เชฆเชฐเซเชเชจเซ เชถเซเชญ เชฆเชฟเชตเชธ!
เชเชตเซเช เชฌเชจเซเชฏเซเช เชเซ เชเซเชฒเซเชฒเชพ เชฌเซ เชตเชฐเซเชทเชฎเชพเช เช เชฎเชพเชฐเซ เชเชเชชเชจเซเชฎเชพเช เช เชฎเซ เชงเซเชฎเซ เชงเซเชฎเซ เชฎเชพเชเชเซเชฐเซเชเชฟเชเซเชธ เชคเชฐเชซ เชธเซเชตเชฟเช เชเชฐเซ เชฐเชนเซเชฏเชพ เชเซเช. เชฎเซเชเซเชฏ เชเชพเชเช เซ CCR1072 เชชเชฐ เชฌเชจเซเชฒ เชเซ, เช เชจเซ เชเชชเชเชฐเชฃเซ เชชเชฐเชจเชพ เชเชฎเซเชชเซเชฏเซเชเชฐเซเชธ เชฎเชพเชเซ เชธเซเชฅเชพเชจเชฟเช เชเชจเซเชเซเชถเชจ เชชเซเชเชจเซเช เชธเชฐเชณ เชเซ. เช เชฒเชฌเชคเซเชค, IPSEC เชเชจเชฒ เชฆเซเชตเชพเชฐเชพ เชจเซเชเชตเชฐเซเชเซเชธเชจเซเช เชธเชเชฏเซเชเชจ เชชเชฃ เชเซ, เช เชเชฟเชธเซเชธเชพเชฎเชพเช, เชธเซเชเช เชช เชเชเชฆเชฎ เชธเชฐเชณ เชเซ เช เชจเซ เชเซเชเชชเชฃ เชฎเซเชถเซเชเซเชฒเซเชเชจเซเช เชเชพเชฐเชฃ เชจเชฅเซ, เชเชพเชฐเชฃ เชเซ เชจเซเชเชตเชฐเซเช เชชเชฐ เชเชฃเซ เชฌเชงเซ เชธเชพเชฎเชเซเชฐเซ เชเซ. เชชเชฐเชเชคเซ เชเซเชฒเชพเชฏเชจเซเชเชจเชพ เชฎเซเชฌเชพเชเชฒ เชเชจเซเชเซเชถเชจเชฎเชพเช เชเซเชเชฒเซเช เชฎเซเชถเซเชเซเชฒเซเช เชเซ, เชเชคเซเชชเชพเชฆเชเชจเซเช เชตเชฟเชเชฟ เชคเชฎเชจเซ เชถเซเชฐเซ เชธเซเชซเซเช เชตเซเชชเซเชเชจ เชเซเชฒเชพเชฏเชเชเชจเซ เชเชชเชฏเซเช เชเซเชตเซ เชฐเซเชคเซ เชเชฐเชตเซ เชคเซ เชเชฃเชพเชตเซ เชเซ (เช เชธเซเชเชฟเชเช เชธเชพเชฅเซ เชฌเชงเซเช เชธเซเชชเชทเซเช เชฒเชพเชเซ เชเซ) เช เชจเซ เช เชเซเชฒเชพเชฏเชจเซเช เชเซ เชเซเชจเซ เชเชชเชฏเซเช 99% เชฐเชฟเชฎเซเช เชเชเซเชธเซเชธ เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพเช เชฆเซเชตเชพเชฐเชพ เชเชฐเชตเชพเชฎเชพเช เชเชตเซ เชเซ. , เช เชจเซ 1% เชนเซเช เชเซเช, เชนเซเช เชเซเชฌ เชเชณเชธเซ เชฌเชจเซ เชเชฏเซ เชเซเช เชฆเชฐเซเชเซ เชเซเชฒเชพเชฏเชเชเชฎเชพเช เชซเชเซเชค เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพเชจเชพเชฎ เช เชจเซ เชชเชพเชธเชตเชฐเซเชก เชฆเชพเชเชฒ เชเชฐเซเชฏเซ เชเซ เช เชจเซ เชฎเชจเซ เชชเชฒเชเช เชชเชฐ เชเช เชเชณเชธเซ เชธเซเชฅเชพเชจ เช เชจเซ เชเชพเชฐเซเชฏ เชจเซเชเชตเชฐเซเชเซเชธ เชธเชพเชฅเซ เช เชจเซเชเซเชณ เชเซเชกเชพเชฃ เชเซเชเชคเซเช เชนเชคเซเช. เชฎเชจเซ เชชเชฐเชฟเชธเซเชฅเชฟเชคเชฟเช เชฎเชพเชเซ Mikrotik เชจเซ เชเซเช เชตเชตเชพ เชฎเชพเชเซ เชเซเช เชธเซเชเชจเชพ เชฎเชณเซ เชจเชฅเซ เชเซเชฏเชพเชฐเซ เชคเซ เชเซเชฐเซ เชธเชฐเชจเชพเชฎเชพเชเชจเซ เชชเชพเชเชณ เชชเชฃ เชจเชฅเซ, เชชเชฐเชเชคเซ เชธเชเชชเซเชฐเซเชฃเชชเชฃเซ เชเชพเชณเชพ เช เชจเซ เชเชฆเชพเช เชจเซเชเชตเชฐเซเช เชชเชฐ เชเชฃเชพ NATs เชชเชพเชเชณ เชชเชฃ เชเซ. เชคเซเชฅเซ, เชฎเชพเชฐเซ เชธเซเชงเชพเชฐเชตเซเช เชชเชกเซเชฏเซเช, เช เชจเซ เชคเซเชฅเซ เชฎเซเช เชชเชฐเชฟเชฃเชพเชฎ เชเซเชตเชพเชจเซ เชชเซเชฐเชธเซเชคเชพเชต เชฎเซเชเซเชฏเซ.
เชเชชเชฒเชฌเซเชง:
- เชฎเซเชเซเชฏ เชเชชเชเชฐเชฃ เชคเชฐเซเชเซ CCR1072. เชธเชเชธเซเชเชฐเชฃ 6.44.1
- เชนเซเชฎ เชเชจเซเชเซเชถเชจ เชชเซเชเชจเซเช เชคเชฐเซเชเซ CAP ac. เชธเชเชธเซเชเชฐเชฃ 6.44.1
เชธเซเชเชฟเชเชเชจเซ เชฎเซเชเซเชฏ เชตเชฟเชถเซเชทเชคเชพ เช เชเซ เชเซ PC เช
เชจเซ Mikrotik เช เชธเชฎเชพเชจ เชธเชฐเชจเชพเชฎเชพเช เชธเชพเชฅเซ เชธเชฎเชพเชจ เชจเซเชเชตเชฐเซเช เชชเชฐ เชนเซเชตเชพ เชเซเชเช, เชเซ เชฎเซเชเซเชฏ 1072 เชฆเซเชตเชพเชฐเชพ เชเชพเชฐเซ เชเชฐเชตเชพเชฎเชพเช เชเชตเซ เชเซ.
เชเชพเชฒเซ เชธเซเชเชฟเชเชเซเชธ เชชเชฐ เชเชเชณ เชตเชงเซเช:
1. เช เชฒเชฌเชคเซเชค เชเชชเชฃเซ เชซเชพเชธเซเชเชเซเชฐเซเช เชเชพเชฒเซ เชเชฐเซเช เชเซเช, เชชเชฐเชเชคเซ เชซเชพเชธเซเชเชเซเชฐเซเช vpn เชธเชพเชฅเซ เชธเซเชธเชเชเชค เชจ เชนเซเชตเชพเชฅเซ, เช เชฎเชพเชฐเซ เชคเซเชจเซ เชเซเชฐเชพเชซเชฟเช เชเชพเชชเชตเซ เชชเชกเชถเซ.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. เชเชฐ เช เชจเซ เชเชพเชฐเซเชฏเชพเชฒเชฏเชฅเซ เชจเซเชเชตเชฐเซเช เชซเซเชฐเชตเชฐเซเชกเชฟเชเช เชเชฎเซเชฐเซ
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพ เชเซเชกเชพเชฃ เชตเชฐเซเชฃเชจ เชฌเชจเชพเชตเซ
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
ะพะฑัะธะน ะบะปัั xauth-login=username xauth-password=password
4. IPSEC เชฆเชฐเชเชพเชธเซเชค เชฌเชจเชพเชตเซ
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. IPSEC เชชเซเชฒเชฟเชธเซ เชฌเชจเชพเชตเซ
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. IPSEC เชชเซเชฐเซเชซเชพเชเชฒ เชฌเชจเชพเชตเซ
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. IPSEC เชชเซเช เชฐ เชฌเชจเชพเชตเซ
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ะฒะฐั ะฐะดัะตั ัะพััะตัะฐ> name=CO profile=
profile_88
เชนเชตเซ เชเซเชเชฒเชพเช เชธเชฐเชณ เชเชพเชฆเซ เชฎเชพเชเซ. เชนเซเช เชเชฐเซเชเชฐ เชฎเชพเชฐเชพ เชนเซเชฎ เชจเซเชเชตเชฐเซเช เชชเชฐเชจเชพ เชคเชฎเชพเชฎ เชเชชเชเชฐเชฃเซ เชชเชฐ เชธเซเชเชฟเชเชเซเชธ เชฌเชฆเชฒเชตเชพ เชฎเชพเชเชเชคเซ เชจ เชนเซเชตเชพเชฅเซ, เชฎเชพเชฐเซ เชเซเชเช เชฐเซเชคเซ เชธเชฎเชพเชจ เชจเซเชเชตเชฐเซเช เชชเชฐ DHCP เช เชเชเซ เชเชตเซเช เชชเชกเซเชฏเซเช, เชชเชฐเชเชคเซ เชคเซ เชตเชพเชเชฌเซ เชเซ เชเซ Mikrotik เชคเชฎเชจเซ เชเช เชฌเซเชฐเชฟเช เชชเชฐ เชเช เชเชฐเชคเชพเช เชตเชงเซ เชธเชฐเชจเชพเชฎเชพเช เชชเซเชฒเชจเซ เชฒเชเชเชพเชตเชตเชพเชจเซ เชฎเชเชเซเชฐเซ เชเชชเชคเซเช เชจเชฅเซ, เชคเซเชฅเซ เชฎเชจเซ เชเช เชตเชฐเซเชเช เชฐเชพเชเชจเซเชก เชฎเชณเซเชฏเซ, เชเชเชฒเซ เชเซ เชฒเซเชชเชเซเชช เชฎเชพเชเซ, เชฎเซเช เชซเชเซเชค เชฎเซเชจเซเชฏเซเช เชฒ เชชเซเชฐเชพเชฎเซเชเชฐเซเชธ เชธเชพเชฅเซ DHCP เชฒเซเช เชฌเชจเชพเชตเซเชฏเซเช, เช เชจเซ เชจเซเชเชฎเชพเชธเซเช, เชเซเชเชตเซ เช เชจเซ dns เชชเชพเชธเซ เชชเชฃ DHCP เชฎเชพเช เชตเชฟเชเชฒเซเชช เชจเชเชฌเชฐเซ เชนเซเชตเชพเชฅเซ, เชฎเซเช เชคเซเชฎเชจเซ เชฎเซเชจเซเชฏเซเช เชฒเซ เชธเซเชชเชทเซเช เชเชฐเซเชฏเชพ.
1.DHCP เชตเชฟเชเชฒเซเชชเซ
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP เชฒเซเช
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC ะฐะดัะตั ะฝะพััะฑัะบะฐ>
เชคเซ เช เชธเชฎเชฏเซ, เชธเซเชเชฟเชเช 1072 เชตเซเชฏเชตเชนเชพเชฐเซเช เชฐเซเชคเซ เชฎเซเชณเชญเซเชค เชเซ, เชเซเชฏเชพเชฐเซ เชธเซเชเชฟเชเชเซเชธเชฎเชพเช เชเซเชฒเชพเชฏเชเชเชจเซ IP เชธเชฐเชจเชพเชฎเซเช เชเชพเชฐเซ เชเชฐเชตเชพเชฎเชพเช เชเชตเซ เชคเซเชฏเชพเชฐเซ เช เชคเซ เชธเซเชเชตเชตเชพเชฎเชพเช เชเชตเซ เชเซ เชเซ IP เชธเชฐเชจเชพเชฎเซเช เชฎเซเชจเซเชฏเซเช เชฒเซ เชฆเชพเชเชฒ เชเชฐเชตเชพเชฎเชพเช เชเชตเซ เชเซ, เช เชจเซ เชชเซเชฒเชฎเชพเชเชฅเซ เชจเชนเซเช, เชคเซเชจเซ เชเชชเชตเซเช เชเซเชเช. เชจเชฟเชฏเชฎเชฟเชค เชชเซเชธเซ เชเซเชฒเชพเชฏเชจเซเชเซเชธ เชฎเชพเชเซ, เชธเชฌเชจเซเช เชตเชฟเชเซ เชฐเซเชชเชฐเซเชเชพเชเชเชจ 192.168.55.0/24 เชเซเชตเซเช เช เชเซ.
เชเชตเซ เชธเซเชเชฟเชเช เชคเชฎเชจเซ เชคเซเชคเซเชฏ-เชชเชเซเชท เชธเซเชซเซเชเชตเซเชฐ เชฆเซเชตเชพเชฐเชพ เชชเซเชธเซ เชธเชพเชฅเซ เชเชจเซเชเซเช เชจ เชฅเชตเชพ เชฆเซ เชเซ, เช เชจเซ เชเชจเชฒ เชชเซเชคเซ เช เชฐเชพเชเชเชฐ เชฆเซเชตเชพเชฐเชพ เชเชฐเซเชฐเชฟเชฏเชพเชค เชฎเซเชเชฌ เชเชญเซ เชเชฐเชตเชพเชฎเชพเช เชเชตเซ เชเซ. เชเซเชฒเชพเชฏเชเช CAP ac เชจเซ เชฒเซเชก เชฒเชเชญเช เชจเซเชฏเซเชจเชคเชฎ เชเซ, เชเชจเชฒเชฎเชพเช 8-11MB/s เชจเซ เชเชกเชชเซ 9-10%.
เชฌเชงเซ เชธเซเชเชฟเชเชเซเชธ เชตเชฟเชจเชฌเซเชเซเชธ เชฆเซเชตเชพเชฐเชพ เชเชฐเชตเชพเชฎเชพเช เชเชตเซ เชนเชคเซ, เชเซ เชเซ เชคเซ เช เชธเชซเชณเชคเชพ เชธเชพเชฅเซ เชคเซ เชเชจเซเชธเซเชฒ เชฆเซเชตเชพเชฐเชพ เชเชฐเซ เชถเชเชพเชฏ เชเซ.
เชธเซเชฐเซเชธ: www.habr.com