Maayong adlaw sa tanan!
Nahitabo kini nga sa among kompanya sa miaging duha ka tuig hinay-hinay kaming nagbalhin sa Mikrotik. Ang mga nag-unang node gitukod sa CCR1072, ug ang lokal nga mga punto sa koneksyon alang sa mga kompyuter sa mga device mas simple. Siyempre, adunay usab ang panagsama sa mga network pinaagi sa IPSEC tunnel, sa kini nga kaso ang pag-setup yano ra ug dili hinungdan sa bisan unsang mga kalisud, maayo na nga adunay daghang materyal sa network. Apan adunay pipila nga mga kalisud sa koneksyon sa mobile sa mga kliyente, ang wiki sa tiggama nagsulti kanimo kung giunsa ang paggamit sa Shrew soft VPN nga kliyente (ang tanan ingon klaro base sa kini nga setting) ug kini nga kliyente nga gigamit sa 99% sa hilit nga pag-access mga tiggamit, ug 1% ako, tapolan ra kaayo ko sa tanan Sa higayon nga gisulod nako ang akong login ug password sa kliyente, gusto nako ang usa ka tapulan nga posisyon sa sopa ug usa ka kombenyente nga koneksyon sa mga network sa pagtrabaho. Wala koy nakit-an nga mga instruksyon alang sa pag-set up sa Mikrotik alang sa mga sitwasyon diin kini wala bisan sa luyo sa usa ka gray nga adres, apan hingpit nga itom ug tingali bisan sa daghang mga NAT sa network. Busa, kinahanglan kong mag-improvise, ug busa gisugyot ko nga tan-awon nimo ang resulta.
Anaa:
- CCR1072 isip nag-unang device. bersyon 6.44.1
- Ang CAP ac ingon usa ka punto sa koneksyon sa balay. bersyon 6.44.1
Ang panguna nga bahin sa pag-setup mao nga ang PC ug Mikrotik kinahanglan naa sa parehas nga network nga adunay parehas nga pag-address, nga gi-isyu sa panguna nga 1072.
Mopadayon kita sa mga setting:
1. Siyempre, atong gipalihok ang Fasttrack, apan tungod kay ang fasttrack dili compatible sa VPN, kinahanglan natong putlon ang trapiko niini.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Idugang ang network forwarding gikan/ngadto sa balay ug trabaho
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Paghimo og paghulagway sa koneksyon sa user
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
ΠΎΠ±ΡΠΈΠΉ ΠΊΠ»ΡΡ xauth-login=username xauth-password=password
4. Paghimo ug IPSEC Proposal
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Paghimo ug IPSEC Policy
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Paghimo ug IPSEC profile
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Paghimo ug IPSEC peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<Π²Π°Ρ Π°Π΄ΡΠ΅Ρ ΡΠΎΡΡΠ΅ΡΠ°> name=CO profile=
profile_88
Karon alang sa pipila ka yano nga salamangka. Tungod kay dili gyud nako gusto nga usbon ang mga setting sa tanan nga mga aparato sa home network, kinahanglan nako nga i-set up ang DHCP sa parehas nga network, apan makatarunganon nga dili tugutan ka ni Mikrotik nga mag-set up labaw sa usa ka address pool sa. usa ka tulay, mao nga nakit-an nako ang usa ka workaround, nga mao ang alang sa laptop gibuhat ra nako ang DHCP Lease nga adunay mano-mano nga pagtino sa mga parameter, ug tungod kay ang netmask, gateway & dns usab adunay mga numero sa kapilian sa DHCP, gipiho nako kini nga mano-mano.
1.DHCP Option
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP Lease
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC Π°Π΄ΡΠ΅Ρ Π½ΠΎΡΡΠ±ΡΠΊΠ°>
Sa parehas nga oras, ang pagbutang sa 1072 praktikal nga sukaranan, kung nag-isyu sa usa ka IP address sa usa ka kliyente, gipakita sa mga setting nga kinahanglan hatagan kini usa ka IP address nga gisulod nga mano-mano, ug dili gikan sa pool. Para sa mga regular nga kliyente gikan sa personal nga mga kompyuter, ang subnet parehas sa configuration sa Wiki 192.168.55.0/24.
Kini nga setup nagtugot kanimo nga dili makonektar sa imong PC pinaagi sa third-party nga software, ug ang tunel mismo gipataas sa router kung gikinahanglan. Ang load sa kliyente nga CAP ac hapit gamay, 8-11% sa gikusgon nga 9-10MB/s sa tunnel.
Ang tanan nga mga setting gihimo pinaagi sa Winbox, bisan kung mahimo usab kini pinaagi sa console.
Source: www.habr.com