Bona ghjurnata à tutti!
Hè accadutu cusì chì in a nostra cumpagnia annantu à l'ultimi dui anni avemu cambiatu lentamente à i microtichi. I nodi principali sò custruiti nantu à CCR1072, è i punti di cunnessione lucali per l'urdinatori nantu à i dispositi sò più simplici. Di sicuru, ci hè ancu una cumminazione di rete via u tunnel IPSEC, in questu casu, a stallazione hè abbastanza simplice è ùn causa micca difficultà, postu chì ci sò assai materiali in a reta. Ma ci sò certe difficultà cù a cunnessione mobile di i clienti, u wiki di u fabricatore suggerisce cumu utilizà u cliente VPN Soft Shrew (tuttu pare esse chjaru cù questu paràmetru) è hè questu cliente chì hè utilizatu da u 99% di l'utilizatori di accessu remoto, è 1% sò mè, sò diventatu troppu pigro ogni solu entre in u login è a password in u cliente è vulia un locu lazy nantu à u divano è una cunnessione còmuda à e rete di travagliu. Ùn aghju micca trovu struzzioni per cunfigurà Mikrotik per situazioni quandu ùn hè ancu daretu à un indirizzu grisgiu, ma cumpletamente daretu à un neru è forsi ancu parechji NAT in a reta. Per quessa, aghju avutu à improvisà, è per quessa prupone à fighjà u risultatu.
Disponibile:
- CCR1072 cum'è u dispusitivu principale. versione 6.44.1
- CAP ac cum'è puntu di cunnessione di casa. versione 6.44.1
A funzione principale di u paràmetru hè chì u PC è Mikrotik deve esse in a listessa reta cù u stessu indirizzu, chì hè emessu da u 1072 principale.
Passemu à i paràmetri:
1. Di sicuru, turnemu Fasttrack, ma postu chì fasttrack ùn hè micca cumpatibile cù vpn, avemu da cutà u so trafficu.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Aghjunghjendu l'invio di rete da / à a casa è u travagliu
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Crea una descrizzione di cunnessione d'utilizatore
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Crea una pruposta IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Crea una pulitica IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Crea un prufilu IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Crea un peer IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Avà per qualchì magia simplice. Siccomu ùn vulia micca veramente cambià i paràmetri in tutti i dispositi nantu à a mo rete di casa, aghju avutu à appiccà DHCP in a listessa reta, ma hè ragiunate chì Mikrotik ùn vi permette micca di impiccà più di una piscina di indirizzi in un ponte. , cusì aghju trovu una soluzione, vale à dì per un laptop, aghju ghjustu creatu DHCP Lease cù paràmetri manuali, è postu chì netmask, gateway & dns anu ancu numeri d'opzioni in DHCP, aghju specificatu manualmente.
Opzioni 1.DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP affittu
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
À u listessu tempu, l'impostazione 1072 hè praticamente basica, solu quandu emette un indirizzu IP à un cliente in i paràmetri hè indicatu chì l'indirizzu IP inseritu manualmente, è micca da a piscina, deve esse datu à ellu. Per i clienti di PC regulari, a subnet hè a stessa cum'è a cunfigurazione Wiki 192.168.55.0/24.
Un tali paràmetru vi permette micca di cunnette à u PC per un software di terzu, è u tunnellu stessu hè risuscitatu da u router quantu necessariu. A carica di u cliente CAP ac hè quasi minima, 8-11% à una vitezza di 9-10MB / s in u tunnel.
Tutti i paràmetri sò stati fatti attraversu Winbox, ancu s'è cù u listessu successu pò esse fattu per mezu di a cunsola.
Source: www.habr.com