Maayong adlaw sa tanan!
Nahitabo lang nga sa among kompanya, hinay-hinay namong gibalhin ngadto sa Mikrotik chips sa miaging duha ka tuig. Ang mga nag-unang node gitukod sa CCR1072, samtang ang mga lokal nga punto sa koneksyon sa kompyuter anaa sa mas simple nga mga device. Siyempre, nagtanyag usab kami og network integration pinaagi sa IPSEC tunnels; sa kini nga kaso, ang pag-setup yano ra ug prangka, salamat sa daghang mga kapanguhaan nga magamit online. Bisan pa, ang mga koneksyon sa mobile client adunay pipila ka mga hagit; ang wiki sa tiggama nagpatin-aw kung giunsa paggamit ang Shrew soft. VPN kliyente (murag klaro ra kaayo ni nga setup), ug kini ang kliyente nga gigamit sa 99% sa mga remote access user, ug ang nahibiling 1% ako. Dili gyud ko ganahan mo-input sa akong login ug password matag higayon, ug gusto nako og mas relaks ug komportable nga kasinatian nga adunay sayon nga koneksyon sa mga work network. Wala koy nakitang instruksyon para sa pag-configure sa Mikrotik para sa mga sitwasyon diin kini nahimutang dili bisan sa luyo sa usa ka private address, apan sa luyo sa usa nga hingpit nga blacklisted, ug tingali bisan sa daghang NAT sa network. Mao nga kinahanglan kong mag-improvise, ug gisugyot ko nga imong tan-awon ang mga resulta.
Anaa:
- CCR1072 isip nag-unang device. bersyon 6.44.1
- Ang CAP ac ingon usa ka punto sa koneksyon sa balay. bersyon 6.44.1
Ang panguna nga bahin sa pag-setup mao nga ang PC ug Mikrotik kinahanglan naa sa parehas nga network nga adunay parehas nga pag-address, nga gi-isyu sa panguna nga 1072.
Mopadayon kita sa mga setting:
1. Siyempre, atong gipalihok ang Fasttrack, apan tungod kay ang fasttrack dili compatible sa VPN, kinahanglan natong putlon ang trapiko niini.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Idugang ang network forwarding gikan/ngadto sa balay ug trabaho
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Paghimo og paghulagway sa koneksyon sa user
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Paghimo ug IPSEC Proposal
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Paghimo ug IPSEC Policy
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Paghimo ug IPSEC profile
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Paghimo ug IPSEC peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Karon alang sa pipila ka yano nga salamangka. Tungod kay dili gyud nako gusto nga usbon ang mga setting sa tanan nga mga aparato sa home network, kinahanglan nako nga i-set up ang DHCP sa parehas nga network, apan makatarunganon nga dili tugutan ka ni Mikrotik nga mag-set up labaw sa usa ka address pool sa. usa ka tulay, mao nga nakit-an nako ang usa ka workaround, nga mao ang alang sa laptop gibuhat ra nako ang DHCP Lease nga adunay mano-mano nga pagtino sa mga parameter, ug tungod kay ang netmask, gateway & dns usab adunay mga numero sa kapilian sa DHCP, gipiho nako kini nga mano-mano.
1.DHCP Option
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP Lease
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Sa parehas nga oras, ang pagbutang sa 1072 praktikal nga sukaranan, kung nag-isyu sa usa ka IP address sa usa ka kliyente, gipakita sa mga setting nga kinahanglan hatagan kini usa ka IP address nga gisulod nga mano-mano, ug dili gikan sa pool. Para sa mga regular nga kliyente gikan sa personal nga mga kompyuter, ang subnet parehas sa configuration sa Wiki 192.168.55.0/24.
Kini nga setup nagtugot kanimo nga dili makonektar sa imong PC pinaagi sa third-party nga software, ug ang tunel mismo gipataas sa router kung gikinahanglan. Ang load sa kliyente nga CAP ac hapit gamay, 8-11% sa gikusgon nga 9-10MB/s sa tunnel.
Ang tanan nga mga setting gihimo pinaagi sa Winbox, bisan kung mahimo usab kini pinaagi sa console.
Source: www.habr.com
