Hamınıza xeyirli günlər!
Sadəcə olaraq, şirkətimizdə son iki il ərzində yavaş-yavaş mikrotikaya keçdik. Əsas qovşaqlar CCR1072 üzərində qurulub və cihazlardakı kompüterlər üçün yerli əlaqə nöqtələri daha sadədir. Əlbəttə ki, IPSEC tuneli vasitəsilə şəbəkələrin birləşməsi də var, bu halda quraşdırma olduqca sadədir və heç bir çətinlik yaratmır, çünki şəbəkədə çoxlu materiallar var. Lakin müştərilərin mobil əlaqəsi ilə bağlı müəyyən çətinliklər var, istehsalçının wiki sizə Shrew yumşaq VPN müştərisindən necə istifadə edəcəyinizi izah edir (bu parametrlə hər şey aydın görünür) və uzaqdan giriş istifadəçilərinin 99% -i bu müştəri tərəfindən istifadə olunur. , və 1% mənəm, mən sadəcə çox tənbəl idim, hər bir müştəriyə giriş və şifrəni daxil edin və divanda tənbəl bir yer və iş şəbəkələrinə rahat əlaqə istədim. Mikrotik-i hətta boz ünvanın arxasında deyil, tamamilə qara ünvanın arxasında və bəlkə də şəbəkədə bir neçə NAT-ın arxasında olduğu vəziyyətlər üçün konfiqurasiya etmək üçün təlimat tapmadım. Buna görə də improvizasiya etməli oldum və buna görə də nəticəyə baxmağı təklif edirəm.
Mövcuddur:
- Əsas cihaz kimi CCR1072. 6.44.1 versiyası
- CAP ac ev əlaqə nöqtəsi kimi. 6.44.1 versiyası
Parametrin əsas xüsusiyyəti ondan ibarətdir ki, PC və Mikrotik əsas 1072 tərəfindən verilən eyni ünvanla eyni şəbəkədə olmalıdır.
Parametrlərə keçək:
1. Əlbəttə ki, biz Fasttrack-i işə salırıq, lakin fasttrack vpn ilə uyğun olmadığı üçün onun trafikini kəsməliyik.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Şəbəkənin evə və işə / evə yönləndirilməsinin əlavə edilməsi
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. İstifadəçi bağlantısı təsviri yaradın
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. IPSEC Təklifi yaradın
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. IPSEC Siyasəti yaradın
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. IPSEC profili yaradın
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. IPSEC peer yaradın
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
İndi bir az sadə sehr üçün. Ev şəbəkəmdəki bütün cihazların parametrlərini dəyişmək istəmədiyim üçün DHCP-ni birtəhər eyni şəbəkəyə asmalı oldum, lakin Mikrotikin bir körpüdə birdən çox ünvan hovuzunu asmağa icazə verməməsi ağlabatandır. buna görə də bir həll yolu tapdım, yəni noutbuk üçün, mən sadəcə əl parametrləri ilə DHCP İcarəsi yaratdım və şəbəkə maskası, şlüz və dns də DHCP-də seçim nömrələri olduğundan, onları əl ilə göstərdim.
1.DHCP Seçimləri
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP icarəsi
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Eyni zamanda, 1072 parametrinin qəbulu praktiki olaraq əsasdır, yalnız parametrlərdə müştəriyə bir IP ünvanı verilərkən, hovuzdan deyil, əl ilə daxil edilmiş IP ünvanının ona verilməli olduğu göstərilir. Daimi PC müştəriləri üçün alt şəbəkə Wiki konfiqurasiyası 192.168.55.0/24 ilə eynidir.
Belə bir parametr, üçüncü tərəf proqramı vasitəsilə PC-yə qoşulmamağa imkan verir və tunelin özü lazım olduqda marşrutlaşdırıcı tərəfindən qaldırılır. Müştəri CAP ac yükü demək olar ki, minimaldır, tuneldə 8-11MB / s sürətlə 9-10%.
Bütün parametrlər Winbox vasitəsilə edildi, baxmayaraq ki, eyni müvəffəqiyyətlə konsol vasitəsilə edilə bilər.
Mənbə: www.habr.com