Lá maith gach duine!
Is amhlaidh a tharla sé go bhfuil muid ag aistriú go mall chuig micreolaíocht inár gcuideachta le dhá bhliain anuas. Tógtar na príomhnóid ar CCR1072, agus tá pointí nasctha áitiúla le haghaidh ríomhairí ar fheistí níos simplí. Ar ndóigh, tá meascán de líonraí ann freisin trí thollán IPSEC, sa chás seo, tá an socrú simplí go leor agus ní chuireann sé faoi deara aon deacrachtaí, ós rud é go bhfuil go leor ábhar ar an líonra. Ach tá deacrachtaí áirithe ag baint le nasc soghluaiste na gcliant, molann wiki an mhonaróra conas an cliant Shrew bog VPN a úsáid (is cosúil go bhfuil gach rud soiléir leis an socrú seo) agus is é an cliant seo a úsáideann 99% d'úsáideoirí cianrochtana, agus is é 1% dom, d'éirigh mé ró-leisciúil gach ceann ach cuir isteach an logáil isteach agus an focal faire sa chliant agus theastaigh uaim suíomh leisciúil ar an tolg agus nasc áisiúil le líonraí oibre. Ní bhfuair mé treoracha maidir le Mikrotik a chumrú le haghaidh cásanna nuair nach bhfuil sé fiú taobh thiar de sheoladh liath, ach go hiomlán taobh thiar de cheann dubh agus b'fhéidir fiú roinnt NAT ar an líonra. Mar sin, bhí orm tobchumadh, agus mar sin molaim breathnú ar an toradh.
Ar fáil:
- CCR1072 mar phríomhghléas. leagan 6.44.1
- CAP ac mar phointe ceangail baile. leagan 6.44.1
Is í príomhghné an tsuímh ná go gcaithfidh an ríomhaire agus Mikrotik a bheith ar an líonra céanna leis an seoladh céanna, a eisíonn an príomh-1072.
Bogaimis ar aghaidh chuig na socruithe:
1. Ar ndóigh, casaimid ar Fasttrack, ach ós rud é nach bhfuil fasttrack comhoiriúnach le vpn, ní mór dúinn a thrácht a ghearradh.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Ag cur ar aghaidh líonra ó / go baile agus obair
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Cruthaigh cur síos nasc úsáideora
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Cruthaigh Togra IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Beartas IPSEC a chruthú
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Cruthaigh próifíl IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Cruthaigh piaraí IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Anois le haghaidh roinnt draíochta simplí. Ós rud é nach raibh mé i ndáiríre ag iarraidh na socruithe ar gach feiste ar mo líonra baile a athrú, bhí orm DHCP a chrochadh ar an líonra céanna ar bhealach éigin, ach tá sé réasúnta nach gceadaíonn Mikrotik duit níos mó ná linn seoltaí amháin a chrochadh ar dhroichead amháin, mar sin fuair mé réiteach oibre, eadhon le haghaidh ríomhaire glúine, chruthaigh mé Léas DHCP le paraiméadair láimhe, agus ós rud é go bhfuil uimhreacha rogha ag netmask, gateway & dns i DHCP, shonraigh mé iad de láimh.
Roghanna 1.DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
Léas 2.DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Ag an am céanna, tá socrú 1072 bunúsach go praiticiúil, ach amháin nuair a eisítear seoladh IP do chliant sna socruithe a chuirtear in iúl gur chóir an seoladh IP a iontráladh de láimh, agus ní ón linn, a thabhairt dó. Do chliaint rialta PC, tá an subnet mar an gcéanna le cumraíocht Wiki 192.168.55.0/24.
Ligeann socrú den sórt sin duit gan nascadh leis an ríomhaire trí bhogearraí tríú páirtí, agus ardaíonn an ródaire an tollán féin de réir mar is gá. Tá ualach an chliaint CBT ac beagnach íosta, 8-11% ag luas 9-10MB / s sa tollán.
Rinneadh na socruithe go léir trí Winbox, cé gur féidir leis an rath céanna é a dhéanamh tríd an consól.
Foinse: will.com