Goede dei allegear!
It bart sa dat wy by ús bedriuw de ôfrûne twa jier stadichoan oerstapt binne op Mikrotik-chips. De wichtichste knooppunten binne boud op CCR1072, wylst lokale kompjûterferbiningspunten op ienfâldiger apparaten binne. Fansels biede wy ek netwurkyntegraasje oan fia IPSEC-tunnels; yn dit gefal is de ynstelling frij ienfâldich en rjochtlinige, tanksij de oerfloed oan boarnen dy't online beskikber binne. Mobile kliïntferbiningen presintearje lykwols bepaalde útdagings; de wiki fan 'e fabrikant leit út hoe't jo Shrew-software brûke kinne. VPN kliïnt (dizze opset liket selsferklearjend), en dit is de kliïnt dy't brûkt wurdt troch 99% fan brûkers fan tagong op ôfstân, en de oerbleaune 1% bin iksels. Ik koe gewoan net elke kear myn oanmeldnamme en wachtwurd ynfiere, en ik woe in ûntspannen, nofliker bankpotato-ûnderfining mei handige ferbiningen mei wurknetwurken. Ik koe gjin ynstruksjes fine foar it konfigurearjen fan Mikrotik foar situaasjes wêr't it net iens efter in privee adres leit, mar efter in folslein swartelist, en miskien sels mei meardere NAT's op it netwurk. Dat ik moast ymprovisearje, en ik stel foar dat jo de resultaten besjen.
Beskikber:
- CCR1072 as wichtichste apparaat. ferzje 6.44.1
- CAP ac as thúsferbiningspunt. ferzje 6.44.1
It wichtichste skaaimerk fan de opset is dat de PC en Mikrotik moatte wêze op itselde netwurk mei deselde adressering, dat is wat wurdt útjûn oan de wichtichste 1072.
Litte wy nei de ynstellings gean:
1. Fansels, wy ynskeakelje Fasttrack, mar sûnt fasttrack is net kompatibel mei VPN, wy moatte snije út syn ferkear.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. It tafoegjen fan netwurk trochstjoere fan / nei hûs en wurk
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Meitsje in brûker ferbining beskriuwing
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Meitsje in IPSEC-foarstel
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Meitsje in IPSEC Policy
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Meitsje in IPSEC profyl
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Meitsje in IPSEC-peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
No foar wat ienfâldige magy. Sûnt ik woe net echt feroarje de ynstellings op alle apparaten op it thús netwurk, Ik moast ien of oare wize ynstelle DHCP op itselde netwurk, mar it is ridlik dat Mikrotik net tastean jo te setten mear as ien adres pool op ien brêge, dus ik fûn in oplossing, nammentlik foar de laptop Ik makke gewoan DHCP Lease mei de hân oantsjutte de parameters, en sûnt netmask, gateway & dns ek hawwe opsje nûmers yn DHCP, Ik spesifisearre se mei de hân.
1.DHCP Opsje
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP Lease
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Tagelyk is it ynstellen fan 1072 praktysk basis, allinich by it útjaan fan in IP-adres oan in kliïnt, wurdt yn 'e ynstellings oanjûn dat it in IP-adres moat wurde ynfierd mei de hân, en net fan it swimbad. Foar reguliere kliïnten fan persoanlike kompjûters is it subnet itselde as yn 'e konfiguraasje mei Wiki 192.168.55.0/24.
Dizze opset lit jo gjin ferbining meitsje mei jo PC fia software fan tredden, en de tunnel sels wurdt ferhege troch de router as nedich. De lading op 'e kliïnt CAP ac is hast minimaal, 8-11% op in snelheid fan 9-10MB / s yn' e tunnel.
Alle ynstellings waarden makke fia Winbox, hoewol it likegoed kin wurde dien fia de konsole.
Boarne: www.habr.com
