Goeie dag almal!
Dit gebeur net so dat ons by ons maatskappy die afgelope twee jaar geleidelik oorgeskakel het na Mikrotik-skyfies. Die hoofnodusse is op CCR1072 gebou, terwyl plaaslike rekenaarverbindingspunte op eenvoudiger toestelle is. Natuurlik bied ons ook netwerkintegrasie via IPSEC-tunnels; in hierdie geval is die opstelling redelik eenvoudig en reguit, danksy die oorvloed hulpbronne wat aanlyn beskikbaar is. Mobiele kliëntverbindings bied egter sekere uitdagings; die vervaardiger se wiki verduidelik hoe om Shrew soft te gebruik. Skynprivaatnetwerk kliënt (hierdie opstelling lyk vanselfsprekend), en dit is die kliënt wat deur 99% van gebruikers van afstandtoegang gebruik word, en die oorblywende 1% is ek. Ek kon eenvoudig nie die moeite doen om elke keer my aanmelding en wagwoord in te voer nie, en ek wou 'n meer ontspanne, meer gemaklike rusbankervaring hê met gerieflike verbindings na werknetwerke. Ek kon geen instruksies vind vir die opstel van Mikrotik vir situasies waar dit nie eers agter 'n privaat adres geleë is nie, maar agter 'n volledig swartgelysde een, en miskien selfs met verskeie NAT's op die netwerk. Ek moes dus improviseer, en ek stel voor dat jy na die resultate kyk.
Beskikbaar:
- CCR1072 as die hooftoestel. weergawe 6.44.1
- CAP AC as 'n tuisverbindingspunt. weergawe 6.44.1
Die hoofkenmerk van die opstelling is dat die rekenaar en Mikrotik op dieselfde netwerk moet wees met dieselfde adressering, wat aan die hoof 1072 uitgereik word.
Kom ons gaan aan na die instellings:
1. Natuurlik aktiveer ons Fasttrack, maar aangesien fasttrack nie met VPN versoenbaar is nie, moet ons die verkeer daarvan uitsny.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Voeg netwerkaanstuur van/na huis en werk by
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Skep 'n beskrywing van die gebruikerverbinding
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Skep 'n IPSEC-voorstel
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Skep 'n IPSEC-beleid
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Skep 'n IPSEC-profiel
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Skep 'n IPSEC eweknie
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Nou vir 'n paar eenvoudige magie. Aangesien ek nie regtig die instellings op alle toestelle op die tuisnetwerk wou verander nie, moes ek op een of ander manier DHCP op dieselfde netwerk opstel, maar dit is redelik dat Mikrotik jou nie toelaat om meer as een adrespoel op te stel op een brug, so ek het 'n oplossing gevind, naamlik vir die skootrekenaar wat ek eenvoudig DHCP Lease geskep het deur die parameters handmatig te spesifiseer, en aangesien netmasker, gateway & dns ook opsienommers in DHCP het, het ek dit met die hand gespesifiseer.
1.DHCP Opsie
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP Huurkontrak
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Terselfdertyd is instelling 1072 feitlik basies, slegs wanneer 'n IP-adres aan 'n kliënt uitgereik word, word dit in die instellings aangedui dat dit 'n IP-adres moet kry wat met die hand ingevoer word, en nie vanaf die swembad nie. Vir gereelde kliënte vanaf persoonlike rekenaars is die subnet dieselfde as in die konfigurasie met Wiki 192.168.55.0/24.
Hierdie opstelling laat jou toe om nie deur derdeparty-sagteware aan jou rekenaar te koppel nie, en die tonnel self word deur die router verhoog soos nodig. Die las op die kliënt CAP AC is amper minimaal, 8-11% teen 'n spoed van 9-10MB/s in die tonnel.
Alle instellings is deur Winbox gemaak, hoewel dit net sowel deur die konsole gedoen kon word.
Bron: will.com
