mikroik ক্লায়েন্ট হিসাবে NAT এর পিছনে IPSEC vpn

সবার দিন শুভ হোক!

ঘটনাক্রমে, আমাদের কোম্পানিতে, আমরা গত দুই বছর ধরে ধীরে ধীরে Mikrotik চিপগুলিতে স্যুইচ করছি। প্রধান নোডগুলি CCR1072-এর উপর নির্মিত, যখন স্থানীয় কম্পিউটার সংযোগ পয়েন্টগুলি সহজ ডিভাইসে। অবশ্যই, আমরা IPSEC টানেলের মাধ্যমে নেটওয়ার্ক ইন্টিগ্রেশনও অফার করি; এই ক্ষেত্রে, অনলাইনে উপলব্ধ প্রচুর সংস্থানের কারণে সেটআপটি বেশ সহজ এবং সোজা। তবে, মোবাইল ক্লায়েন্ট সংযোগগুলি কিছু চ্যালেঞ্জ উপস্থাপন করে; নির্মাতার উইকিতে শ্রু সফ্টওয়্যার কীভাবে ব্যবহার করতে হয় তা ব্যাখ্যা করা হয়েছে। ভিপিএন ক্লায়েন্ট (এই সেটআপটি স্বতঃস্ফূর্ত বলে মনে হচ্ছে), এবং এটি হল ৯৯% রিমোট অ্যাক্সেস ব্যবহারকারীদের দ্বারা ব্যবহৃত ক্লায়েন্ট, এবং বাকি ১% আমি। আমি প্রতিবার আমার লগইন এবং পাসওয়ার্ড প্রবেশ করানোর ঝামেলা করতে পারিনি, এবং আমি আরও স্বাচ্ছন্দ্যময়, আরও আরামদায়ক কাউচ পটেটো অভিজ্ঞতা চেয়েছিলাম যেখানে কাজের নেটওয়ার্কগুলিতে সুবিধাজনক সংযোগ রয়েছে। আমি এমন পরিস্থিতিতে Mikrotik কনফিগার করার জন্য কোনও নির্দেশিকা খুঁজে পাইনি যেখানে এটি একটি ব্যক্তিগত ঠিকানার পিছনেও নয়, সম্পূর্ণরূপে কালো তালিকাভুক্ত ঠিকানার পিছনে অবস্থিত, এমনকি এমনকি নেটওয়ার্কে একাধিক NAT থাকা সত্ত্বেও। তাই আমাকে উন্নতি করতে হয়েছিল, এবং আমি আপনাকে ফলাফলগুলি একবার দেখার পরামর্শ দিচ্ছি।

উপলব্ধ:

1. CCR1072 প্রধান ডিভাইস হিসাবে। সংস্করণ 6.44.1
2. হোম সংযোগ পয়েন্ট হিসাবে CAP ac। সংস্করণ 6.44.1

সেটিং এর প্রধান বৈশিষ্ট্য হল যে PC এবং Mikrotik একই ঠিকানার সাথে একই নেটওয়ার্কে থাকতে হবে, যা প্রধান 1072 দ্বারা জারি করা হয়।

চলুন সেটিংসে যাওয়া যাক:

1. অবশ্যই আমরা ফাস্টট্র্যাক চালু করি, কিন্তু যেহেতু ফাস্টট্র্যাক ভিপিএন-এর সাথে সামঞ্জস্যপূর্ণ নয়, তাই আমাদের এর ট্রাফিক কমাতে হবে।

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. বাড়ি এবং কর্মস্থল থেকে / থেকে নেটওয়ার্ক ফরওয়ার্ডিং যোগ করা

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. একটি ব্যবহারকারী সংযোগ বিবরণ তৈরি করুন

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    общий ключ xauth-login=username xauth-password=password

4. একটি IPSEC প্রস্তাব তৈরি করুন

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. একটি IPSEC নীতি তৈরি করুন৷

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. একটি IPSEC প্রোফাইল তৈরি করুন

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. একটি IPSEC পিয়ার তৈরি করুন৷

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
    profile_88

এখন কিছু সহজ জাদু জন্য. যেহেতু আমি সত্যিই হোম নেটওয়ার্কের সমস্ত ডিভাইসে সেটিংস পরিবর্তন করতে চাইনি, তাই আমাকে একই নেটওয়ার্কে DHCP সেট আপ করতে হয়েছিল, তবে এটি যুক্তিসঙ্গত যে মিক্রোটিক আপনাকে একাধিক ঠিকানা পুল সেট আপ করার অনুমতি দেয় না একটি সেতু, তাই আমি একটি সমাধান খুঁজে পেয়েছি, যেমন ল্যাপটপের জন্য, আমি কেবল ম্যানুয়ালি নির্দিষ্ট পরামিতিগুলির সাথে DHCP লিজ তৈরি করেছি এবং যেহেতু নেটমাস্ক, গেটওয়ে এবং ডিএনএস-এরও DHCP-এ বিকল্প নম্বর রয়েছে, আমি সেগুলি ম্যানুয়ালি নির্দিষ্ট করেছি।

1.DHCP বিকল্প

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2.DHCP লিজ

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>

একই সময়ে, 1072 সেটিংটি কার্যত মৌলিক, শুধুমাত্র সেটিংসে একটি ক্লায়েন্টকে একটি আইপি ঠিকানা প্রদান করার সময় এটি নির্দেশিত হয় যে আইপি ঠিকানাটি ম্যানুয়ালি প্রবেশ করানো হয়েছে, এবং পুল থেকে নয়, তাকে দেওয়া উচিত। নিয়মিত পিসি ক্লায়েন্টদের জন্য, সাবনেটটি উইকি কনফিগারেশন 192.168.55.0/24 এর মতই।

এই ধরনের একটি সেটিং আপনাকে তৃতীয় পক্ষের সফ্টওয়্যারের মাধ্যমে পিসির সাথে সংযোগ করতে দেয় না এবং প্রয়োজন অনুসারে রাউটার নিজেই টানেলটি উত্থাপন করে। ক্লায়েন্ট CAP ac এর লোড প্রায় ন্যূনতম, 8-11% টানেলে 9-10MB/s গতিতে।

সমস্ত সেটিংস উইনবক্সের মাধ্যমে তৈরি করা হয়েছিল, যদিও এটি কনসোলের মাধ্যমেও করা যেতে পারে।

উত্স: www.habr.com