Вы находитесь на странице: 1из 25

L2tp + IPSec

VPN site to site

mikrotik-training.ru
L2tp + IPSec VPN site to site

Содержание
• L2tp + ipsec

• Автоматическая настройка – use ipsec

• Ручная настройка ipsec

• Ручная настройка L2tp + ipsec ikev2 c


сертификатами

• Маршруты

• PPP Multilink Protocol

• Выводы

Курсы по Mikrotik с гарантией результата


Знакомство с Dot1x на MikroTik RouterOS

Курсы по Mikrotik с гарантией результата


Знакомство с Dot1x на MikroTik RouterOS

Курсы по Mikrotik с гарантией результата


Знакомство с Dot1x на MikroTik RouterOS

Курсы по Mikrotik с гарантией результата


L2tp + IPSec VPN site to site

Tunnel

Курсы по Mikrotik с гарантией результата


L2tp + IPSec VPN site to site

L2tp
• L2TP ( Layer 2 Tunneling Protocol — протокол туннелирования
второго уровня

• Является протоколом Сеансового уровня и использует


зарегистрированный UDP-порт 1701

• MikroTik RouterOS поддерживает как как L2TP client так и l2TP


server

• Есть возможность использовать IPSEC

• Поддерживается большинством ОС в том числе и мобильных

Курсы по Mikrotik с гарантией результата


L2tp + IPSec VPN site to site

Ipsec transport mode

Общий смысл этого режима работы в том, что есть возможность шифровать данные
без изменения маршрутизации. Т.е. Мы шифруем трафик который подпадает под
критерии ipsec policy – например L2tp, GRE, IPIP и в целом любой другой
трафик(telnet, ftp или tcp и udp) между заданными узлами.

Курсы по Mikrotik с гарантией результата


L2tp + IPSec VPN site to site

L2tp базовая настройка сервера

Так же потребуется настроить


• ip pool
• ppp secret
• ppp profile

Курсы по Mikrotik с гарантией результата


L2tp + IPSec VPN site to site

L2tp базовая настройка клиента

Курсы по Mikrotik с гарантией результата


L2tp + IPSec VPN site to site

L2tp базовая настройка клиента

Курсы по Mikrotik с гарантией результата


L2tp + IPSec VPN site to site

Ручная настройка ipsec в транспортном


режиме для L2tp
В ручном режиме требуется отключить правила авто настройки в L2tp и
настроить на клиенте и на сервере одинаковые параметры

/ip ipsec polocy /ip ipsec peer


Курсы по Mikrotik с гарантией результата
L2tp + IPSec VPN site to site

Ручная настройка ipsec в транспортном


режиме для L2tp
В ручном режиме требуется отключить правила авто настройки в L2tp и
настроить на клиенте и на сервере одинаковые параметры

/ip ipsec polocy /ip ipsec peer


Курсы по Mikrotik с гарантией результата
L2tp + IPSec VPN site to site

Создание Сертификата CA

Курсы по Mikrotik с гарантией результата


L2tp + IPSec VPN site to site

Создание Сертификата Сервера

Курсы по Mikrotik с гарантией результата


L2tp + IPSec VPN site to site

Создание Сертификата клиента

Курсы по Mikrotik с гарантией результата


L2tp + IPSec VPN site to site

Доверенный Сертификат клиента

Курсы по Mikrotik с гарантией результата


L2tp + IPSec VPN site to site

Доверенный Сертификат клиента

Курсы по Mikrotik с гарантией результата


L2tp + IPSec VPN site to site

Настройка peer и identities на L2tp сервере

Курсы по Mikrotik с гарантией результата


L2tp + IPSec VPN site to site

Настройка peer и identities на L2tp клиенте

Курсы по Mikrotik с гарантией результата


L2tp + IPSec VPN site to site

Настройка policies на L2tp клиенте

Курсы по Mikrotik с гарантией результата


L2tp + IPSec VPN site to site

Настройка маршрутизации
• Маршрутизация определяет куда отправлять
пакеты для достижения сети назначения

• Для настройки маршрутов нам необходимы


адреса на двух концах туннеля

• DST-адрес – адрес сети или узла назначения

• Gateway – адрес другой стороны туннеля


(При использовании L2TP – network – из /ip
address c интерфейса L2tp или Local address
в профиле сервера)

• Маршруты могут быть настроены с gateway


интерфейса L2tp

Курсы по Mikrotik с гарантией результата


L2tp + IPSec VPN site to site

MLPPP
• Обычно размер пакета,
отправляемого по каналу PPP,
уменьшается из-за накладных
расходов.

• MP может использоваться для


передачи и приема полного кадра по
одной линии связи ppp.

• Multilink Protocol использует


дополнительные параметры
конфигурации LCP Maximum Received
Reconstructed Unit (MRRU)

Курсы по Mikrotik с гарантией результата


L2tp + IPSec VPN site to site

Выводы
• В отличии от туннельного ipsec есть интерфейс и возможность использовать
протоколы динамической маршрутизации

• Мониторинг по snmp - /interface print oid detail

• Возможно так же использовать MRRU и не уменьшать MSS в туннеле

• Требуется только один внешний адрес – только со стороны сервера

• Возможность использования доменного имени для подключения клиентов

• В автоматическом режиме конфигурации удобно подключать клиентские устройства

Курсы по Mikrotik с гарантией результата


СПАСИБО
ЗА ВНИМАНИЕ

Приходите на наши курсы по


Mikrotik и Asterisk