God dag alle sammen!
Det sker bare, at vi i vores virksomhed gradvist er gået over til Mikrotik-chips i løbet af de sidste to år. Hovednoderne er bygget på CCR1072, mens lokale computerforbindelsespunkter er på enklere enheder. Vi tilbyder selvfølgelig også netværksintegration via IPSEC-tunneler; i dette tilfælde er opsætningen ret enkel og ligetil takket være den overflod af ressourcer, der er tilgængelige online. Mobile klientforbindelser præsenterer dog visse udfordringer; producentens wiki forklarer, hvordan man bruger Shrew soft. VPN klient (denne opsætning virker selvforklarende), og det er den klient, der bruges af 99% af brugerne af fjernadgang, og de resterende 1% er mig. Jeg gad simpelthen ikke indtaste mit login og min adgangskode hver gang, og jeg ønskede en mere afslappet og behagelig sofakartoffeloplevelse med bekvemme forbindelser til arbejdsnetværk. Jeg kunne ikke finde nogen instruktioner til at konfigurere Mikrotik til situationer, hvor den ikke engang er placeret bag en privat adresse, men bag en fuldstændig sortlistet en, og måske endda med flere NAT'er på netværket. Så jeg var nødt til at improvisere, og jeg foreslår, at du kigger på resultaterne.
Ledig:
- CCR1072 som hovedenhed. version 6.44.1
- CAP ac som hjemmetilslutningspunkt. version 6.44.1
Hovedfunktionen ved indstillingen er, at pc'en og Mikrotik skal være på det samme netværk med samme adressering, som er udstedt af hoved 1072.
Lad os gå videre til indstillingerne:
1. Selvfølgelig slår vi Fasttrack til, men da fasttrack ikke er kompatibelt med vpn, er vi nødt til at skære ned på trafikken.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Tilføjelse af netværksvideresendelse fra/til hjem og arbejde
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Opret en brugerforbindelsesbeskrivelse
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Opret et IPSEC-forslag
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Opret en IPSEC-politik
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Opret en IPSEC-profil
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Opret en IPSEC-peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Nu til noget simpel magi. Da jeg ikke rigtig ville ændre indstillingerne på alle enheder på mit hjemmenetværk, måtte jeg på en eller anden måde hænge DHCP på det samme netværk, men det er rimeligt, at Mikrotik ikke tillader dig at hænge mere end én adressepulje på én bro , så jeg fandt en løsning, nemlig til en bærbar computer, jeg har lige oprettet DHCP Lease med manuelle parametre, og da netmaske, gateway & dns også har mulighedsnumre i DHCP, har jeg specificeret dem manuelt.
1.DHCP-indstillinger
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP leasing
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Samtidig er indstillingen 1072 praktisk talt grundlæggende, kun når du udsteder en IP-adresse til en klient i indstillingerne, angives det, at den IP-adresse, der indtastes manuelt, og ikke fra puljen, skal gives til ham. For almindelige pc-klienter er undernettet det samme som Wiki-konfigurationen 192.168.55.0/24.
En sådan indstilling giver dig mulighed for ikke at oprette forbindelse til pc'en gennem tredjepartssoftware, og selve tunnelen hæves af routeren efter behov. Belastningen af klientens CAP ac er næsten minimal, 8-11% ved en hastighed på 9-10MB/s i tunnelen.
Alle indstillinger blev foretaget gennem Winbox, selvom det med samme succes kan gøres gennem konsollen.
Kilde: www.habr.com
