Egun on guztioi!
Gertatu zen gure enpresan azken bi urteotan poliki poliki Mikrotik-era aldatzen joan garela. Nodo nagusiak CCR1072n eraikita daude, eta gailuetako ordenagailuetarako tokiko konexio-puntuak sinpleagoak dira. Jakina, sareen integrazioa ere badago IPSEC tunelaren bidez, kasu honetan konfigurazioa nahiko erraza da eta ez du inolako zailtasunik sortzen, zorionez sarean material asko dago. Baina bezeroen mugikorraren konexioarekin zenbait zailtasun daude, fabrikatzailearen wikiak Shrew soft VPN bezeroa nola erabili esaten dizu (ezarpen honetan oinarrituta dena argi dagoela dirudi) eta bezero hori da urruneko sarbidearen %99k erabiltzen duena. erabiltzaileak, eta % 1 ni naiz, alferra naiz denak Erabiltzaile-izena eta pasahitza bezeroan sartu ondoren, sofan posizio alferra eta lan-sareetarako konexio erosoa nahi nuen. Ezin izan nituen Mikrotik konfiguratzeko argibiderik aurkitu helbide gris baten atzean ez dagoen egoeretarako, baina guztiz beltza eta agian sarean hainbat NAT ere. Horregatik, inprobisatu egin behar izan nuen, eta, horregatik, emaitza begiratzea proposatzen dizuet.
Eskuragarri:
- CCR1072 gailu nagusi gisa. 6.44.1 bertsioa
- CAP ac etxeko konexio puntu gisa. 6.44.1 bertsioa
Konfigurazioaren ezaugarri nagusia da PCa eta Mikrotik sare berean egon behar dutela helbide berdinarekin, hau da, 1072 nagusira igortzen dena.
Goazen ezarpenetara:
1. Jakina, Fasttrack gaitzen dugu, baina fasttrack VPNarekin bateragarria ez denez, haren trafikoa moztu behar dugu.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Gehitu sare birbidaltzea etxetik eta lanera
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Sortu erabiltzailearen konexioaren deskribapena
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
ΠΎΠ±ΡΠΈΠΉ ΠΊΠ»ΡΡ xauth-login=username xauth-password=password
4. Sortu IPSEC Proposamena
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Sortu IPSEC politika
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Sortu IPSEC profil bat
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Sortu IPSEC parekoa
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<Π²Π°Ρ Π°Π΄ΡΠ΅Ρ ΡΠΎΡΡΠ΅ΡΠ°> name=CO profile=
profile_88
Orain magia sinple bat egiteko. Etxeko sareko gailu guztietan ezarpenak aldatu nahi ez nituenez, nolabait DHCP sare berean konfiguratu behar izan nuen, baina arrazoizkoa da Mikrotik-ek ez dizula baimentzen helbide multzo bat baino gehiago konfiguratzea. zubi bat, beraz, konponbide bat aurkitu nuen, hots, ordenagailu eramangarrirako DHCP Lease sortu nuen parametroak eskuz zehaztuta, eta sare-maskara, atebide eta dn-ek ere aukera-zenbakiak dituztenez DHCPn, eskuz zehaztu ditut.
1.DHCP Aukera
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP alokairua
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC Π°Π΄ΡΠ΅Ρ Π½ΠΎΡΡΠ±ΡΠΊΠ°>
Aldi berean, 1072 ezarpena ia oinarrizkoa da, bezero bati IP helbidea igortzean soilik, ezarpenetan adierazten da eskuz sartutako IP helbidea eman behar zaiola, eta ez igerilekutik. Ordenagailu pertsonaletatik datozen bezero arruntentzat, azpisarea Wiki 192.168.55.0/24-rekin konfiguratzeko bera da.
Konfigurazio honek hirugarrenen softwarearen bidez zure ordenagailura ez konektatzea ahalbidetzen du, eta tunela bera bideratzaileak behar bezala igotzen du. Bezeroaren CAP ac karga ia minimoa da, % 8-11 tunelean 9-10 MB/s-ko abiaduran.
Ezarpen guztiak Winbox bidez egin ziren, nahiz eta kontsolaren bidez egin zitekeen.
Iturria: www.habr.com