ្នកកាន់ការផ្លាស់ប្តូរប៉ារ៉ាម៉ែត្រតែម៉ាស៊ីនភ្ញៀវ។

ការកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនភ្ញៀវ

តាមរយៈការលៃតម្រូវបន្ថែមទៀតច្ចេកវិទ្យា "Mikrotik" ការកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនភ្ញៀវ L2TP គួរតែត្រូវបានយកចិត្តទុកដាក់យ៉ាងខ្លាំង។ វាគឺជាការចាំបាច់ក្នុងការចូលទៅកាន់ "ចំណុចប្រទាក់" ផ្នែកនិងបង្កើតប្រភេទម៉ាស៊ីនភ្ញៀវ L2TP ថ្មីមួយ។ អ្នកត្រូវតែបញ្ជាក់អាសយដ្ឋានរបស់ម៉ាស៊ីនបម្រើនិងលិខិតសម្គាល់។ ការបម្លែងជាកូដត្រូវបានជ្រើសដោយលំនាំដើមជម្រើសលំនាំដើមនៅក្បែរផ្លូវគឺជាការចាំបាច់ដើម្បីយកពិនិត្យមើលសកម្មភាពនេះ។ ប្រសិនបើធ្វើបានត្រឹមត្រូវ, បន្ទាប់មកបន្ទាប់ពីការរក្សាទុកការតភ្ជាប់គួរបង្ហាញនៅក្នុងបណ្តាញ L2TP នេះ។ Mikrotik ដែលការដំឡើងគឺមានស្ទើរតែបានបញ្ចប់, គឺជាជម្រើសល្អសម្រាប់ការប្រើប្រាស់ជាមួយនឹង VPN ។

យើងបានពិនិត្យមើលការអនុវត្តនៃថ្នាំងបង្កើតក្នុងក្រឡាចត្រង្គមួយ។ បញ្ចូលតម្លៃនៃ 192.168.1.1 នេះ។ ការតភ្ជាប់គួរតែកំណត់ឡើងវិញ។ ដូច្នេះវាគឺជាការចាំបាច់ដើម្បីបង្កើតប្រភេទថ្មីមួយផ្លូវឋិតិវន្ត។ វាជាប្រភេទមួយ 192.168.1.0/24 បណ្ដាញរង។ ផ្លូវចេញចូល - ម៉ាស៊ីនបម្រើអាសយដ្ឋានបណ្តាញនិម្មិត។ នេះជា "ប្រភព" គឺជាការចាំបាច់ដើម្បីបញ្ជាក់អាសយដ្ឋាននៃបណ្តាញអ្នកប្រើ។ បន្ទាប់ពីថ្នាំង rechecking operability ដូច្នេះគេហៅថាប៉ុងវាអាចត្រូវបានគេមើលឃើញថាបរិវេណនេះបានបង្ហាញខ្លួន។ ទោះជាយ៉ាងណា, កុំព្យូទ័រក្នុងក្រឡាចត្រង្គនៅតែមិនឃើញវា។ ក្នុងគោលបំណងដើម្បីអនុញ្ញាតឱ្យពួកគេដើម្បីតភ្ជាប់បង្កើត masquerading ។ គាត់គួរតែមានលក្ខណៈស្រដៀងគ្នាយ៉ាងពេញលេញទៅនឹងអ្វីដែលមានរួចទៅហើយបានបង្កើតនៅលើម៉ាស៊ីនបម្រើ។ ម្ល៉ោះចំណុចប្រទាក់ទិន្នផលនេះមានការភ្ជាប់ VPN ប្រភេទតម្លៃ។ ប្រសិនបើមានប៉េងដើម្បីផល, បន្ទាប់មកអ្វីគ្រប់យ៉ាងដែលគួរតែធ្វើការ។ ផ្លូវរូងក្រោមដីនេះត្រូវបានបង្កើតឡើង, កុំព្យូទ័រនេះអាចតភ្ជាប់ទៅនិងការងារក្នុងក្រឡាចត្រង្គ។ ជាមួយនឹងកញ្ចប់ពន្ធយ៉ាងងាយស្រួលទទួលបានល្បឿនល្អ 50 megabits ក្នុងមួយវិនាទីនោះទេ។ សូចនាករបែបនេះអាចត្រូវបានសម្រេចតែនៅក្នុងករណីនៃការបរាជ័យនៃបច្ចេកវិទ្យា (ដោយប្រើ L2TP) IPSec ក្នុង Mikrotik ។

ការកំណត់រចនាសម្ព័ន្ធបណ្តាញស្ដង់ដារក្នុងការនេះត្រូវបានបញ្ចប់។ ប្រសិនបើមានអ្នកប្រើថ្មីត្រូវបានបន្ថែម, វាគួរតែមាននៅលើឧបករណ៍របស់ខ្លួនដើម្បីបន្ថែមផ្លូវផ្សេងទៀត។ បន្ទាប់មកឧបករណ៍នេះនឹងមើលឃើញគ្នាទៅវិញទៅមក។ បើសិនជាការិយាល័យពី Client1 ផ្លូវនិង Client2, បន្ទាប់មកការកំណត់ណាមួយនៅលើម៉ាស៊ីនបម្រើមិនត្រូវការផ្លាស់ប្តូរ។ ជាធម្មតាអ្នកអាចបង្កើតផ្លូវនិងការកំណត់អាសយដ្ឋានផ្លូវចេញចូលរបស់គូប្រជែងណ្តាញ។

ការកំណត់រចនាសម្ព័ន្ធ L2TP និង IPSec ក្នុង Mikrotik

ប្រសិនបើអ្នកត្រូវការដើម្បីថែរក្សាសន្ដិសុខ, អ្នកគួរប្រើ IPSec ។ អ្នកមិនចាំបាច់ដើម្បីបង្កើតបណ្តាញថ្មីមួយ, អ្នកអាចប្រើចាស់។ សូមចំណាំថាអ្នកត្រូវតែបង្កើតពិធីការរវាងអាសយដ្ឋាននៃប្រភេទ 10.50.0 នេះ។ នេះនឹងអនុញ្ញាតឱ្យបច្ចេកវិទ្យាដើម្បីធ្វើការដោយមិនគិតពីអ្វីដែលអាសយដ្ឋានរបស់អតិថិជន។

ប្រសិនបើមានគឺជាបំណងប្រាថ្នាមួយដើម្បីបង្កើតផ្លូវរូងក្រោមដី IPSec រវាងម៉ាស៊ីនបម្រើនៅ Mikrotik និងកម្មវិធី WAN មួយ, បន្ទាប់មកអ្នកត្រូវធ្វើឱ្យប្រាកដថាចុងក្រោយនេះគឺជាអាសយដ្ឋានខាងក្រៅ។ បើគាត់ជាថាមវន្ត, វាគឺជាការចាំបាច់ដើម្បីផ្លាស់ប្តូរគោលនយោបាយពិធីការដោយប្រើស្គ្រីប។ ប្រសិនបើអ្នកត្រូវបានអនុញ្ញាតរវាង IPSec អាសយដ្ឋានខាងក្រៅ, នៅក្នុងទូទៅ, និងតម្រូវការសម្រាប់ L2TP នឹងត្រូវបានកាត់បន្ថយដល់កម្រិតអប្បបរមា។

ការសម្តែងពិនិត្យ

ត្រូវប្រាកដថាចុងបញ្ចប់នៃការកំណត់ដែលអ្នកចង់ពិនិត្យមើលការសម្តែងនេះ។ នេះគឺដោយសារតែការពិតដែលថានៅពេលប្រើ L2TP / IPSec កើតឡើងដោយ encapsulation ប្រភេទពីរដង, ដែលមានន័យថាស៊ីភីយូគឺធ្ងន់ណាស់។ ជាញឹកញាប់នៅពេលដែលអ្នកបង្កើតបណ្តាញមួយនេះវាត្រូវបានគេឃើញថាល្បឿនការតភ្ជាប់នេះបានធ្លាក់ចុះ។ បង្កើនវាដោយបង្កើតមួយចំនួន 10 ស្ទឹង។ បន្ទាប់មកដំណើរការនេះនឹងត្រូវបានផ្ទុកស្ទើរតែមួយរយភាគរយ។ នេះគឺជាគុណវិបត្តិសំខាន់នៃបច្ចេកវិទ្យា L2TP IPSec Mikrotik ។ វាជាការឱ្យគ្រោះថ្នាក់ដល់ការសម្តែងនេះបានធានាសុវត្ថិភាពអតិបរមា។

ក្នុងគោលបំណងដើម្បីទទួលបាននូវល្បឿនបានល្អ, អ្នកត្រូវការដើម្បីទិញកម្រិតខ្ពស់នៃបច្ចេកទេស។ អ្នកអាចជ្រើសរើសយករ៉ោតទ័រដែលគាំទ្រដល់ការធ្វើការជាមួយកុំព្យូទ័រនិង RouterOS នេះ។ ប្រសិនបើគាត់នឹងមានអង្គភាពផ្នែករឹងការអ៊ីនគ្រីប, ការសម្តែងយ៉ាងខ្លាំងធ្វើអោយប្រសើរឡើងនូវ។ ជាអកុសលឧបករណ៍ដែលមានតំលៃថោក Mikrotik លទ្ធផលនេះនឹងមិន។