Latha math a h-uile duine!
Thachair gun robh sinn, aig a’ chompanaidh againn, mean air mhean ag atharrachadh gu sgoltagan Mikrotik thar an dà bhliadhna a dh’fhalbh. Tha na prìomh nódan air an togail air CCR1072, agus tha puingean ceangail coimpiutair ionadail air innealan nas sìmplidh. Gu dearbh, bidh sinn cuideachd a’ tabhann amalachadh lìonra tro thunailean IPSEC; sa chùis seo, tha an stèidheachadh gu math sìmplidh agus soilleir, le taing don pailteas ghoireasan a tha rim faighinn air-loidhne. Ach, tha dùbhlain sònraichte ann a thaobh ceanglaichean teachdaiche gluasadach; tha wiki an neach-dèanamh a’ mìneachadh mar a chleachdas tu bathar-bog Shrew. VPN neach-dèiligidh (tha coltas gu bheil an rèiteachadh seo soilleir), agus is e seo an neach-dèiligidh a bhios 99% de luchd-cleachdaidh ruigsinneachd iomallach a’ cleachdadh, agus is mise an 1% a tha air fhàgail. Cha robh dragh orm dìreach mo logadh a-steach agus facal-faire a chuir a-steach a h-uile turas, agus bha mi ag iarraidh eòlas nas socraiche, nas comhfhurtail le ceanglaichean goireasach ri lìonraidhean obrach. Cha b’ urrainn dhomh stiùireadh sam bith a lorg airson Mikrotik a rèiteachadh airson suidheachaidhean far nach eil e suidhichte eadhon air cùl seòlaidh prìobhaideach, ach air cùl fear air liosta dhubh gu tur, agus is dòcha eadhon le iomadh NAT air an lìonra. Mar sin dh'fheumadh mi feuchainn ri rudan ùra a dhèanamh, agus tha mi a’ moladh gun toir thu sùil air na toraidhean.
Ri fhaighinn:
- CCR1072 mar am prìomh inneal. tionndadh 6.44.1
- CAP ac mar phuing ceangail dachaigh. tionndadh 6.44.1
Is e prìomh fheart an t-suidheachaidh gum feum am PC agus Mikrotik a bhith air an aon lìonra leis an aon sheòladh, is e sin a thèid a thoirt don phrìomh 1072.
Gluaisidh sinn air adhart gu na roghainnean:
1. Gu dearbh, bidh sinn a’ comasachadh Fasttrack, ach leis nach eil fasttrack co-chòrdail ri VPN, feumaidh sinn an trafaic aige a ghearradh a-mach.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Cuir lìonra air adhart bho/dhachaigh agus obair
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Cruthaich tuairisgeul ceangal cleachdaiche
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Cruthaich Moladh IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Cruthaich Poileasaidh IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Cruthaich pròifil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Cruthaich co-aoisean IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
A-nis airson beagan draoidheachd sìmplidh. Leis nach robh mi dha-rìribh ag iarraidh na roghainnean air a h-uile inneal air an lìonra dachaigh atharrachadh, bha agam ri dòigh air choireigin DHCP a stèidheachadh air an aon lìonra, ach tha e reusanta nach leig Mikrotik leat barrachd air aon amar seòlaidh a stèidheachadh air. aon drochaid, agus mar sin lorg mi dòigh-obrach, is e sin airson an laptop a chruthaich mi DHCP Lease le bhith a’ sònrachadh nam paramadairean le làimh, agus leis gu bheil àireamhan roghainn aig netmask, gateway & dns ann an DHCP, shònraich mi iad le làimh.
Roghainn 1.DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP Lease
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Aig an aon àm, tha suidheachadh 1072 gu ìre mhòr bunaiteach, dìreach nuair a chuireas tu seòladh IP a-mach gu neach-dèiligidh, tha e air a chomharrachadh anns na roghainnean gum bu chòir seòladh IP a chuir a-steach le làimh, agus chan ann bhon amar. Airson teachdaichean cunbhalach bho choimpiutairean pearsanta, tha an subnet an aon rud ris an rèiteachadh le Wiki 192.168.55.0/24.
Leigidh an stèidheachadh seo leat gun a bhith a’ ceangal ris a’ PC agad tro bhathar-bog treas-phàrtaidh, agus tha an tunail fhèin air a thogail leis an router mar a dh’ fheumar. Cha mhòr nach eil an luchd air CAP ac an neach-dèiligidh, 8-11% aig astar 9-10MB/s anns an tunail.
Chaidh a h-uile suidheachadh a dhèanamh tro Winbox, ged a ghabhadh a dhèanamh a cheart cho math tron chonsól.
Source: www.habr.com
