Latha math a h-uile duine!
Tha e mar sin a thachair gu bheil sinn anns a’ chompanaidh againn thairis air an dà bhliadhna a dh’ fhalbh air a bhith ag atharrachadh gu slaodach gu Mikrotik. Tha na prìomh nodan air an togail air CCR1072, agus tha na puingean ceangail ionadail airson coimpiutairean air innealan nas sìmplidh. Gu dearbh, tha amalachadh lìonraidhean tro thunail IPSEC cuideachd, sa chùis seo tha an stèidheachadh gu math sìmplidh agus chan eil e ag adhbhrachadh duilgheadasan sam bith, gu fortanach tha tòrr stuth air an lìonra. Ach tha cuid de dhuilgheadasan ann le ceangal gluasadach luchd-dèiligidh, tha uicidh an neach-dèanamh ag innse dhut mar a chleachdas tu an neach-dèiligidh Shrew soft VPN (tha coltas gu bheil a h-uile dad soilleir stèidhichte air an t-suidheachadh seo) agus is e an neach-dèiligidh seo a tha air a chleachdadh le 99% de ruigsinneachd iomallach luchd-cleachdaidh, agus is e 1% mise, tha mi dìreach ro leisg a h-uile duine Aon uair ‘s gun do chuir mi a-steach m’ ainm-cleachdaidh agus am facal-faire a-steach don neach-dèiligidh, bha mi ag iarraidh suidheachadh leisg air an raon-laighe agus ceangal goireasach ri lìonraidhean obrach. Cha b’ urrainn dhomh stiùireadh a lorg airson Mikrotik a stèidheachadh airson suidheachaidhean far nach eil e eadhon air cùl seòladh glas, ach gu tur dubh agus is dòcha eadhon grunn NATn air an lìonra. Mar sin, b’ fheudar dhomh a bhith gun ullachadh, agus mar sin tha mi a’ moladh dhut coimhead air a’ bhuil.
Ri fhaighinn:
- CCR1072 mar am prìomh inneal. tionndadh 6.44.1
- CAP ac mar phuing ceangail dachaigh. tionndadh 6.44.1
Is e prìomh fheart an t-suidheachaidh gum feum am PC agus Mikrotik a bhith air an aon lìonra leis an aon sheòladh, is e sin a thèid a thoirt don phrìomh 1072.
Gluaisidh sinn air adhart gu na roghainnean:
1. Gu dearbh, bidh sinn a’ comasachadh Fasttrack, ach leis nach eil fasttrack co-chòrdail ri VPN, feumaidh sinn an trafaic aige a ghearradh a-mach.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Cuir lìonra air adhart bho/dhachaigh agus obair
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Cruthaich tuairisgeul ceangal cleachdaiche
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Cruthaich Moladh IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Cruthaich Poileasaidh IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Cruthaich pròifil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Cruthaich co-aoisean IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
A-nis airson beagan draoidheachd sìmplidh. Leis nach robh mi dha-rìribh ag iarraidh na roghainnean air a h-uile inneal air an lìonra dachaigh atharrachadh, bha agam ri dòigh air choireigin DHCP a stèidheachadh air an aon lìonra, ach tha e reusanta nach leig Mikrotik leat barrachd air aon amar seòlaidh a stèidheachadh air. aon drochaid, agus mar sin lorg mi dòigh-obrach, is e sin airson an laptop a chruthaich mi DHCP Lease le bhith a’ sònrachadh nam paramadairean le làimh, agus leis gu bheil àireamhan roghainn aig netmask, gateway & dns ann an DHCP, shònraich mi iad le làimh.
Roghainn 1.DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP Lease
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Aig an aon àm, tha suidheachadh 1072 gu ìre mhòr bunaiteach, dìreach nuair a chuireas tu seòladh IP a-mach gu neach-dèiligidh, tha e air a chomharrachadh anns na roghainnean gum bu chòir seòladh IP a chuir a-steach le làimh, agus chan ann bhon amar. Airson teachdaichean cunbhalach bho choimpiutairean pearsanta, tha an subnet an aon rud ris an rèiteachadh le Wiki 192.168.55.0/24.
Leigidh an stèidheachadh seo leat gun a bhith a’ ceangal ris a’ PC agad tro bhathar-bog treas-phàrtaidh, agus tha an tunail fhèin air a thogail leis an router mar a dh’ fheumar. Cha mhòr nach eil an luchd air CAP ac an neach-dèiligidh, 8-11% aig astar 9-10MB/s anns an tunail.
Chaidh a h-uile suidheachadh a dhèanamh tro Winbox, ged a ghabhadh a dhèanamh a cheart cho math tron chonsól.
Source: www.habr.com