Head päeva kõigile!
Juhtumisi oleme oma ettevõttes viimase kahe aasta jooksul järk-järgult Mikrotiku kiipidele üle läinud. Peamised sõlmed on ehitatud CCR1072 peale, samas kui kohalikud arvutiühenduspunktid asuvad lihtsamatel seadmetel. Loomulikult pakume ka võrguintegratsiooni IPSEC tunnelite kaudu; sel juhul on seadistamine üsna lihtne ja arusaadav tänu veebis saadaolevate ressursside rohkusele. Mobiilkliendiühendused tekitavad aga teatud väljakutseid; tootja wiki selgitab, kuidas Shrew tarkvara kasutada. VPN klient (see seadistus tundub iseenesestmõistetav) ja seda klienti kasutab 99% kaugjuurdepääsu kasutajatest ning ülejäänud 1% olen mina. Ma lihtsalt ei viitsinud iga kord oma sisselogimist ja parooli sisestada ning tahtsin pingevabamat ja mugavamat diivanikartuli kogemust mugavate ühendustega töövõrkudega. Ma ei leidnud juhiseid Mikrotiku seadistamiseks olukordades, kus see ei asu isegi mitte privaatse aadressi taga, vaid täiesti mustas nimekirjas oleva aadressi taga ja võib-olla isegi mitme NAT-iga võrgus. Seega pidin improviseerima ja soovitan teil vaadata tulemusi.
Saadaval:
- Põhiseadmena CCR1072. versioon 6.44.1
- CAP ac kui kodune ühenduspunkt. versioon 6.44.1
Seadistuse peamine omadus on see, et arvuti ja Mikrotik peavad olema samas võrgus sama aadressiga, mille väljastab peamine 1072.
Liigume edasi seadete juurde:
1. Muidugi lülitame sisse Fasttracki, aga kuna fasttrack vpn-ga ei ühildu, siis peame selle liiklust kärpima.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Võrgu suunamise lisamine koju ja tööle
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Loo kasutajaühenduse kirjeldus
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Looge IPSEC-i ettepanek
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Looge IPSEC-poliitika
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Looge IPSEC-profiil
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Looge IPSEC-i partner
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Nüüd lihtsa maagia jaoks. Kuna ma väga ei tahtnud koduvõrgu kõikide seadmete seadeid muuta, siis pidin DHCP kuidagi samasse võrku riputama, aga on mõistlik, et Mikrotik ei luba ühele sillale üle ühe aadressikogu riputada, seega leidsin lahenduse, nimelt sülearvuti jaoks, tegin just manuaalsete parameetritega DHCP Lease ja kuna netmaskil, lüüsil & dns-il on ka DHCP-s valikunumbrid, siis määrasin need käsitsi.
1.DHCP valikud
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP liising
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Samas on 1072 seadmine praktiliselt põhiline, ainult kliendile seadetes IP-aadressi väljastamisel näidatakse, et talle tuleks anda käsitsi, mitte basseinist sisestatud IP-aadress. Tavaliste arvutiklientide puhul on alamvõrk sama, mis Wiki konfiguratsioonil 192.168.55.0/24.
Selline seadistus võimaldab teil mitte luua arvutiga ühendust kolmanda osapoole tarkvara kaudu ja tunneli ise tõstab ruuter vastavalt vajadusele. Kliendi CAP ac koormus on tunnelis peaaegu minimaalne, 8-11%, kiirusel 9-10MB/s.
Kõik seadistused tehti Winboxi kaudu, kuigi sama edukalt saab seda teha ka konsooli kaudu.
Allikas: www.habr.com
