Egun on guztioi!
Kasualitatez, gure enpresan azken bi urteotan pixkanaka Mikrotik txipetara aldatzen ari gara. Nodo nagusiak CCR1072an eraikita daude, eta tokiko ordenagailuen konexio puntuak gailu sinpleagoetan daude. Noski, IPSEC tunelen bidezko sare integrazioa ere eskaintzen dugu; kasu honetan, konfigurazioa nahiko erraza eta erraza da, sarean eskuragarri dauden baliabide ugariei esker. Hala ere, bezero mugikorren konexioek zenbait erronka dituzte; fabrikatzailearen wikiak Shrew softwarea nola erabili azaltzen du. VPN bezeroa (konfigurazio hau berez ulergarria dirudi), eta hau da urruneko sarbideko erabiltzaileen % 99k erabiltzen duten bezeroa, eta gainerako % 1a ni naiz. Ez nintzen gai nire saioa hasteko eta pasahitza sartzeko aldiro, eta sofako patata esperientzia lasaiagoa eta erosoagoa nahi nuen, laneko sareetarako konexio erosoekin. Ez nuen Mikrotik konfiguratzeko argibiderik aurkitu helbide pribatu baten atzean ere ez dagoen egoeretarako, baizik eta zerrenda beltzean dagoen baten atzean, eta agian sarean NAT anitz dituen egoeretarako ere. Beraz, inprobisatu behar izan nuen, eta emaitzak begiratzea gomendatzen dizut.
Eskuragarri:
- CCR1072 gailu nagusi gisa. 6.44.1 bertsioa
- CAP ac etxeko konexio puntu gisa. 6.44.1 bertsioa
Konfigurazioaren ezaugarri nagusia da PCa eta Mikrotik sare berean egon behar dutela helbide berdinarekin, hau da, 1072 nagusira igortzen dena.
Goazen ezarpenetara:
1. Jakina, Fasttrack gaitzen dugu, baina fasttrack VPNarekin bateragarria ez denez, haren trafikoa moztu behar dugu.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Gehitu sare birbidaltzea etxetik eta lanera
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Sortu erabiltzailearen konexioaren deskribapena
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Sortu IPSEC Proposamena
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Sortu IPSEC politika
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Sortu IPSEC profil bat
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Sortu IPSEC parekoa
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Orain magia sinple bat egiteko. Etxeko sareko gailu guztietan ezarpenak aldatu nahi ez nituenez, nolabait DHCP sare berean konfiguratu behar izan nuen, baina arrazoizkoa da Mikrotik-ek ez dizula baimentzen helbide multzo bat baino gehiago konfiguratzea. zubi bat, beraz, konponbide bat aurkitu nuen, hots, ordenagailu eramangarrirako DHCP Lease sortu nuen parametroak eskuz zehaztuta, eta sare-maskara, atebide eta dn-ek ere aukera-zenbakiak dituztenez DHCPn, eskuz zehaztu ditut.
1.DHCP Aukera
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP alokairua
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Aldi berean, 1072 ezarpena ia oinarrizkoa da, bezero bati IP helbidea igortzean soilik, ezarpenetan adierazten da eskuz sartutako IP helbidea eman behar zaiola, eta ez igerilekutik. Ordenagailu pertsonaletatik datozen bezero arruntentzat, azpisarea Wiki 192.168.55.0/24-rekin konfiguratzeko bera da.
Konfigurazio honek hirugarrenen softwarearen bidez zure ordenagailura ez konektatzea ahalbidetzen du, eta tunela bera bideratzaileak behar bezala igotzen du. Bezeroaren CAP ac karga ia minimoa da, % 8-11 tunelean 9-10 MB/s-ko abiaduran.
Ezarpen guztiak Winbox bidez egin ziren, nahiz eta kontsolaren bidez egin zitekeen.
Iturria: www.habr.com
