God dag alle sammen!
Det skete bare sådan, at vi i vores virksomhed i løbet af de sidste to år langsomt er gået over til mikrotika. Hovedknuderne er bygget på CCR1072, og lokale tilslutningspunkter til computere på enheder er enklere. Selvfølgelig er der også en kombination af netværk via IPSEC-tunnelen, i dette tilfælde er opsætningen ret enkel og giver ingen vanskeligheder, da der er mange materialer på netværket. Men der er visse vanskeligheder med klienters mobilforbindelse, producentens wiki fortæller dig, hvordan du bruger Shrew soft VPN-klienten (alt ser ud til at være klart med denne indstilling), og det er denne klient, der bruges af 99% af fjernadgangsbrugere , og 1% er mig, jeg var bare for doven hver, bare indtast login og adgangskode i klienten, og jeg ønskede en doven placering på sofaen og praktisk forbindelse til arbejdsnetværk. Jeg fandt ikke instruktioner til at konfigurere Mikrotik til situationer, hvor den ikke engang er bag en grå adresse, men helt bag en sort og måske endda flere NAT'er på netværket. Derfor var jeg nødt til at improvisere, og derfor foreslår jeg at se på resultatet.
Ledig:
- CCR1072 som hovedenhed. version 6.44.1
- CAP ac som hjemmetilslutningspunkt. version 6.44.1
Hovedfunktionen ved indstillingen er, at pc'en og Mikrotik skal være på det samme netværk med samme adressering, som er udstedt af hoved 1072.
Lad os gå videre til indstillingerne:
1. Selvfølgelig slår vi Fasttrack til, men da fasttrack ikke er kompatibelt med vpn, er vi nødt til at skære ned på trafikken.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Tilføjelse af netværksvideresendelse fra/til hjem og arbejde
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Opret en brugerforbindelsesbeskrivelse
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Opret et IPSEC-forslag
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Opret en IPSEC-politik
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Opret en IPSEC-profil
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Opret en IPSEC-peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Nu til noget simpel magi. Da jeg ikke rigtig ville ændre indstillingerne på alle enheder på mit hjemmenetværk, måtte jeg på en eller anden måde hænge DHCP på det samme netværk, men det er rimeligt, at Mikrotik ikke tillader dig at hænge mere end én adressepulje på én bro , så jeg fandt en løsning, nemlig til en bærbar computer, jeg har lige oprettet DHCP Lease med manuelle parametre, og da netmaske, gateway & dns også har mulighedsnumre i DHCP, har jeg specificeret dem manuelt.
1.DHCP-indstillinger
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP leasing
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Samtidig er indstillingen 1072 praktisk talt grundlæggende, kun når du udsteder en IP-adresse til en klient i indstillingerne, angives det, at den IP-adresse, der indtastes manuelt, og ikke fra puljen, skal gives til ham. For almindelige pc-klienter er undernettet det samme som Wiki-konfigurationen 192.168.55.0/24.
En sådan indstilling giver dig mulighed for ikke at oprette forbindelse til pc'en gennem tredjepartssoftware, og selve tunnelen hæves af routeren efter behov. Belastningen af klientens CAP ac er næsten minimal, 8-11% ved en hastighed på 9-10MB/s i tunnelen.
Alle indstillinger blev foretaget gennem Winbox, selvom det med samme succes kan gøres gennem konsollen.
Kilde: www.habr.com