Hyvää päivää kaikille!
Sattumalta olemme yrityksessämme siirtyneet vähitellen Mikrotik-siruihin viimeisten kahden vuoden aikana. Pääsolmut on rakennettu CCR1072-piirillä, kun taas paikalliset tietokoneiden liitäntäpisteet ovat yksinkertaisemmilla laitteilla. Tarjoamme tietysti myös verkkointegraatiota IPSEC-tunnelien kautta; tässä tapauksessa asennus on melko yksinkertaista ja suoraviivaista verkossa saatavilla olevien resurssien runsauden ansiosta. Mobiiliasiakasyhteydet tuovat kuitenkin mukanaan tiettyjä haasteita; valmistajan wiki selittää, miten Shrew-ohjelmistoa käytetään. VPN asiakasohjelma (tämä asetus vaikuttaa itsestään selvältä), ja tätä asiakasohjelmaa käyttää 99 % etäkäyttäjistä, ja loput 1 % olen minä. En yksinkertaisesti jaksanut antaa käyttäjätunnustani ja salasanaani joka kerta, ja halusin rennomman ja mukavamman sohvaperunakokemuksen, jossa olisi kätevät yhteydet työpaikan verkkoihin. En löytänyt ohjeita Mikrotikin määrittämiseen tilanteisiin, joissa se ei sijaitse edes yksityisen osoitteen takana, vaan täysin mustalla listalla olevan osoitteen takana, ja ehkä jopa useiden NAT-osoitteiden takana verkossa. Joten minun piti improvisoida, ja ehdotan, että katsot tuloksia.
Saatavilla:
- CCR1072 päälaitteena. versio 6.44.1
- CAP ac kotiyhteyspisteenä. versio 6.44.1
Asetuksen pääominaisuus on, että PC:n ja Mikrotikin on oltava samassa verkossa samalla osoitteella, joka on annettu päänumerolle 1072.
Siirrytään asetuksiin:
1. Otamme tietysti käyttöön Fasttrackin, mutta koska fasttrack ei ole yhteensopiva VPN:n kanssa, meidän on leikattava sen liikenne pois.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Lisää verkon edelleenlähetys kotiin ja töihin
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Luo käyttäjäyhteyden kuvaus
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Luo IPSEC-ehdotus
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Luo IPSEC-käytäntö
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Luo IPSEC-profiili
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Luo IPSEC-vertais
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Nyt yksinkertaiseen taikuuteen. Koska en todellakaan halunnut muuttaa kaikkien kotiverkon laitteiden asetuksia, jouduin jotenkin määrittämään DHCP:n samaan verkkoon, mutta on järkevää, että Mikrotik ei salli useampaa kuin yhtä osoitevarastoa. yksi silta, joten löysin kiertotavan, nimittäin kannettavalle tietokoneelle loin yksinkertaisesti DHCP Lease -sopimuksen parametrien manuaalisella määrittämisellä, ja koska verkkopeitteellä, yhdyskäytävällä ja dns:llä on myös vaihtoehtonumerot DHCP:ssä, määritin ne manuaalisesti.
1.DHCP-vaihtoehto
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP-vuokrasopimus
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Samalla asetus 1072 on käytännössä perus, vain IP-osoitetta asiakkaalle myönnettäessä asetuksissa ilmoitetaan, että sille tulee antaa manuaalisesti syötetty IP-osoite, ei poolista. Henkilökohtaisten tietokoneiden tavallisille asiakkaille aliverkko on sama kuin Wikin 192.168.55.0/24 kokoonpanossa.
Tämän asennuksen ansiosta et muodosta yhteyttä tietokoneeseesi kolmannen osapuolen ohjelmiston kautta, ja reititin nostaa itse tunnelia tarpeen mukaan. CAP ac:n kuormitus on lähes minimaalinen, 8-11 % nopeudella 9-10MB/s tunnelissa.
Kaikki asetukset tehtiin Winboxin kautta, vaikka sen voi yhtä hyvin tehdä konsolin kautta.
Lähde: will.com
