Mikrotik VPN-Router - Wie Man

Mikrotik VPN-Router

Wir wollten eine L2TP / IPsec-VPN-Verbindung, über die Benutzer von zu Hause oder unterwegs eine Verbindung herstellen können. Ich habe dies auf unserem Gateway-Router konfiguriert und festgestellt, dass die CPU ziemlich zermürbt war, als sich mehrere Leute miteinander verbanden oder jemand versuchte, große Dateien zu übertragen. Ich hatte die Wahl, entweder einen High-End-Router zu kaufen oder einen anderen kostengünstigen Mikrotik zu verwenden. Da ich einen Mikrotik hEX Lite von $ 39 zur Hand hatte, fiel die Entscheidung leicht.
Ich muss sagen, dass ich ein Fan von Mikrotik-Routern bin, und meine Zuneigung zu ihnen wächst aufgrund solcher Projekte weiter. Dieses Setup funktioniert für kleine bis mittelgroße Unternehmen oder Privatanwender und kostet nur etwa 80 US-Dollar für einige sehr stabile, anpassbare hEX-Lite-Router. Dies ist kein Tutorial zur Konfiguration von VPN auf einem Mikrotik. Ich habe im Referenzabschnitt einen Link zum Einrichten von VPN auf einem mikrotik-Router hinzugefügt. Dies ist sehr nahe an der Konfiguration von R2.

2 Schritte insgesamt

Schritt 1: Router 1 (R1)

1.1.1.0/29 externer IP-Adressblock
1.1.1.1 = Gateway
1.1.1.2 = Externe Haupt-IP-Adresse (R1)
192.168.1.0/24 Interne IP-Adresse
192.168.1.1 = Standardgateway (R1)

R1:
/IP Adresse
Adresse hinzufügen = 1.1.1.2 / 29 Schnittstelle = Ether1-Netzwerk = 1.1.1.0
Adresse hinzufügen = 192.168.1.1 / 24 Schnittstelle = Ether2-Netzwerk = 192.168.1.0

/ Schnittstelle Ethernet
set [find default-name = ether1] comment = "Internet"
set [find default-name = ether2] comment = LAN
set [find default-name = ether5] comment = "VPN-Router-Verbindung" master-port = ether1

Dies sind einfach die relevanten Teile oder Änderungen gegenüber einer Standard- oder Standardkonfiguration. Das Wichtigste dabei ist, Ether5 als Slave zu Ether1 zu setzen. Dadurch kann R2 Anfragen vom externen IP-Adressblock beantworten. Im Wesentlichen verwandelt es sich in einen Mini-Switch mit zwei Anschlüssen.

Schritt 2: Router 2 (R2)

1.1.1.3 = Externe VPN-IP-Adresse (R2)
192.168.1.2 = Interne IP-Adresse des VPN-Routers (R2)

R2:
/IP Adresse
Adresse hinzufügen = 1.1.1.3 / 29 Schnittstelle = Ether1-Gateway-Netzwerk = 1.1.1.0
Adresse hinzufügen = 192.168.1.2 / 24 Schnittstelle = Ether2-Master-lokales Netzwerk = 192.168.1.0

/ Schnittstelle Ethernet
set [find default-name = ether1] comment = Außerhalb name = ether1-gateway
set [find default-name = ether2] arp = proxy-arp comment = Inside name = ether2-master-local

Das Wichtigste dabei ist, dass arp = proxy-arp die Kommunikation zwischen Ihrem LAN- und VPN-Knoten ermöglicht.
ether1 muss an R1 an R1 angeschlossen sein.

Unser interner DHCP-Server verweist auf 192.168.1.1 als Standardgateway. Wenn Sie 192.168.1.2 jedoch manuell als Standardgateway konfiguriert haben, würden Sie anstelle von 1.1.1.2 eine externe IP-Adresse 1.1.1.3 anzeigen. Dies bedeutet nicht, dass R2 ein redundantes Gateway ist, es hängt vom Switch von R1 ab.
Die gesamte Bandbreitennutzung sowohl des VPN als auch des internen Datenverkehrs ist auf dem Gateway-Router R1 vorhanden, während R2 nur VPN-Datenverkehr enthält. Dies sollte kein allzu großes Problem darstellen, da die Bandbreite der $ 39-Mikrotik das Limit der meisten ISPs überschreiten wird. Ich habe mehrere Tests zum Übertragen großer Dateien über diese VPN-Verbindung durchgeführt. Ich fand heraus, dass der PPTP-Verkehr (ich weiß nicht sicher) nur durch unseren ISP von 40 MB / s und 80 MB / s eingeschränkt war. Es wird wahrscheinlich etwas schneller gehen, da die CPU während der Übertragung 80-90% eingestellt hat. L2TP-Datenverkehr wird nur mit etwa 10 MBit / s übertragen. Dies scheint die maximale Geschwindigkeit zu sein, die die 650-MHz-CPU des hEX-lite-Routers erreichen kann, da sie dabei 100% erreichte. Die R1-CPU war von der Übertragung, die das Ziel dieses Projekts war, unberührt. Natürlich müssen Firewall-Regeln und andere Einstellungen konfiguriert werden, um diese Router zu sichern, aber das gehört Ihnen.

Ich habe meinen ersten Mikrotik-Router vor etwa 7 Monaten eingerichtet, daher bin ich sicher, dass einige von Ihnen mit mehr Vernetzung und Mikrotik-Erfahrung konstruktive Kritik oder Einsicht liefern könnten.