Goeie dag almal!
Dit het so gebeur dat ons die afgelope twee jaar in ons maatskappy stadig na Mikrotik oorgeskakel het. Die hoofnodusse is gebou op CCR1072, en die plaaslike verbindingspunte vir rekenaars op toestelle is eenvoudiger. Natuurlik is daar ook die integrasie van netwerke via IPSEC-tonnel, in hierdie geval is die opstelling redelik eenvoudig en veroorsaak geen probleme nie, gelukkig is daar baie materiaal op die netwerk. Maar daar is sekere probleme met die mobiele verbinding van kliënte, die vervaardiger se wiki vertel jou hoe om die Shrew sagte VPN-kliënt te gebruik (alles blyk duidelik te wees gebaseer op hierdie instelling) en dit is hierdie kliënt wat deur 99% van afstandtoegang gebruik word gebruikers, en 1% is ek, ek is net te lui almal Sodra ek my login en wagwoord in die kliënt ingevoer het, wou ek 'n lui posisie op die rusbank hê en 'n gerieflike verbinding met werknetwerke. Ek het nie instruksies gekry vir die opstel van Mikrotik vir situasies waar dit nie eers agter 'n grys adres is nie, maar heeltemal swart en dalk selfs verskeie NAT'e op die netwerk. Daarom moes ek improviseer, en daarom stel ek voor dat jy na die resultaat kyk.
Beskikbaar:
- CCR1072 as die hooftoestel. weergawe 6.44.1
- CAP AC as 'n tuisverbindingspunt. weergawe 6.44.1
Die hoofkenmerk van die opstelling is dat die rekenaar en Mikrotik op dieselfde netwerk moet wees met dieselfde adressering, wat aan die hoof 1072 uitgereik word.
Kom ons gaan aan na die instellings:
1. Natuurlik aktiveer ons Fasttrack, maar aangesien fasttrack nie met VPN versoenbaar is nie, moet ons die verkeer daarvan uitsny.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Voeg netwerkaanstuur van/na huis en werk by
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Skep 'n beskrywing van die gebruikerverbinding
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Skep 'n IPSEC-voorstel
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Skep 'n IPSEC-beleid
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Skep 'n IPSEC-profiel
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Skep 'n IPSEC eweknie
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Nou vir 'n paar eenvoudige magie. Aangesien ek nie regtig die instellings op alle toestelle op die tuisnetwerk wou verander nie, moes ek op een of ander manier DHCP op dieselfde netwerk opstel, maar dit is redelik dat Mikrotik jou nie toelaat om meer as een adrespoel op te stel op een brug, so ek het 'n oplossing gevind, naamlik vir die skootrekenaar wat ek eenvoudig DHCP Lease geskep het deur die parameters handmatig te spesifiseer, en aangesien netmasker, gateway & dns ook opsienommers in DHCP het, het ek dit met die hand gespesifiseer.
1.DHCP Opsie
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP Huurkontrak
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Terselfdertyd is instelling 1072 feitlik basies, slegs wanneer 'n IP-adres aan 'n kliënt uitgereik word, word dit in die instellings aangedui dat dit 'n IP-adres moet kry wat met die hand ingevoer word, en nie vanaf die swembad nie. Vir gereelde kliënte vanaf persoonlike rekenaars is die subnet dieselfde as in die konfigurasie met Wiki 192.168.55.0/24.
Hierdie opstelling laat jou toe om nie deur derdeparty-sagteware aan jou rekenaar te koppel nie, en die tonnel self word deur die router verhoog soos nodig. Die las op die kliënt CAP AC is amper minimaal, 8-11% teen 'n spoed van 9-10MB/s in die tonnel.
Alle instellings is deur Winbox gemaak, hoewel dit net sowel deur die konsole gedoen kon word.
Bron: will.com