Hyvää päivää kaikille!
Sattui niin, että yhtiössämme viimeisten kahden vuoden aikana olemme hiljalleen siirtyneet Mikrotikiin. Pääsolmut on rakennettu CCR1072:lle, ja laitteiden tietokoneiden paikalliset yhteyspisteet ovat yksinkertaisempia. Tietysti on myös verkkojen integrointi IPSEC-tunnelin kautta, tässä tapauksessa asennus on melko yksinkertainen eikä aiheuta vaikeuksia, onneksi verkossa on paljon materiaalia. Mutta asiakkaiden mobiiliyhteydessä on tiettyjä vaikeuksia, valmistajan wiki kertoo, kuinka Shrew soft VPN -asiakasta käytetään (kaikki näyttää olevan selvää tämän asetuksen perusteella) ja juuri tätä asiakasta käyttää 99% etäkäytöstä käyttäjiä, ja 1% on minä, olen vain liian laiska kaikki Kun annoin käyttäjätunnukseni ja salasanani asiakkaaseen, halusin laiskan asennon sohvalla ja kätevän yhteyden työverkkoihin. En löytänyt ohjeita Mikrotikin asettamiseen tilanteisiin, joissa se ei ole edes harmaan osoitteen takana, vaan täysin musta ja ehkä jopa useita NATeja verkossa. Siksi minun piti improvisoida, ja siksi ehdotan, että katsot tulosta.
Saatavilla:
- CCR1072 päälaitteena. versio 6.44.1
- CAP ac kotiyhteyspisteenä. versio 6.44.1
Asetuksen pääominaisuus on, että PC:n ja Mikrotikin on oltava samassa verkossa samalla osoitteella, joka on annettu päänumerolle 1072.
Siirrytään asetuksiin:
1. Otamme tietysti käyttöön Fasttrackin, mutta koska fasttrack ei ole yhteensopiva VPN:n kanssa, meidän on leikattava sen liikenne pois.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Lisää verkon edelleenlähetys kotiin ja töihin
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Luo käyttäjäyhteyden kuvaus
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Luo IPSEC-ehdotus
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Luo IPSEC-käytäntö
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Luo IPSEC-profiili
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Luo IPSEC-vertais
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Nyt yksinkertaiseen taikuuteen. Koska en todellakaan halunnut muuttaa kaikkien kotiverkon laitteiden asetuksia, jouduin jotenkin määrittämään DHCP:n samaan verkkoon, mutta on järkevää, että Mikrotik ei salli useampaa kuin yhtä osoitevarastoa. yksi silta, joten löysin kiertotavan, nimittäin kannettavalle tietokoneelle loin yksinkertaisesti DHCP Lease -sopimuksen parametrien manuaalisella määrittämisellä, ja koska verkkopeitteellä, yhdyskäytävällä ja dns:llä on myös vaihtoehtonumerot DHCP:ssä, määritin ne manuaalisesti.
1.DHCP-vaihtoehto
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP-vuokrasopimus
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Samalla asetus 1072 on käytännössä perus, vain IP-osoitetta asiakkaalle myönnettäessä asetuksissa ilmoitetaan, että sille tulee antaa manuaalisesti syötetty IP-osoite, ei poolista. Henkilökohtaisten tietokoneiden tavallisille asiakkaille aliverkko on sama kuin Wikin 192.168.55.0/24 kokoonpanossa.
Tämän asennuksen ansiosta et muodosta yhteyttä tietokoneeseesi kolmannen osapuolen ohjelmiston kautta, ja reititin nostaa itse tunnelia tarpeen mukaan. CAP ac:n kuormitus on lähes minimaalinen, 8-11 % nopeudella 9-10MB/s tunnelissa.
Kaikki asetukset tehtiin Winboxin kautta, vaikka sen voi yhtä hyvin tehdä konsolin kautta.
Lähde: will.com