Head päeva kõigile!
Juhtus nii, et oleme meie ettevõttes viimase kahe aasta jooksul aeglaselt üle läinud mikrootikale. Peamised sõlmed on üles ehitatud CCR1072-le ja seadmete arvutite kohalikud ühenduspunktid on lihtsamad. Muidugi on ka IPSEC-tunneli kaudu võrkude kombinatsioon, sel juhul on seadistamine üsna lihtne ega tekita raskusi, kuna võrgus on palju materjale. Kuid klientide mobiilse ühendusega on teatud raskusi, tootja wiki ütleb teile, kuidas kasutada Shrew pehme VPN-klienti (selle seadega tundub kõik olevat selge) ja just seda klienti kasutab 99% kaugjuurdepääsu kasutajatest. , ja 1% olen mina, muutusin lihtsalt liiga laisaks, igaüks sisestage lihtsalt kliendi kasutajanimi ja parool ning tahtsin laiska asukohta diivanil ja mugavat ühendust töövõrkudega. Ma ei leidnud juhiseid Mikrotiku seadistamiseks olukordadeks, kui see pole isegi mitte halli aadressi taga, vaid täiesti musta ja võib-olla isegi mitme NAT-i taga võrgus. Seetõttu pidin improviseerima ja seetõttu teen ettepaneku vaadata tulemust.
Saadaval:
- Põhiseadmena CCR1072. versioon 6.44.1
- CAP ac kui kodune ühenduspunkt. versioon 6.44.1
Seadistuse peamine omadus on see, et arvuti ja Mikrotik peavad olema samas võrgus sama aadressiga, mille väljastab peamine 1072.
Liigume edasi seadete juurde:
1. Muidugi lülitame sisse Fasttracki, aga kuna fasttrack vpn-ga ei ühildu, siis peame selle liiklust kärpima.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Võrgu suunamise lisamine koju ja tööle
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Loo kasutajaühenduse kirjeldus
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Looge IPSEC-i ettepanek
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Looge IPSEC-poliitika
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Looge IPSEC-profiil
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Looge IPSEC-i partner
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Nüüd lihtsa maagia jaoks. Kuna ma väga ei tahtnud koduvõrgu kõikide seadmete seadeid muuta, siis pidin DHCP kuidagi samasse võrku riputama, aga on mõistlik, et Mikrotik ei luba ühele sillale üle ühe aadressikogu riputada, seega leidsin lahenduse, nimelt sülearvuti jaoks, tegin just manuaalsete parameetritega DHCP Lease ja kuna netmaskil, lüüsil & dns-il on ka DHCP-s valikunumbrid, siis määrasin need käsitsi.
1.DHCP valikud
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP liising
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Samas on 1072 seadmine praktiliselt põhiline, ainult kliendile seadetes IP-aadressi väljastamisel näidatakse, et talle tuleks anda käsitsi, mitte basseinist sisestatud IP-aadress. Tavaliste arvutiklientide puhul on alamvõrk sama, mis Wiki konfiguratsioonil 192.168.55.0/24.
Selline seadistus võimaldab teil mitte luua arvutiga ühendust kolmanda osapoole tarkvara kaudu ja tunneli ise tõstab ruuter vastavalt vajadusele. Kliendi CAP ac koormus on tunnelis peaaegu minimaalne, 8-11%, kiirusel 9-10MB/s.
Kõik seadistused tehti Winboxi kaudu, kuigi sama edukalt saab seda teha ka konsooli kaudu.
Allikas: www.habr.com