Lá maith gach duine!
Tarlaíonn sé go bhfuilimid ag aistriú de réir a chéile chuig sceallóga Mikrotik inár gcuideachta le dhá bhliain anuas. Tá na príomhnóid tógtha ar CCR1072, agus tá pointí nasctha ríomhaireachta áitiúla ar fheistí níos simplí. Ar ndóigh, cuirimid comhtháthú líonra ar fáil trí tholláin IPSEC freisin; sa chás seo, tá an socrú sách simplí agus soiléir, a bhuíochas leis an iliomad acmhainní atá ar fáil ar líne. Mar sin féin, bíonn dúshláin áirithe i gceist le naisc chliaint soghluaiste; míníonn vicí an mhonaróra conas Shrew soft a úsáid. VPN cliant (is cosúil go bhfuil an socrú seo soiléir), agus is é seo an cliant a úsáideann 99% d'úsáideoirí rochtana cianda, agus is mise an 1% eile. Ní raibh mé in ann mo logáil isteach agus mo phasfhocal a iontráil gach uair, agus theastaigh uaim eispéireas níos suaimhní, níos compordaí le naisc áisiúla le líonraí oibre. Ní raibh mé in ann aon treoracha a fháil maidir le Mikrotik a chumrú do chásanna nach bhfuil sé suite taobh thiar de sheoladh príobháideach fiú, ach taobh thiar de cheann atá ar liosta dubh go hiomlán, agus b'fhéidir fiú le il-NATanna ar an líonra. Mar sin, b'éigean dom a bheith ag feabhsú, agus molaim duit breathnú ar na torthaí.
Ar fáil:
- CCR1072 mar phríomhghléas. leagan 6.44.1
- CAP ac mar phointe ceangail baile. leagan 6.44.1
Is í príomhghné an tsuímh ná go gcaithfidh an ríomhaire agus Mikrotik a bheith ar an líonra céanna leis an seoladh céanna, a eisíonn an príomh-1072.
Bogaimis ar aghaidh chuig na socruithe:
1. Ar ndóigh, casaimid ar Fasttrack, ach ós rud é nach bhfuil fasttrack comhoiriúnach le vpn, ní mór dúinn a thrácht a ghearradh.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Ag cur ar aghaidh líonra ó / go baile agus obair
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Cruthaigh cur síos nasc úsáideora
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Cruthaigh Togra IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Beartas IPSEC a chruthú
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Cruthaigh próifíl IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Cruthaigh piaraí IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Anois le haghaidh roinnt draíochta simplí. Ós rud é nach raibh mé i ndáiríre ag iarraidh na socruithe ar gach feiste ar mo líonra baile a athrú, bhí orm DHCP a chrochadh ar an líonra céanna ar bhealach éigin, ach tá sé réasúnta nach gceadaíonn Mikrotik duit níos mó ná linn seoltaí amháin a chrochadh ar dhroichead amháin, mar sin fuair mé réiteach oibre, eadhon le haghaidh ríomhaire glúine, chruthaigh mé Léas DHCP le paraiméadair láimhe, agus ós rud é go bhfuil uimhreacha rogha ag netmask, gateway & dns i DHCP, shonraigh mé iad de láimh.
Roghanna 1.DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
Léas 2.DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Ag an am céanna, tá socrú 1072 bunúsach go praiticiúil, ach amháin nuair a eisítear seoladh IP do chliant sna socruithe a chuirtear in iúl gur chóir an seoladh IP a iontráladh de láimh, agus ní ón linn, a thabhairt dó. Do chliaint rialta PC, tá an subnet mar an gcéanna le cumraíocht Wiki 192.168.55.0/24.
Ligeann socrú den sórt sin duit gan nascadh leis an ríomhaire trí bhogearraí tríú páirtí, agus ardaíonn an ródaire an tollán féin de réir mar is gá. Tá ualach an chliaint CBT ac beagnach íosta, 8-11% ag luas 9-10MB / s sa tollán.
Rinneadh na socruithe go léir trí Winbox, cé gur féidir leis an rath céanna é a dhéanamh tríd an consól.
Foinse: will.com
