Goede dei allegear!
It barde dat wy yn ús bedriuw de ôfrûne twa jier stadichoan oerstapten op Mikrotik. De haadknooppunten binne boud op CCR1072, en de lokale ferbiningspunten foar kompjûters op apparaten binne ienfâldiger. Fansels is d'r ek de yntegraasje fan netwurken fia IPSEC-tunnel, yn dit gefal is de opset frij ienfâldich en feroarsaket gjin swierrichheden, gelokkich is der in protte materiaal op it netwurk. Mar d'r binne bepaalde swierrichheden mei de mobile ferbining fan kliïnten, de wiki fan de fabrikant fertelt jo hoe't jo de Shrew sêfte VPN-kliïnt brûke (alles liket dúdlik te wêzen basearre op dizze ynstelling) en it is dizze kliïnt dy't wurdt brûkt troch 99% fan tagong op ôfstân brûkers, en 1% is my, Ik bin gewoan te lui elkenien Sadree't ik ynfierd myn oanmelden en wachtwurd yn de klant, Ik woe in luie posysje op 'e bank en in handige ferbining mei wurk netwurken. Ik fûn gjin ynstruksjes foar it ynstellen fan Mikrotik foar situaasjes dêr't it net iens efter in griis adres is, mar folslein swart en miskien sels ferskate NAT's op it netwurk. Dêrom moast ik ymprovisearje, en dêrom stel ik foar dat jo nei it resultaat sjogge.
Beskikber:
- CCR1072 as wichtichste apparaat. ferzje 6.44.1
- CAP ac as thúsferbiningspunt. ferzje 6.44.1
It wichtichste skaaimerk fan de opset is dat de PC en Mikrotik moatte wêze op itselde netwurk mei deselde adressering, dat is wat wurdt útjûn oan de wichtichste 1072.
Litte wy nei de ynstellings gean:
1. Fansels, wy ynskeakelje Fasttrack, mar sûnt fasttrack is net kompatibel mei VPN, wy moatte snije út syn ferkear.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. It tafoegjen fan netwurk trochstjoere fan / nei hûs en wurk
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Meitsje in brûker ferbining beskriuwing
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Meitsje in IPSEC-foarstel
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Meitsje in IPSEC Policy
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Meitsje in IPSEC profyl
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Meitsje in IPSEC-peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
No foar wat ienfâldige magy. Sûnt ik woe net echt feroarje de ynstellings op alle apparaten op it thús netwurk, Ik moast ien of oare wize ynstelle DHCP op itselde netwurk, mar it is ridlik dat Mikrotik net tastean jo te setten mear as ien adres pool op ien brêge, dus ik fûn in oplossing, nammentlik foar de laptop Ik makke gewoan DHCP Lease mei de hân oantsjutte de parameters, en sûnt netmask, gateway & dns ek hawwe opsje nûmers yn DHCP, Ik spesifisearre se mei de hân.
1.DHCP Opsje
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP Lease
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Tagelyk is it ynstellen fan 1072 praktysk basis, allinich by it útjaan fan in IP-adres oan in kliïnt, wurdt yn 'e ynstellings oanjûn dat it in IP-adres moat wurde ynfierd mei de hân, en net fan it swimbad. Foar reguliere kliïnten fan persoanlike kompjûters is it subnet itselde as yn 'e konfiguraasje mei Wiki 192.168.55.0/24.
Dizze opset lit jo gjin ferbining meitsje mei jo PC fia software fan tredden, en de tunnel sels wurdt ferhege troch de router as nedich. De lading op 'e kliïnt CAP ac is hast minimaal, 8-11% op in snelheid fan 9-10MB / s yn' e tunnel.
Alle ynstellings waarden makke fia Winbox, hoewol it likegoed kin wurde dien fia de konsole.
Boarne: www.habr.com