Diwrnod da i bawb!
Yn union fel y digwyddodd ein bod ni yn ein cwmni dros y ddwy flynedd ddiwethaf wedi bod yn newid yn araf i ficroteg. Mae'r prif nodau wedi'u hadeiladu ar CCR1072, ac mae pwyntiau cysylltu lleol ar gyfer cyfrifiaduron ar ddyfeisiau yn symlach. Wrth gwrs, mae yna hefyd gyfuniad o rwydweithiau trwy dwnnel IPSEC, yn yr achos hwn, mae'r gosodiad yn eithaf syml ac nid yw'n achosi unrhyw anawsterau, gan fod yna lawer o ddeunyddiau ar y rhwydwaith. Ond mae rhai anawsterau gyda chysylltiad symudol cleientiaid, mae wiki'r gwneuthurwr yn dweud wrthych sut i ddefnyddio'r cleient VPN meddal Shrew (mae'n ymddangos bod popeth yn glir gyda'r gosodiad hwn) a'r cleient hwn sy'n cael ei ddefnyddio gan 99% o ddefnyddwyr mynediad o bell , Ac 1% yw fi, roeddwn i'n rhy ddiog yr un yn unig rhowch y mewngofnodi a'r cyfrinair yn y cleient ac roeddwn i eisiau lleoliad diog ar y soffa a chysylltiad cyfleus i rwydweithiau gwaith. Ni wnes i ddod o hyd i gyfarwyddiadau ar gyfer ffurfweddu Mikrotik ar gyfer sefyllfaoedd pan nad yw hyd yn oed y tu Γ΄l i gyfeiriad llwyd, ond yn gyfan gwbl y tu Γ΄l i un du ac efallai hyd yn oed sawl NAT ar y rhwydwaith. Felly, roedd yn rhaid i mi fyrfyfyrio, ac felly cynigiaf edrych ar y canlyniad.
Ar gael:
- CCR1072 fel prif ddyfais. fersiwn 6.44.1
- CAP c fel pwynt cyswllt cartref. fersiwn 6.44.1
Prif nodwedd y lleoliad yw bod yn rhaid i'r PC a Mikrotik fod ar yr un rhwydwaith gyda'r un cyfeiriad, a gyhoeddir gan y prif 1072.
Gadewch i ni symud ymlaen i'r gosodiadau:
1. Wrth gwrs rydym yn troi Fasttrack ymlaen, ond gan nad yw fasttrack yn gydnaws Γ’ vpn, mae'n rhaid i ni dorri ei draffig.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Ychwanegu rhwydwaith ymlaen o / i gartref a gwaith
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Creu disgrifiad cysylltiad defnyddiwr
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
ΠΎΠ±ΡΠΈΠΉ ΠΊΠ»ΡΡ xauth-login=username xauth-password=password
4. Creu Cynnig IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Creu Polisi IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Creu proffil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Creu cyfoedion IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<Π²Π°Ρ Π°Π΄ΡΠ΅Ρ ΡΠΎΡΡΠ΅ΡΠ°> name=CO profile=
profile_88
Nawr am ychydig o hud syml. Gan nad oeddwn wir eisiau newid y gosodiadau ar bob dyfais ar fy rhwydwaith cartref, roedd yn rhaid i mi hongian DHCP ar yr un rhwydwaith rywsut, ond mae'n rhesymol nad yw Mikrotik yn caniatΓ‘u ichi hongian mwy nag un pwll cyfeiriadau ar un bont, felly fe wnes i ddod o hyd i ateb, sef ar gyfer gliniadur, rydw i newydd greu DHCP Lease gyda pharamedrau llaw, a chan fod gan netmask, porth a dns hefyd rifau opsiwn yn DHCP, fe wnes i eu nodi Γ’ llaw.
Opsiynau 1.DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
prydles 2.DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC Π°Π΄ΡΠ΅Ρ Π½ΠΎΡΡΠ±ΡΠΊΠ°>
Ar yr un pryd, mae gosodiad 1072 yn ymarferol sylfaenol, dim ond wrth roi cyfeiriad IP i gleient yn y gosodiadau y nodir y dylid rhoi'r cyfeiriad IP a gofnodwyd Γ’ llaw, ac nid o'r pwll, iddo. Ar gyfer cleientiaid PC rheolaidd, mae'r is-rwydwaith yr un fath Γ’ ffurfwedd Wiki 192.168.55.0/24.
Mae gosodiad o'r fath yn caniatΓ‘u ichi beidio Γ’ chysylltu Γ’'r PC trwy feddalwedd trydydd parti, ac mae'r twnnel ei hun yn cael ei godi gan y llwybrydd yn Γ΄l yr angen. Mae llwyth y cleient PAC cerrynt eiledol bron yn fach iawn, 8-11% ar gyflymder o 9-10MB / s yn y twnnel.
Gwnaed yr holl leoliadau trwy Winbox, er gyda'r un llwyddiant gellir ei wneud trwy'r consol.
Ffynhonnell: hab.com