Bonan tagon al ĉiuj!
Okazis, ke en nia kompanio dum la lastaj du jaroj ni malrapide ŝanĝis al mikrotiko. La ĉefaj nodoj estas konstruitaj sur CCR1072, kaj lokaj konektpunktoj por komputiloj sur aparatoj estas pli simplaj. Kompreneble, ekzistas ankaŭ kombinaĵo de retoj per la tunelo IPSEC, en ĉi tiu kazo, la aranĝo estas sufiĉe simpla kaj ne kaŭzas malfacilaĵojn, ĉar estas multaj materialoj en la reto. Sed estas certaj malfacilaĵoj kun la poŝtelefona konekto de klientoj, la vikio de la fabrikanto diras al vi kiel uzi la molan VPN-klienton Shrew (ĉio ŝajnas esti klara kun ĉi tiu agordo) kaj ĝuste ĉi tiu kliento estas uzata de 99% de la uzantoj de malproksima aliro. , kaj 1% estas mi, mi estis tro maldiligenta ĉiu nur enigu la ensaluton kaj pasvorton en la kliento kaj mi volis maldiligentan lokon sur la sofo kaj oportunan konekton al laborretoj. Mi ne trovis instrukciojn por agordi Mikrotik por situacioj, kiam ĝi eĉ ne estas malantaŭ griza adreso, sed tute malantaŭ nigra kaj eble eĉ pluraj NAT-oj en la reto. Tial, mi devis improvizi, kaj tial mi proponas rigardi la rezulton.
Disponebla:
- CCR1072 kiel ĉefa aparato. versio 6.44.1
- CAP ac kiel hejma konektopunkto. versio 6.44.1
La ĉefa trajto de la agordo estas, ke la komputilo kaj Mikrotik devas esti en la sama reto kun la sama adresado, kiu estas eldonita de la ĉefa 1072.
Ni transiru al la agordoj:
1. Kompreneble ni ŝaltas Fasttrack, sed ĉar fasttrack ne kongruas kun vpn, ni devas tranĉi ĝian trafikon.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Aldono de reto plusendado de / al hejmo kaj laboro
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Kreu uzantan konektan priskribon
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Kreu IPSEC-Proponon
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Kreu IPSEC-Politiko
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Kreu IPSEC-profilon
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Kreu IPSEC-kunulo
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Nun por iom da simpla magio. Ĉar mi ne vere volis ŝanĝi la agordojn ĉe ĉiuj aparatoj en mia hejma reto, mi devis iel pendigi DHCP en la sama reto, sed estas racie, ke Mikrotik ne permesas vin pendigi pli ol unu adresgrupon sur unu ponto. , do mi trovis solvon, nome por tekkomputilo, mi ĵus kreis DHCP Lease kun manaj parametroj, kaj ĉar retmasko, enirejo & dns ankaŭ havas opcionombrojn en DHCP, mi specifis ilin permane.
1.DHCP-Ebloj
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP-luo
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Samtempe, agordo 1072 estas praktike baza, nur kiam oni donas IP-adreson al kliento en la agordoj, estas indikite, ke la IP-adreso enigita permane, kaj ne el la naĝejo, estu donita al li. Por regulaj komputilaj klientoj, la subreto estas sama kiel la Vikio-agordo 192.168.55.0/24.
Tia agordo permesas vin ne konekti al la komputilo per triaparta programaro, kaj la tunelo mem estas levita de la enkursigilo laŭbezone. La ŝarĝo de la kliento CAP ac estas preskaŭ minimuma, 8-11% kun rapido de 9-10MB/s en la tunelo.
Ĉiuj agordoj estis faritaj per Winbox, kvankam kun la sama sukceso ĝi povas esti farita per la konzolo.
fonto: www.habr.com