Καλημέρα σε όλους!
Τυχαίνει στην εταιρεία μας να μεταβαίνουμε σταδιακά σε τσιπ Mikrotik τα τελευταία δύο χρόνια. Οι κύριοι κόμβοι είναι κατασκευασμένοι σε CCR1072, ενώ τα σημεία σύνδεσης τοπικών υπολογιστών βρίσκονται σε απλούστερες συσκευές. Φυσικά, προσφέρουμε επίσης ενσωμάτωση δικτύου μέσω σηράγγων IPSEC. Σε αυτήν την περίπτωση, η εγκατάσταση είναι αρκετά απλή και άμεση, χάρη στην πληθώρα διαθέσιμων πόρων στο διαδίκτυο. Ωστόσο, οι συνδέσεις κινητών πελατών παρουσιάζουν ορισμένες προκλήσεις. Το wiki του κατασκευαστή εξηγεί πώς να χρησιμοποιήσετε το λογισμικό Shrew. VPN client (αυτή η ρύθμιση φαίνεται αυτονόητη), και αυτός είναι ο client που χρησιμοποιείται από το 99% των χρηστών απομακρυσμένης πρόσβασης, και το υπόλοιπο 1% είμαι εγώ. Απλώς δεν μπορούσα να μπω στον κόπο να εισάγω το όνομα χρήστη και τον κωδικό πρόσβασής μου κάθε φορά, και ήθελα μια πιο χαλαρή, πιο άνετη εμπειρία καναπέ με βολικές συνδέσεις σε δίκτυα εργασίας. Δεν μπόρεσα να βρω οδηγίες για τη διαμόρφωση του Mikrotik για περιπτώσεις όπου δεν βρίσκεται καν πίσω από μια ιδιωτική διεύθυνση, αλλά πίσω από μια εντελώς μαύρη λίστα, και ίσως ακόμη και με πολλά NAT στο δίκτυο. Έτσι έπρεπε να αυτοσχεδιάσω, και σας προτείνω να ρίξετε μια ματιά στα αποτελέσματα.
Διαθέσιμος:
- CCR1072 ως κύρια συσκευή. έκδοση 6.44.1
- CAP ac ως σημείο σύνδεσης στο σπίτι. έκδοση 6.44.1
Το κύριο χαρακτηριστικό της ρύθμισης είναι ότι το PC και το Mikrotik πρέπει να βρίσκονται στο ίδιο δίκτυο με την ίδια διεύθυνση, η οποία εκδίδεται από το κύριο 1072.
Ας προχωρήσουμε στις ρυθμίσεις:
1. Εννοείται ότι ενεργοποιούμε το Fasttrack, αλλά επειδή το fasttrack δεν είναι συμβατό με το vpn, πρέπει να του κόψουμε την επισκεψιμότητα.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Προσθήκη προώθησης δικτύου από / προς το σπίτι και την εργασία
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Δημιουργήστε μια περιγραφή σύνδεσης χρήστη
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Δημιουργήστε μια πρόταση IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Δημιουργήστε μια πολιτική IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Δημιουργήστε ένα προφίλ IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Δημιουργήστε ένα ομότιμο IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Τώρα για λίγη απλή μαγεία. Δεδομένου ότι δεν ήθελα πραγματικά να αλλάξω τις ρυθμίσεις σε όλες τις συσκευές στο οικιακό μου δίκτυο, έπρεπε με κάποιο τρόπο να "κολλήσω" το DHCP στο ίδιο δίκτυο, αλλά είναι λογικό ότι η Mikrotik δεν σας επιτρέπει να κρεμάσετε περισσότερες από μία ομάδες διευθύνσεων σε μία γέφυρα , οπότε βρήκα μια λύση, δηλαδή για φορητό υπολογιστή, μόλις δημιούργησα το DHCP Lease με μη αυτόματες παραμέτρους και επειδή το netmask, η πύλη και το dns έχουν επίσης αριθμούς επιλογών στο DHCP, τους καθόρισα μη αυτόματα.
1.Επιλογές DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. Μίσθωση DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Ταυτόχρονα, η ρύθμιση 1072 είναι πρακτικά βασική, μόνο κατά την έκδοση μιας διεύθυνσης IP σε έναν πελάτη στις ρυθμίσεις υποδεικνύεται ότι η διεύθυνση IP που έχει εισαχθεί χειροκίνητα, και όχι από το pool, πρέπει να του δοθεί. Για κανονικούς υπολογιστές-πελάτες, το υποδίκτυο είναι το ίδιο με τη διαμόρφωση του Wiki 192.168.55.0/24.
Μια τέτοια ρύθμιση σάς επιτρέπει να μην συνδέεστε στον υπολογιστή μέσω λογισμικού τρίτων και η ίδια η σήραγγα ανυψώνεται από τον δρομολογητή όπως απαιτείται. Το φορτίο του πελάτη CAP ac είναι σχεδόν ελάχιστο, 8-11% με ταχύτητα 9-10MB/s στη σήραγγα.
Όλες οι ρυθμίσεις έγιναν μέσω Winbox, αν και με την ίδια επιτυχία μπορεί να γίνει και μέσω της κονσόλας.
Πηγή: www.habr.com
