Hamınıza xeyirli günlər!
Sadəcə olaraq, şirkətimizdə son iki ildə tədricən Mikrotik çiplərinə keçid edirik. Əsas qovşaqlar CCR1072 üzərində qurulub, lokal kompüter bağlantı nöqtələri isə daha sadə cihazlardadır. Əlbəttə ki, biz həmçinin IPSEC tunelləri vasitəsilə şəbəkə inteqrasiyası təklif edirik; bu halda, onlayn mövcud olan resursların bolluğu sayəsində quraşdırma olduqca sadə və asan olur. Bununla belə, mobil müştəri bağlantıları müəyyən çətinliklər yaradır; istehsalçının vikisində Shrew soft-dan necə istifadə ediləcəyi izah olunur. VPN klient (bu quraşdırma özünü izahlı kimi göstərir) və bu, uzaqdan giriş istifadəçilərinin 99%-i tərəfindən istifadə edilən klientdir, qalan 1%-i isə mənəm. Sadəcə hər dəfə giriş və şifrəmi daxil etməkdən narahat ola bilmirdim və iş şəbəkələrinə rahat bağlantılarla daha rahat, daha rahat bir divan təcrübəsi istəyirdim. Mikrotik-in hətta şəxsi ünvanın arxasında deyil, tamamilə qara siyahıda olan ünvanın arxasında, bəlkə də şəbəkədə birdən çox NAT-ın olduğu vəziyyətlər üçün konfiqurasiya edilməsi üçün heç bir təlimat tapa bilmədim. Buna görə də improvizasiya etməli oldum və nəticələrə nəzər salmağınızı təklif edirəm.
Mövcuddur:
- Əsas cihaz kimi CCR1072. 6.44.1 versiyası
- CAP ac ev əlaqə nöqtəsi kimi. 6.44.1 versiyası
Parametrin əsas xüsusiyyəti ondan ibarətdir ki, PC və Mikrotik əsas 1072 tərəfindən verilən eyni ünvanla eyni şəbəkədə olmalıdır.
Parametrlərə keçək:
1. Əlbəttə ki, biz Fasttrack-i işə salırıq, lakin fasttrack vpn ilə uyğun olmadığı üçün onun trafikini kəsməliyik.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Şəbəkənin evə və işə / evə yönləndirilməsinin əlavə edilməsi
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. İstifadəçi bağlantısı təsviri yaradın
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. IPSEC Təklifi yaradın
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. IPSEC Siyasəti yaradın
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. IPSEC profili yaradın
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. IPSEC peer yaradın
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
İndi bir az sadə sehr üçün. Ev şəbəkəmdəki bütün cihazların parametrlərini dəyişmək istəmədiyim üçün DHCP-ni birtəhər eyni şəbəkəyə asmalı oldum, lakin Mikrotikin bir körpüdə birdən çox ünvan hovuzunu asmağa icazə verməməsi ağlabatandır. buna görə də bir həll yolu tapdım, yəni noutbuk üçün, mən sadəcə əl parametrləri ilə DHCP İcarəsi yaratdım və şəbəkə maskası, şlüz və dns də DHCP-də seçim nömrələri olduğundan, onları əl ilə göstərdim.
1.DHCP Seçimləri
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP icarəsi
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Eyni zamanda, 1072 parametrinin qəbulu praktiki olaraq əsasdır, yalnız parametrlərdə müştəriyə bir IP ünvanı verilərkən, hovuzdan deyil, əl ilə daxil edilmiş IP ünvanının ona verilməli olduğu göstərilir. Daimi PC müştəriləri üçün alt şəbəkə Wiki konfiqurasiyası 192.168.55.0/24 ilə eynidir.
Belə bir parametr, üçüncü tərəf proqramı vasitəsilə PC-yə qoşulmamağa imkan verir və tunelin özü lazım olduqda marşrutlaşdırıcı tərəfindən qaldırılır. Müştəri CAP ac yükü demək olar ki, minimaldır, tuneldə 8-11MB / s sürətlə 9-10%.
Bütün parametrlər Winbox vasitəsilə edildi, baxmayaraq ki, eyni müvəffəqiyyətlə konsol vasitəsilə edilə bilər.
Mənbə: www.habr.com
