Dobar dan svima!
Desilo se da u našoj kompaniji u protekle dvije godine polako prelazimo na mikrotiku. Glavni čvorovi su izgrađeni na CCR1072, a lokalne priključne tačke za računare na uređajima su jednostavnije. Naravno, postoji i kombinacija mreža preko IPSEC tunela, u ovom slučaju je postavljanje prilično jednostavno i ne izaziva nikakve poteškoće, jer na mreži ima dosta materijala. Ali postoje određene poteškoće s mobilnom vezom klijenata, wiki proizvođača govori vam kako koristiti Shrew soft VPN klijent (izgleda da je sve jasno s ovom postavkom) i upravo ovaj klijent koristi 99% korisnika udaljenog pristupa , a 1% sam ja, jednostavno sam bio previše lijen svaki samo unesite korisničko ime i lozinku u klijentu i htio sam lijenu lokaciju na kauču i zgodnu vezu sa radnim mrežama. Nisam pronašao uputstva za konfigurisanje Mikrotika za situacije kada nije čak ni iza sive adrese, već potpuno iza crne i možda čak i nekoliko NAT-ova na mreži. Stoga sam morao improvizirati i stoga predlažem da pogledamo rezultat.
Dostupan:
- CCR1072 kao glavni uređaj. verzija 6.44.1
- CAP ac kao kućna tačka veze. verzija 6.44.1
Glavna karakteristika postavke je da PC i Mikrotik moraju biti na istoj mreži sa istom adresom koju izdaje glavni 1072.
Idemo dalje na postavke:
1. Naravno da uključujemo Fasttrack, ali pošto fasttrack nije kompatibilan sa vpn-om, moramo smanjiti njegov promet.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Dodavanje mrežnog prosljeđivanja od / do kuće i posla
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Kreirajte opis korisničke veze
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Kreirajte IPSEC prijedlog
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Kreirajte IPSEC politiku
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Kreirajte IPSEC profil
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Kreirajte IPSEC peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Sada malo magije. Pošto nisam baš htio mijenjati postavke na svim uređajima na svojoj kućnoj mreži, morao sam nekako objesiti DHCP na istu mrežu, ali je razumno da Mikrotik ne dozvoljava da objesite više od jednog pula adresa na jedan most , tako da sam našao zaobilazno rešenje, naime za laptop, upravo sam kreirao DHCP Lease sa ručnim parametrima, a pošto mrežna maska, gateway i dns takođe imaju brojeve opcija u DHCP-u, odredio sam ih ručno.
1.DHCP opcije
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. DHCP zakup
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Istovremeno, postavka 1072 je praktički osnovna, samo pri izdavanju IP adrese klijentu u postavkama je naznačeno da mu treba dati IP adresu unesenu ručno, a ne iz pula. Za obične PC klijente, podmreža je ista kao Wiki konfiguracija 192.168.55.0/24.
Takva postavka vam omogućava da se ne povezujete s računalom putem softvera treće strane, a sam tunel podiže ruter po potrebi. Opterećenje klijentskog CAP ac je gotovo minimalno, 8-11% pri brzini od 9-10MB/s u tunelu.
Sva podešavanja su napravljena preko Winbox-a, mada se sa istim uspehom to može uraditi i preko konzole.
izvor: www.habr.com