Dobar dan svima!
Slučajno se desilo da u našoj kompaniji u posljednje dvije godine postepeno prelazimo na Mikrotik čipove. Glavni čvorovi su izgrađeni na CCR1072, dok su lokalne tačke povezivanja računara na jednostavnijim uređajima. Naravno, nudimo i mrežnu integraciju putem IPSEC tunela; u ovom slučaju, podešavanje je prilično jednostavno i lako, zahvaljujući obilju dostupnih resursa na internetu. Međutim, veze mobilnih klijenata predstavljaju određene izazove; proizvođačeva wiki stranica objašnjava kako koristiti Shrew softver. VPN klijent (ova postavka se čini samorazumljivom), i to je klijent kojeg koristi 99% korisnika s udaljenim pristupom, a preostalih 1% sam ja. Jednostavno se nisam mogao zamarati unosom korisničkog imena i lozinke svaki put, a želio sam opuštenije, ugodnije iskustvo "kauča-krompira" s praktičnim vezama s poslovnim mrežama. Nisam mogao pronaći nikakve upute za konfiguriranje Mikrotika za situacije u kojima se ne nalazi čak ni iza privatne adrese, već iza potpuno crne liste, a možda čak i s više NAT-ova na mreži. Tako da sam morao improvizirati, i predlažem da pogledate rezultate.
Dostupan:
- CCR1072 kao glavni uređaj. verzija 6.44.1
- CAP ac kao kućna tačka veze. verzija 6.44.1
Glavna karakteristika postavke je da PC i Mikrotik moraju biti na istoj mreži sa istom adresom koju izdaje glavni 1072.
Idemo dalje na postavke:
1. Naravno da uključujemo Fasttrack, ali pošto fasttrack nije kompatibilan sa vpn-om, moramo smanjiti njegov promet.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Dodavanje mrežnog prosljeđivanja od / do kuće i posla
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Kreirajte opis korisničke veze
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Kreirajte IPSEC prijedlog
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Kreirajte IPSEC politiku
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Kreirajte IPSEC profil
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Kreirajte IPSEC peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Sada malo magije. Pošto nisam baš htio mijenjati postavke na svim uređajima na svojoj kućnoj mreži, morao sam nekako objesiti DHCP na istu mrežu, ali je razumno da Mikrotik ne dozvoljava da objesite više od jednog pula adresa na jedan most , tako da sam našao zaobilazno rešenje, naime za laptop, upravo sam kreirao DHCP Lease sa ručnim parametrima, a pošto mrežna maska, gateway i dns takođe imaju brojeve opcija u DHCP-u, odredio sam ih ručno.
1.DHCP opcije
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. DHCP zakup
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Istovremeno, postavka 1072 je praktički osnovna, samo pri izdavanju IP adrese klijentu u postavkama je naznačeno da mu treba dati IP adresu unesenu ručno, a ne iz pula. Za obične PC klijente, podmreža je ista kao Wiki konfiguracija 192.168.55.0/24.
Takva postavka vam omogućava da se ne povezujete s računalom putem softvera treće strane, a sam tunel podiže ruter po potrebi. Opterećenje klijentskog CAP ac je gotovo minimalno, 8-11% pri brzini od 9-10MB/s u tunelu.
Sva podešavanja su napravljena preko Winbox-a, mada se sa istim uspehom to može uraditi i preko konzole.
izvor: www.habr.com
