Реальность меняется, теперь работать в офисе – совершенно не обязательно. Работу можно выполнять из дома или из любой точки мира. Вместе с тем, встает вопрос подключения к рабочему компьютеру удаленно. При этом важно, чтобы передача данных была стабильной. Сегодня мы поговорим о подключении удаленной сети при помощи оборудования L2tp Mikrotik.
Многофункциональный роутер «Микротик» подходит для частного использования и для бизнеса.
Для крупных фирм, в которых сотрудники работают удаленно, самой популярной опцией в роутере служит объединение нескольких компьютеров в одну локальную сеть. Количество возможных удаленных офисов, которое поддерживает RouterOS, будет зависеть от модификации прошивки:
- 4 lvl – 200;
- 5 lvl – 500;
- 6 lvl – без ограничений.
Варианты VPN сервера в “Микротике”
Существует 2 способа реализации ВПН при помощи «Микротика». Отличие их в том, что в первом случае вы настраиваете подключение NPN между абонентами и Mikrotik, а во втором – два отдельных прибора.
Самый легкий и быстрый способ объединения двух Mikrotik IpSec VPN состоит в создании туннеля «site-to-site». Такой вид объединения часто используется для передачи данных между офисами по VPN-access. Это делается с применением EOIP Tunnel. Если вы решите не шифровать передаваемые данные, то соединение будет работать максимально быстро. Для настройки вам понадобятся два «белых» IP на каждом маршрутизаторе.
Соединение «Клиент — сервер» через Mikrotik (L2tp, SSTP, PPTP) гораздо удобнее, ведь с его помощью можно подключать к удаленному серверу через VPN не только несколько офисов, но и отдельных удаленных сотрудников. При этом достаточно иметь только один «белый» IP.
Как настроить домашнюю сеть через Интернет
Сейчас одним из самых простых и популярных типов подключения VPN-access служит L2tp. Его востребованность обоснована тем, что L2tp-клиент уже встроен в ОС Windows 10.
Для того, чтобы управлять рабочей сетью, находясь в командировке, отпуске или на удаленке — ваш маршрутизатор должен иметь реальный IP. Что это значит?
Что такое реальный IP?
Когда вы подключаетесь к Интернету, ваш компьютер (маршрутизатор) автоматически получает IP-адрес, при помощи которого происходит взаимодействие с сетью. Адрес может быть назначен как локальной сетью, так и вашим провайдером. При назначении адреса сетью — ваше оборудование будет скрыто от общего доступа. Если IP назначается провайдером, то компьютер или маршрутизатор становятся доступными через Интернет.
Что делать, если нет реального IP, но нужен доступ к локальной сети?
Как произвести настройку
Эту проблему просто решить при помощи маршрутизатора. Рассмотрим несколько вариантов построения ВПН-туннеля – для тех, кто никогда не работал с RouterOS и тех, кто уже имеет базовые знания по настройке.
Вариант настройки №1: для новичков
Маршрутизатор, в данном случае – VPN-клиент, а в качестве главного сервера используем рабочий сервер, которому присвоен реальный IP.
Далее объясняем, как настраивается маршрутизация на практике:
- Открываем поле меню PPP – Interface нажимаем «+» (добавить) и кликаем на L2tp Client.
https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_1.png
- Затем перед вами откроется окно, на вкладке General которого вы должны прописать название, например, «Удаленная работа». Затем кликаем на Dial Out и приступаем к настройке ключевых параметров соединения сервера:
- Connect to: IP реальный (например, 192.168.5.1).
- USER: ваше имя.
- Password: пароль.
Для обеспечения надежной защиты данных возможно поднять VPN с помощью L2tp IpSec VPN. Скорость работы будет ограничена параметрами Mikrotik. Если в ходе работы не нужно передавать большие объемы информации, то возможно приобрести недорогое оборудование одной из предыдущих модификаций, без аппаратной поддержки IpSec. Без этой опции вы сможете передавать 200-300 Мб по L2tp IpSec server.
- Если соединение начнет «подвисать», то берите более новую модель, уже с поддержкой. В этом случае, вам подойдут модели CRR серии.
Важно! L2tp IpSec VPN корректно работает только, если вы используете оборудование Mikrotik. В противном случае, шифрование данных лучше отключить!
https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_2.png
https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_3.png
С настройкой VPN-клиента мы справились. Теперь приступаем к настройке VPN-сервера: его функцию будет выполнять маршрутизатор Mikrotik L2tp.
- Открываем вкладку PPP – Interface, затем кликаем на L2tp Server и ставим отметку в поле Enable. Добавляем шифрование, как описано ранее, нажимаем «Принять» (Yes), вводим пароль в поле IPsec Secret. Сохраняем внесенные данные.
https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_4.png
- Мы подключили сервер. Теперь добавляем пользователя. Вписываем логин и пароль, которые мы уже прописывали со стороны клиента.
- Кликаем в Secrets, затем «+» (добавить) и добавляем данные, и выбираем ВПН-туннель.
https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_5.png
Основная настройка VPN клиента завершена. Теперь вы можете открыть с удаленного ноутбука Winbox и подключиться к рабочему компьютеру или маршрутизатору.
Winbox – программное обеспечение, с интуитивно понятным интерфейсом, которое поможет управлять настройками Mikrotik.
Метод подключения пригодится тем, кто хочет работать удаленно, при этом имеет стабильное Интернет-соединение и реальный IP. Если получить его невозможно, то стоит воспользоваться платными сервисами, обеспечивающими DDNS. Бесплатные – нестабильные в работе и могут подвести вас в важный момент «отвалившись».
Но для этого компания, которая производит оборудование Mikrotik VPN, разработала собственный облачный сервис, который предоставляет услуги DDNS.
Вариант настройки №2: для опытных пользователей
- Кликаем на «Быстрые настройки» (Quick Set), в появившемся окне активизируем VPN.
https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_6.png
- Единственное, что останется сделать – придумать пароль. Лучше воспользоваться генератором паролей, чтобы избежать взлома. Запишите пароль, чтобы не забыть его!
https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_7.png
*********.sn.mynetname.net – это внешний адрес вашей рабочей сети. «*» – цифры номера вашего маршрутизатора.
- По завершении всех настроек мы можем переходить к подключению себя, как клиента сети.
VPN-подключение к сети при помощи встроенного клиента MS Windows
- Открываем «Панель управления» Windows из компонентов «Пуск». Кликаем на «Центр управления сетями и общим доступом». Кликаем «Настройка нового подключения – Подключение к рабочему месту – Подключение к VPN».
https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_8.png
https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_10.png
https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_9.png
- Затем в поле «Интернет-адрес» вносим IP VPN и прописываем «Имя местоназначения».
https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_11.png
- Вводим пароль и имя, которое мы придумали в предыдущих шагах. Нажимаем «Подключить».
https://deps.ua/images/news/company/2020/7989/Управления_домашней_сетью_через_интернет_12.png
С помощью чего выполнить шифрование
Шифровать поток данных, направленных через Mikrotik, возможно через Proton VPN. Также можно скачать бесплатную версию программы. В полной платной версии Proton VPN будут доступны такие функции, как
- безлимитный трафик;
- шифрование и передача ключей;
- защита информации DNS;
- Always-on VPN и Killswitch;
- поддержка сетей Top, поддержка p2p и т.д.
Для передачи данных от Mikrotik, Proton VPN использует особую систему шифрования:
Так решается проблема отслеживания IP пользователя. Технология в чем-то схожа с Double или TrippleVPN.
У программы Proton VPN есть три версии: Visionary, Plus, Basic, которые различаются по стоимости, но все совместимы с Mikrotik.
Создание ВПН через командную строку
Как поднять подключение при помощи командной строки? Для кого-то способ может быть более понятным.
Создаем пул IP
Для создания вам понадобится «серая» подсеть и IP-адреса для подключения.
Применяем команду:
ip pool add name=<название> ranges=<IP-адреса>
Диапазон адресов, для ускорения процесса, можно прописать через дефис в формате:
/ip pool add name=vpn-pool ranges=172.24.0.*-172.24.0.***
Начиная от первого и заканчивая последним.
Создание PPP-профиля
PPP-профиль используется для привязки пула IP к VPN-серверу.
Применяем команду:
/ppp profile add name=vpn-profile local-address=172.24.0.254 remote-address=vpn-pool use-mpls=no use-compression=yes use-encryption=yes only-one=no
где:
- name=vpn-profile – имя профиля;
- local-address=***.**.*.*** – адрес сервера;
- remote-address=vpn-pool – какой пул будет отдавать адреса для пользователей;
- use-mpls=no – запрет на использование MPLS:
- use-compression=yes – «поджимаем» трафик;
- use-encryption=yes – при надобности запускаем шифрование данных;
- only-one=no – подключение сразу нескольких пользователей к серверу (пользователь не один).
Настройка NAT
Теперь нам нужно разрешить вход клиентам в сеть. Настраиваем VPN за провайдерским NAT.
Применяем команду:
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
Как создать пользователя
Пользователь создается командой:
/ppp secret add name=<логин> password=<пароль> service=<тип сервера>
Параметр «service» обозначает, к каким сервисам у пользователя будет доступ.
Создаем нового пользователя:
/ppp secret add name=vpn-user password=vpn-password service=any
Затем приступаем к генерации сертификатов.
Генерируем сертификаты
Нам понадобятся два сертификата: Certification authority и server.
Применяем команду:
/certificate add name=ca-template common-name=”MikroTik” days-valid=3650 key-usage=crl-sign,key-cert-sign
/certificate sign ca-template ca-crl-host=185.X.X.83 name=”MikroTik”
где параметр «ca-crl-host» – IP или домен.
Далее создаем сертификат «server»:
/certificate add name=server-template common-name=185.X.X.83 days-valid=3650 key-usage=digital-signature,key-encipherment,tls-server
/certificate sign server-template ca=”MikroTik” name=”server@MikroTik”
Подключаемся к IP, а не к домену.
Экспортируем CA:
/certificate export-certificate “MikroTik” export-passphrase=””
Настройка VPN под L2tp/IPsec Mikrotik
Алгоритм шифрования протокола сейчас практически не имеет багов. Значит шифрование при помощи AES будет безопасным.
Применяем команду:
/interface l2tp-server server set enabled=yes default-profile=vpn-profile authentication=mschap2 use-ipsec=required ipsec-secret=super-secret
Ipsec-secret – общий ключ, поэтому в настройках клиента нужно выбрать аутентификацию при помощи общего ключа.
https://selectel.ru/blog/wp-content/uploads/2020/10/2_L2TP-IPsec_1-1525×1356.jpg
Заключение
Мы надеемся, что наша инструкция поможет вам в работе и расширит возможности компании. Больше интересной и полезной информации вы можете найти в нашем блоге.
