Bonan tagon al ĉiuj!
Hazarde, en nia firmao ni iom post iom ŝanĝis al Mikrotik-ĉipoj dum la pasintaj du jaroj. La ĉefaj nodoj estas konstruitaj sur CCR1072, dum lokaj komputilaj konektopunktoj estas sur pli simplaj aparatoj. Kompreneble, ni ankaŭ ofertas retintegriĝon per IPSEC-tuneloj; en ĉi tiu kazo, la agordo estas sufiĉe simpla kaj facila, danke al la abundo da rimedoj haveblaj interrete. Tamen, konektoj al moveblaj klientoj prezentas certajn defiojn; la vikio de la fabrikanto klarigas kiel uzi Shrew soft. VPN kliento (ĉi tiu aranĝo ŝajnas mem-klariga), kaj ĉi tiu estas la kliento uzata de 99% de uzantoj de fora aliro, kaj la restanta 1% estas mi. Mi simple ne povis ĝeni min enigi mian salutnomon kaj pasvorton ĉiufoje, kaj mi volis pli rilaksitan, pli komfortan sofulan sperton kun oportunaj konektoj al laboraj retoj. Mi ne povis trovi iujn ajn instrukciojn por agordi Mikrotik por situacioj kie ĝi troviĝas ne eĉ malantaŭ privata adreso, sed malantaŭ tute nigralistigita, kaj eble eĉ kun pluraj NAT-oj en la reto. Do mi devis improvizi, kaj mi sugestas, ke vi rigardu la rezultojn.
Disponebla:
- CCR1072 kiel ĉefa aparato. versio 6.44.1
- CAP ac kiel hejma konektopunkto. versio 6.44.1
La ĉefa trajto de la agordo estas, ke la komputilo kaj Mikrotik devas esti en la sama reto kun la sama adresado, kiu estas eldonita de la ĉefa 1072.
Ni transiru al la agordoj:
1. Kompreneble ni ŝaltas Fasttrack, sed ĉar fasttrack ne kongruas kun vpn, ni devas tranĉi ĝian trafikon.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Aldono de reto plusendado de / al hejmo kaj laboro
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Kreu uzantan konektan priskribon
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Kreu IPSEC-Proponon
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Kreu IPSEC-Politiko
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Kreu IPSEC-profilon
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Kreu IPSEC-kunulo
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Nun por iom da simpla magio. Ĉar mi ne vere volis ŝanĝi la agordojn ĉe ĉiuj aparatoj en mia hejma reto, mi devis iel pendigi DHCP en la sama reto, sed estas racie, ke Mikrotik ne permesas vin pendigi pli ol unu adresgrupon sur unu ponto. , do mi trovis solvon, nome por tekkomputilo, mi ĵus kreis DHCP Lease kun manaj parametroj, kaj ĉar retmasko, enirejo & dns ankaŭ havas opcionombrojn en DHCP, mi specifis ilin permane.
1.DHCP-Ebloj
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP-luo
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Samtempe, agordo 1072 estas praktike baza, nur kiam oni donas IP-adreson al kliento en la agordoj, estas indikite, ke la IP-adreso enigita permane, kaj ne el la naĝejo, estu donita al li. Por regulaj komputilaj klientoj, la subreto estas sama kiel la Vikio-agordo 192.168.55.0/24.
Tia agordo permesas vin ne konekti al la komputilo per triaparta programaro, kaj la tunelo mem estas levita de la enkursigilo laŭbezone. La ŝarĝo de la kliento CAP ac estas preskaŭ minimuma, 8-11% kun rapido de 9-10MB/s en la tunelo.
Ĉiuj agordoj estis faritaj per Winbox, kvankam kun la sama sukceso ĝi povas esti farita per la konzolo.
fonto: www.habr.com
