ΠΠΎΠ±ΡΡ Π΄Π΅Π½ Π½Π° Π²ΡΠΈΡΠΊΠΈ!
Π’Π°ΠΊΠ° ΡΠ΅ ΡΠ»ΡΡΠΈ, ΡΠ΅ Π² Π½Π°ΡΠ°ΡΠ° ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΡ ΠΏΡΠ΅Π· ΠΏΠΎΡΠ»Π΅Π΄Π½ΠΈΡΠ΅ Π΄Π²Π΅ Π³ΠΎΠ΄ΠΈΠ½ΠΈ Π±Π°Π²Π½ΠΎ ΠΏΡΠ΅ΠΌΠΈΠ½Π°Π²Π°ΠΌΠ΅ ΠΊΡΠΌ Mikrotik. ΠΡΠ½ΠΎΠ²Π½ΠΈΡΠ΅ Π²ΡΠ·Π»ΠΈ ΡΠ° ΠΈΠ·Π³ΡΠ°Π΄Π΅Π½ΠΈ Π½Π° CCR1072, Π° Π»ΠΎΠΊΠ°Π»Π½ΠΈΡΠ΅ ΡΠΎΡΠΊΠΈ Π·Π° ΡΠ²ΡΡΠ·Π²Π°Π½Π΅ Π½Π° ΠΊΠΎΠΌΠΏΡΡΡΠΈ Π½Π° ΡΡΡΡΠΎΠΉΡΡΠ²Π° ΡΠ° ΠΏΠΎ-ΠΏΡΠΎΡΡΠΈ. Π Π°Π·Π±ΠΈΡΠ° ΡΠ΅, ΠΈΠΌΠ° ΠΈ ΠΈΠ½ΡΠ΅Π³ΡΠΈΡΠ°Π½Π΅ Π½Π° ΠΌΡΠ΅ΠΆΠΈ ΡΡΠ΅Π· IPSEC ΡΡΠ½Π΅Π», Π² ΡΠΎΠ·ΠΈ ΡΠ»ΡΡΠ°ΠΉ Π½Π°ΡΡΡΠΎΠΉΠΊΠ°ΡΠ° Π΅ Π΄ΠΎΡΡΠ° ΠΏΡΠΎΡΡΠ° ΠΈ Π½Π΅ ΡΡΠ·Π΄Π°Π²Π° Π½ΠΈΠΊΠ°ΠΊΠ²ΠΈ Π·Π°ΡΡΡΠ΄Π½Π΅Π½ΠΈΡ, Π·Π° ΡΠ°ΡΡΠΈΠ΅ ΠΈΠΌΠ° ΠΌΠ½ΠΎΠ³ΠΎ ΠΌΠ°ΡΠ΅ΡΠΈΠ°Π»ΠΈ Π² ΠΌΡΠ΅ΠΆΠ°ΡΠ°. ΠΠΎ ΠΈΠΌΠ° ΠΎΠΏΡΠ΅Π΄Π΅Π»Π΅Π½ΠΈ ΡΡΡΠ΄Π½ΠΎΡΡΠΈ Ρ ΠΌΠΎΠ±ΠΈΠ»Π½Π°ΡΠ° Π²ΡΡΠ·ΠΊΠ° Π½Π° ΠΊΠ»ΠΈΠ΅Π½ΡΠΈΡΠ΅, wiki Π½Π° ΠΏΡΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡΠ΅Π»Ρ Π²ΠΈ ΠΊΠ°Π·Π²Π° ΠΊΠ°ΠΊ Π΄Π° ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π°ΡΠ΅ ΠΌΠ΅ΠΊΠΈΡ VPN ΠΊΠ»ΠΈΠ΅Π½Ρ Π½Π° Shrew (Π²ΡΠΈΡΠΊΠΎ ΠΈΠ·Π³Π»Π΅ΠΆΠ΄Π° ΡΡΠ½ΠΎ Π²ΡΠ· ΠΎΡΠ½ΠΎΠ²Π° Π½Π° ΡΠ°Π·ΠΈ Π½Π°ΡΡΡΠΎΠΉΠΊΠ°) ΠΈ ΠΈΠΌΠ΅Π½Π½ΠΎ ΡΠΎΠ·ΠΈ ΠΊΠ»ΠΈΠ΅Π½Ρ ΡΠ΅ ΠΈΠ·ΠΏΠΎΠ»Π·Π²Π° ΠΎΡ 99% ΠΎΡ ΠΎΡΠ΄Π°Π»Π΅ΡΠ΅Π½ΠΈΡ Π΄ΠΎΡΡΡΠΏ ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»ΠΈ ΠΈ 1% ΡΡΠΌ Π°Π·, ΠΏΡΠΎΡΡΠΎ ΡΡΠΌ ΡΠ²ΡΡΠ΄Π΅ ΠΌΡΡΠ·Π΅Π»ΠΈΠ² Π²ΡΠΈΡΠΊΠΈ Π‘Π»Π΅Π΄ ΠΊΠ°ΡΠΎ Π²ΡΠ²Π΅Π΄ΠΎΡ ΡΠ²ΠΎΠ΅ΡΠΎ ΠΈΠΌΠ΅ ΠΈ ΠΏΠ°ΡΠΎΠ»Π° Π² ΠΊΠ»ΠΈΠ΅Π½ΡΠ°, ΠΈΡΠΊΠ°Ρ ΠΌΡΡΠ·Π΅Π»ΠΈΠ²Π° ΠΏΠΎΠ·ΠΈΡΠΈΡ Π½Π° Π΄ΠΈΠ²Π°Π½Π° ΠΈ ΡΠ΄ΠΎΠ±Π½Π° Π²ΡΡΠ·ΠΊΠ° Ρ ΡΠ°Π±ΠΎΡΠ½ΠΈΡΠ΅ ΠΌΡΠ΅ΠΆΠΈ. ΠΠ΅ Π½Π°ΠΌΠ΅ΡΠΈΡ ΠΈΠ½ΡΡΡΡΠΊΡΠΈΠΈ Π·Π° Π½Π°ΡΡΡΠΎΠΉΠΊΠ° Π½Π° Mikrotik Π·Π° ΡΠΈΡΡΠ°ΡΠΈΠΈ, Π² ΠΊΠΎΠΈΡΠΎ Π΄ΠΎΡΠΈ Π½Π΅ Π΅ Π·Π°Π΄ ΡΠΈΠ² Π°Π΄ΡΠ΅Ρ, Π° Π½Π°ΠΏΡΠ»Π½ΠΎ ΡΠ΅ΡΠ΅Π½ ΠΈ ΠΌΠΎΠΆΠ΅ Π±ΠΈ Π΄ΠΎΡΠΈ Π½ΡΠΊΠΎΠ»ΠΊΠΎ NAT Π² ΠΌΡΠ΅ΠΆΠ°ΡΠ°. ΠΠ°ΡΠΎΠ²Π° ΡΡΡΠ±Π²Π°ΡΠ΅ Π΄Π° ΠΈΠΌΠΏΡΠΎΠ²ΠΈΠ·ΠΈΡΠ°ΠΌ ΠΈ Π·Π°ΡΠΎΠ²Π° Π²ΠΈ ΠΏΡΠ΅Π΄Π»Π°Π³Π°ΠΌ Π΄Π° ΠΏΠΎΠ³Π»Π΅Π΄Π½Π΅ΡΠ΅ ΡΠ΅Π·ΡΠ»ΡΠ°ΡΠ°.
ΠΠ° ΡΠ°Π·ΠΏΠΎΠ»ΠΎΠΆΠ΅Π½ΠΈΠ΅:
- CCR1072 ΠΊΠ°ΡΠΎ ΠΎΡΠ½ΠΎΠ²Π½ΠΎ ΡΡΡΡΠΎΠΉΡΡΠ²ΠΎ. Π²Π΅ΡΡΠΈΡ 6.44.1
- CAP ac ΠΊΠ°ΡΠΎ Π΄ΠΎΠΌΠ°ΡΠ½Π° ΡΠΎΡΠΊΠ° Π·Π° ΡΠ²ΡΡΠ·Π²Π°Π½Π΅. Π²Π΅ΡΡΠΈΡ 6.44.1
ΠΡΠ½ΠΎΠ²Π½Π°ΡΠ° Ρ
Π°ΡΠ°ΠΊΡΠ΅ΡΠΈΡΡΠΈΠΊΠ° Π½Π° Π½Π°ΡΡΡΠΎΠΉΠΊΠ°ΡΠ° Π΅, ΡΠ΅ ΠΊΠΎΠΌΠΏΡΡΡΡΡΡ ΠΈ Mikrotik ΡΡΡΠ±Π²Π° Π΄Π° ΡΠ° Π² Π΅Π΄Π½Π° ΠΈ ΡΡΡΠ° ΠΌΡΠ΅ΠΆΠ° Ρ Π΅Π΄Π½ΠΎ ΠΈ ΡΡΡΠΎ Π°Π΄ΡΠ΅ΡΠΈΡΠ°Π½Π΅, ΠΊΠΎΠ΅ΡΠΎ ΡΠ΅ ΠΈΠ·Π΄Π°Π²Π° ΠΊΡΠΌ Π³Π»Π°Π²Π½ΠΈΡ 1072.
ΠΠ° ΠΏΡΠ΅ΠΌΠΈΠ½Π΅ΠΌ ΠΊΡΠΌ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈΡΠ΅:
1. Π Π°Π·Π±ΠΈΡΠ° ΡΠ΅, Π½ΠΈΠ΅ Π°ΠΊΡΠΈΠ²ΠΈΡΠ°ΠΌΠ΅ Fasttrack, Π½ΠΎ ΡΡΠΉ ΠΊΠ°ΡΠΎ fasttrack Π½Π΅ Π΅ ΡΡΠ²ΠΌΠ΅ΡΡΠΈΠΌ Ρ VPN, ΡΡΡΠ±Π²Π° Π΄Π° ΠΈΠ·ΠΊΠ»ΡΡΠΈΠΌ Π½Π΅Π³ΠΎΠ²ΠΈΡ ΡΡΠ°ΡΠΈΠΊ.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. ΠΠΎΠ±Π°Π²Π΅ΡΠ΅ ΠΌΡΠ΅ΠΆΠΎΠ²ΠΎ ΠΏΡΠ΅Π½Π°ΡΠΎΡΠ²Π°Π½Π΅ ΠΎΡ/Π΄ΠΎ Π΄ΠΎΠΌΠ° ΠΈ ΡΠ°Π±ΠΎΡΠ°ΡΠ°
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Π‘ΡΠ·Π΄Π°ΠΉΡΠ΅ ΠΎΠΏΠΈΡΠ°Π½ΠΈΠ΅ Π½Π° ΠΏΠΎΡΡΠ΅Π±ΠΈΡΠ΅Π»ΡΠΊΠ° Π²ΡΡΠ·ΠΊΠ°
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
ΠΎΠ±ΡΠΈΠΉ ΠΊΠ»ΡΡ xauth-login=username xauth-password=password
4. Π‘ΡΠ·Π΄Π°ΠΉΡΠ΅ IPSEC ΠΏΡΠ΅Π΄Π»ΠΎΠΆΠ΅Π½ΠΈΠ΅
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Π‘ΡΠ·Π΄Π°ΠΉΡΠ΅ IPSEC ΠΏΠΎΠ»ΠΈΡΠΈΠΊΠ°
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Π‘ΡΠ·Π΄Π°ΠΉΡΠ΅ IPSEC ΠΏΡΠΎΡΠΈΠ»
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Π‘ΡΠ·Π΄Π°ΠΉΡΠ΅ IPSEC ΠΏΠ°ΡΡΠ½ΡΠΎΡ
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<Π²Π°Ρ Π°Π΄ΡΠ΅Ρ ΡΠΎΡΡΠ΅ΡΠ°> name=CO profile=
profile_88
Π‘Π΅Π³Π° ΠΌΠ°Π»ΠΊΠΎ ΠΏΡΠΎΡΡΠ° ΠΌΠ°Π³ΠΈΡ. Π’ΡΠΉ ΠΊΠ°ΡΠΎ Π½Π°ΠΈΡΡΠΈΠ½Π° Π½Π΅ ΠΈΡΠΊΠ°Ρ Π΄Π° ΠΏΡΠΎΠΌΠ΅Π½Ρ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈΡΠ΅ Π½Π° Π²ΡΠΈΡΠΊΠΈ ΡΡΡΡΠΎΠΉΡΡΠ²Π° Π² Π΄ΠΎΠΌΠ°ΡΠ½Π°ΡΠ° ΠΌΡΠ΅ΠΆΠ°, ΡΡΡΠ±Π²Π°ΡΠ΅ ΠΏΠΎ Π½ΡΠΊΠ°ΠΊΡΠ² Π½Π°ΡΠΈΠ½ Π΄Π° Π½Π°ΡΡΡΠΎΡ DHCP Π² ΡΡΡΠ°ΡΠ° ΠΌΡΠ΅ΠΆΠ°, Π½ΠΎ Π΅ ΡΠ°Π·ΡΠΌΠ½ΠΎ Mikrotik Π΄Π° Π½Π΅ Π²ΠΈ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π° Π΄Π° Π½Π°ΡΡΡΠΎΠΉΠ²Π°ΡΠ΅ ΠΏΠΎΠ²Π΅ΡΠ΅ ΠΎΡ Π΅Π΄ΠΈΠ½ Π°Π΄ΡΠ΅ΡΠ΅Π½ ΠΏΡΠ» Π² Π΅Π΄ΠΈΠ½ ΠΌΠΎΡΡ, ΡΠ°ΠΊΠ° ΡΠ΅ Π½Π°ΠΌΠ΅ΡΠΈΡ Π·Π°ΠΎΠ±ΠΈΠΊΠΎΠ»Π½ΠΎ ΡΠ΅ΡΠ΅Π½ΠΈΠ΅, Π° ΠΈΠΌΠ΅Π½Π½ΠΎ Π·Π° Π»Π°ΠΏΡΠΎΠΏΠ° ΠΏΡΠΎΡΡΠΎ ΡΡΠ·Π΄Π°Π΄ΠΎΡ DHCP Lease Ρ ΡΡΡΠ½ΠΎ ΡΠΊΠ°Π·Π²Π°Π½Π΅ Π½Π° ΠΏΠ°ΡΠ°ΠΌΠ΅ΡΡΠΈΡΠ΅ ΠΈ ΡΡΠΉ ΠΊΠ°ΡΠΎ netmask, gateway & dns ΡΡΡΠΎ ΠΈΠΌΠ°Ρ Π½ΠΎΠΌΠ΅ΡΠ° Π½Π° ΠΎΠΏΡΠΈΠΈ Π² DHCP, Π³ΠΈ ΠΏΠΎΡΠΎΡΠΈΡ ΡΡΡΠ½ΠΎ.
1. DHCP ΠΎΠΏΡΠΈΡ
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP Π»ΠΈΠ·ΠΈΠ½Π³
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC Π°Π΄ΡΠ΅Ρ Π½ΠΎΡΡΠ±ΡΠΊΠ°>
Π ΡΡΡΠΎΡΠΎ Π²ΡΠ΅ΠΌΠ΅ Π½Π°ΡΡΡΠΎΠΉΠΊΠ°ΡΠ° 1072 Π΅ ΠΏΡΠ°ΠΊΡΠΈΡΠ΅ΡΠΊΠΈ ΠΎΡΠ½ΠΎΠ²Π½Π°, ΡΠ°ΠΌΠΎ ΠΊΠΎΠ³Π°ΡΠΎ ΡΠ΅ ΠΈΠ·Π΄Π°Π²Π° IP Π°Π΄ΡΠ΅Ρ Π½Π° ΠΊΠ»ΠΈΠ΅Π½Ρ, Π² Π½Π°ΡΡΡΠΎΠΉΠΊΠΈΡΠ΅ Π΅ ΠΏΠΎΡΠΎΡΠ΅Π½ΠΎ, ΡΠ΅ ΡΡΡΠ±Π²Π° Π΄Π° ΠΌΡ ΡΠ΅ Π΄Π°Π΄Π΅ IP Π°Π΄ΡΠ΅Ρ, Π²ΡΠ²Π΅Π΄Π΅Π½ ΡΡΡΠ½ΠΎ, Π° Π½Π΅ ΠΎΡ ΠΏΡΠ»Π°. ΠΠ° ΡΠ΅Π΄ΠΎΠ²Π½ΠΈ ΠΊΠ»ΠΈΠ΅Π½ΡΠΈ ΠΎΡ ΠΏΠ΅ΡΡΠΎΠ½Π°Π»Π½ΠΈ ΠΊΠΎΠΌΠΏΡΡΡΠΈ ΠΏΠΎΠ΄ΠΌΡΠ΅ΠΆΠ°ΡΠ° Π΅ ΡΡΡΠ°ΡΠ° ΠΊΠ°ΡΠΎ ΠΏΡΠΈ ΠΊΠΎΠ½ΡΠΈΠ³ΡΡΠ°ΡΠΈΡ Ρ Wiki 192.168.55.0/24.
Π’Π°Π·ΠΈ Π½Π°ΡΡΡΠΎΠΉΠΊΠ° Π²ΠΈ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ²Π° Π΄Π° Π½Π΅ ΡΠ΅ ΡΠ²ΡΡΠ·Π²Π°ΡΠ΅ ΠΊΡΠΌ Π²Π°ΡΠΈΡ ΠΊΠΎΠΌΠΏΡΡΡΡ ΡΡΠ΅Π· ΡΠΎΡΡΡΠ΅Ρ Π½Π° ΡΡΠ΅ΡΠ° ΡΡΡΠ°Π½Π°, Π° ΡΠ°ΠΌΠΈΡΡ ΡΡΠ½Π΅Π» ΡΠ΅ ΠΏΠΎΠ²Π΄ΠΈΠ³Π° ΠΎΡ ΡΡΡΠ΅ΡΠ°, Π°ΠΊΠΎ Π΅ Π½Π΅ΠΎΠ±Ρ ΠΎΠ΄ΠΈΠΌΠΎ. ΠΠ°ΡΠΎΠ²Π°ΡΠ²Π°Π½Π΅ΡΠΎ Π½Π° ΠΊΠ»ΠΈΠ΅Π½ΡΠ° CAP ac Π΅ ΠΏΠΎΡΡΠΈ ΠΌΠΈΠ½ΠΈΠΌΠ°Π»Π½ΠΎ, 8-11% ΠΏΡΠΈ ΡΠΊΠΎΡΠΎΡΡ 9-10MB/s Π² ΡΡΠ½Π΅Π»Π°.
ΠΡΠΈΡΠΊΠΈ Π½Π°ΡΡΡΠΎΠΉΠΊΠΈ Π±ΡΡ
Π° Π½Π°ΠΏΡΠ°Π²Π΅Π½ΠΈ ΠΏΡΠ΅Π· Winbox, Π²ΡΠΏΡΠ΅ΠΊΠΈ ΡΠ΅ ΠΌΠΎΠΆΠ΅ ΡΡΡΠΎ ΡΠ°ΠΊΠ° Π΄Π° ΡΠ΅ Π½Π°ΠΏΡΠ°Π²ΠΈ ΠΏΡΠ΅Π· ΠΊΠΎΠ½Π·ΠΎΠ»Π°ΡΠ°.
ΠΠ·ΡΠΎΡΠ½ΠΈΠΊ: www.habr.com