рд╕рднреА рдХреЛ рд╢реБрдн рджрд┐рди!
рдРрд╕рд╛ рд╣реБрдЖ рдХрд┐ рд╣рдорд╛рд░реА рдХрдВрдкрдиреА рдореЗрдВ рдкрд┐рдЫрд▓реЗ рджреЛ рд╡рд░реНрд╖реЛрдВ рдореЗрдВ рд╣рдо рдзреАрд░реЗ-рдзреАрд░реЗ рдорд╛рдЗрдХреНрд░реЛрдЯрд┐рдХреНрд╕ рдкрд░ рд╕реНрд╡рд┐рдЪ рдХрд░ рд░рд╣реЗ рд╣реИрдВред рдореБрдЦреНрдп рдиреЛрдбреНрд╕ CCR1072 рдкрд░ рдмрдирд╛рдП рдЧрдП рд╣реИрдВ, рдФрд░ рдЙрдкрдХрд░рдгреЛрдВ рдкрд░ рдХрдВрдкреНрдпреВрдЯрд░ рдХреЗ рд▓рд┐рдП рд╕реНрдерд╛рдиреАрдп рдХрдиреЗрдХреНрд╢рди рдмрд┐рдВрджреБ рд╕рд░рд▓ рд╣реИрдВред рдмреЗрд╢рдХ, рдЖрдИрдкреАрдПрд╕рдИрд╕реА рд╕реБрд░рдВрдЧ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдиреЗрдЯрд╡рд░реНрдХ рдХрд╛ рдПрдХ рд╕рдВрдпреЛрдЬрди рднреА рд╣реИ, рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ, рд╕реЗрдЯрдЕрдк рдХрд╛рдлреА рд╕рд░рд▓ рд╣реИ рдФрд░ рдЗрд╕рд╕реЗ рдХреЛрдИ рдХрдард┐рдирд╛рдИ рдирд╣реАрдВ рд╣реЛрддреА рд╣реИ, рдХреНрдпреЛрдВрдХрд┐ рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рдмрд╣реБрдд рд╕рд╛рд░реА рд╕рд╛рдордЧреНрд░рд┐рдпрд╛рдВ рд╣реИрдВред рд▓реЗрдХрд┐рди рдЧреНрд░рд╛рд╣рдХреЛрдВ рдХреЗ рдореЛрдмрд╛рдЗрд▓ рдХрдиреЗрдХреНрд╢рди рдХреЗ рд╕рд╛рде рдХреБрдЫ рдХрдард┐рдирд╛рдЗрдпрд╛рдВ рд╣реИрдВ, рдирд┐рд░реНрдорд╛рддрд╛ рдХрд╛ рд╡рд┐рдХреА рдЖрдкрдХреЛ рдмрддрд╛рддрд╛ рд╣реИ рдХрд┐ рд╢реНрд░реВ рд╕реЙрдлреНрдЯ рд╡реАрдкреАрдПрди рдХреНрд▓рд╛рдЗрдВрдЯ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХреИрд╕реЗ рдХрд░реЗрдВ (рдЗрд╕ рд╕реЗрдЯрд┐рдВрдЧ рдХреЗ рд╕рд╛рде рд╕рдм рдХреБрдЫ рд╕реНрдкрд╖реНрдЯ рдкреНрд░рддреАрдд рд╣реЛрддрд╛ рд╣реИ) рдФрд░ рдпрд╣ рд╡рд╣ рдХреНрд▓рд╛рдЗрдВрдЯ рд╣реИ рдЬрд┐рд╕рдХрд╛ рдЙрдкрдпреЛрдЧ 99% рд░рд┐рдореЛрдЯ рдПрдХреНрд╕реЗрд╕ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рджреНрд╡рд╛рд░рд╛ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ , рдФрд░ 1% рдореИрдВ рд╣реВрдВ, рдореИрдВ рдХреНрд▓рд╛рдЗрдВрдЯ рдореЗрдВ рд▓реЙрдЧрд┐рди рдФрд░ рдкрд╛рд╕рд╡рд░реНрдб рджрд░реНрдЬ рдХрд░рдиреЗ рдореЗрдВ рдмрд╣реБрдд рдЖрд▓рд╕реА рдерд╛ рдФрд░ рдореИрдВ рд╕реЛрдлреЗ рдкрд░ рдПрдХ рдЖрд▓рд╕реА рд╕реНрдерд╛рди рдФрд░ рдХрд╛рд░реНрдп рдиреЗрдЯрд╡рд░реНрдХ рдХреЗ рд▓рд┐рдП рд╕реБрд╡рд┐рдзрд╛рдЬрдирдХ рдХрдиреЗрдХреНрд╢рди рдЪрд╛рд╣рддрд╛ рдерд╛ред рдореБрдЭреЗ рдЙрди рд╕реНрдерд┐рддрд┐рдпреЛрдВ рдХреЗ рд▓рд┐рдП рдорд┐рдХрд░реЛрдЯрд┐рдХ рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдиреЗ рдХреЗ рдирд┐рд░реНрджреЗрд╢ рдирд╣реАрдВ рдорд┐рд▓реЗ рдЬрдм рдпрд╣ рдПрдХ рдЧреНрд░реЗ рдкрддреЗ рдХреЗ рдкреАрдЫреЗ рднреА рдирд╣реАрдВ рд╣реИ, рд▓реЗрдХрд┐рди рдкреВрд░реА рддрд░рд╣ рд╕реЗ рдПрдХ рдХрд╛рд▓реЗ рдкрддреЗ рдХреЗ рдкреАрдЫреЗ рд╣реИ рдФрд░ рд╢рд╛рдпрдж рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рдХрдИ NAT рднреА рд╣реИрдВред рдЗрд╕рд▓рд┐рдП, рдореБрдЭреЗ рд╕реБрдзрд╛рд░ рдХрд░рдирд╛ рдкрдбрд╝рд╛, рдФрд░ рдЗрд╕рд▓рд┐рдП рдореИрдВ рдкрд░рд┐рдгрд╛рдо рдХреЛ рджреЗрдЦрдиреЗ рдХрд╛ рдкреНрд░рд╕реНрддрд╛рд╡ рдХрд░рддрд╛ рд╣реВрдВред
рдЙрдкрд▓рдмреНрдз:
- рдореБрдЦреНрдп рдЙрдкрдХрд░рдг рдХреЗ рд░реВрдк рдореЗрдВ CCR1072ред рд╕рдВрд╕реНрдХрд░рдг 6.44.1
- рдШрд░реЗрд▓реВ рдХрдиреЗрдХреНрд╢рди рдмрд┐рдВрджреБ рдХреЗ рд░реВрдк рдореЗрдВ рд╕реАрдПрдкреА рдПрд╕реАред рд╕рдВрд╕реНрдХрд░рдг 6.44.1
рд╕реЗрдЯрд┐рдВрдЧ рдХреА рдореБрдЦреНрдп рд╡рд┐рд╢реЗрд╖рддрд╛ рдпрд╣ рд╣реИ рдХрд┐ рдкреАрд╕реА рдФрд░ рдорд┐рдХрд░реЛрдЯрд┐рдХ рдХреЛ рд╕рдорд╛рди рдПрдбреНрд░реЗрд╕рд┐рдВрдЧ рдХреЗ рд╕рд╛рде рдПрдХ рд╣реА рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рд╣реЛрдирд╛ рдЪрд╛рд╣рд┐рдП, рдЬреЛ рдореБрдЦреНрдп 1072 рджреНрд╡рд╛рд░рд╛ рдЬрд╛рд░реА рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред
рдЪрд▓рд┐рдП рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдкрд░ рдЪрд▓рддреЗ рд╣реИрдВ:
1. рдмреЗрд╢рдХ рд╣рдо рдлрд╛рд╕реНрдЯрдЯреНрд░реИрдХ рдЪрд╛рд▓реВ рдХрд░рддреЗ рд╣реИрдВ, рд▓реЗрдХрд┐рди рдЪреВрдВрдХрд┐ рдлрд╛рд╕реНрдЯрдЯреНрд░реИрдХ рд╡реАрдкреАрдПрди рдХреЗ рд╕рд╛рде рд╕рдВрдЧрдд рдирд╣реАрдВ рд╣реИ, рдЗрд╕рд▓рд┐рдП рд╣рдореЗрдВ рдЗрд╕рдХреЗ рдЯреНрд░реИрдлрд┐рдХ рдореЗрдВ рдХрдЯреМрддреА рдХрд░рдиреА рд╣реЛрдЧреАред
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. рдШрд░ рдФрд░ рдХрд╛рд░реНрдпрд╕реНрдерд▓ рд╕реЗ/рддрдХ рдиреЗрдЯрд╡рд░реНрдХ рдЕрдЧреНрд░реЗрд╖рдг рдЬреЛрдбрд╝рдирд╛
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХрдиреЗрдХреНрд╢рди рд╡рд┐рд╡рд░рдг рдмрдирд╛рдПрдВ
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
╨╛╨▒╤Й╨╕╨╣ ╨║╨╗╤О╤З xauth-login=username xauth-password=password
4. рдПрдХ рдЖрдИрдкреАрдПрд╕рдИрд╕реА рдкреНрд░рд╕реНрддрд╛рд╡ рдмрдирд╛рдПрдВ
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. рдПрдХ рдЖрдИрдкреАрдПрд╕рдИрд╕реА рдиреАрддрд┐ рдмрдирд╛рдПрдВ
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. рдПрдХ рдЖрдИрдкреАрдПрд╕рдИрд╕реА рдкреНрд░реЛрдлрд╝рд╛рдЗрд▓ рдмрдирд╛рдПрдВ
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. рдПрдХ рдЖрдИрдкреАрдПрд╕рдИрд╕реА рдкреАрдпрд░ рдмрдирд╛рдПрдВ
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<╨▓╨░╤И ╨░╨┤╤А╨╡╤Б ╤А╨╛╤Г╤В╨╡╤А╨░> name=CO profile=
profile_88
рдЕрдм рдХреБрдЫ рд╕рд░рд▓ рдЬрд╛рджреВ рдХреЗ рд▓рд┐рдП. рдЪреВрдБрдХрд┐ рдореИрдВ рд╡рд╛рд╕реНрддрд╡ рдореЗрдВ рдЕрдкрдиреЗ рд╣реЛрдо рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рд╕рднреА рдЙрдкрдХрд░рдгреЛрдВ рдкрд░ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдмрджрд▓рдирд╛ рдирд╣реАрдВ рдЪрд╛рд╣рддрд╛ рдерд╛, рдЗрд╕рд▓рд┐рдП рдореБрдЭреЗ рдХрд┐рд╕реА рддрд░рд╣ рдЙрд╕реА рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рдбреАрдПрдЪрд╕реАрдкреА рдХреЛ рд▓рдЯрдХрд╛рдирд╛ рдкрдбрд╝рд╛, рд▓реЗрдХрд┐рди рдпрд╣ рдЙрдЪрд┐рдд рд╣реИ рдХрд┐ рдорд┐рдХрд░реЛрдЯрд┐рдХ рдЖрдкрдХреЛ рдПрдХ рдмреНрд░рд┐рдЬ рдкрд░ рдПрдХ рд╕реЗ рдЕрдзрд┐рдХ рдПрдбреНрд░реЗрд╕ рдкреВрд▓ рдХреЛ рд▓рдЯрдХрд╛рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рдирд╣реАрдВ рджреЗрддрд╛ рд╣реИред , рдЗрд╕рд▓рд┐рдП рдореБрдЭреЗ рдПрдХ рд╡рд░реНрдХрдЕрд░рд╛рдЙрдВрдб рдорд┐рд▓рд╛, рдЕрд░реНрдерд╛рддреН рдПрдХ рд▓реИрдкрдЯреЙрдк рдХреЗ рд▓рд┐рдП, рдореИрдВрдиреЗ рдореИрдиреНрдпреБрдЕрд▓ рдорд╛рдкрджрдВрдбреЛрдВ рдХреЗ рд╕рд╛рде рдбреАрдПрдЪрд╕реАрдкреА рд▓реАрдЬ рдмрдирд╛рдпрд╛, рдФрд░ рдЪреВрдВрдХрд┐ рдиреЗрдЯрдорд╛рд╕реНрдХ, рдЧреЗрдЯрд╡реЗ рдФрд░ рдбреАрдПрдирдПрд╕ рдХреЗ рдкрд╛рд╕ рдбреАрдПрдЪрд╕реАрдкреА рдореЗрдВ рд╡рд┐рдХрд▓реНрдк рд╕рдВрдЦреНрдпрд╛рдПрдВ рднреА рд╣реИрдВ, рдЗрд╕рд▓рд┐рдП рдореИрдВрдиреЗ рдЙрдиреНрд╣реЗрдВ рдореИрдиреНрдпреБрдЕрд▓ рд░реВрдк рд╕реЗ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд┐рдпрд╛ред
1.рдбреАрдПрдЪрд╕реАрдкреА рд╡рд┐рдХрд▓реНрдк
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.рдбреАрдПрдЪрд╕реАрдкреА рдкрдЯреНрдЯрд╛
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC ╨░╨┤╤А╨╡╤Б ╨╜╨╛╤Г╤В╨▒╤Г╨║╨░>
рд╕рд╛рде рд╣реА, 1072 рд╕реЗрдЯ рдХрд░рдирд╛ рд╡реНрдпрд╛рд╡рд╣рд╛рд░рд┐рдХ рд░реВрдк рд╕реЗ рдмреБрдирд┐рдпрд╛рджреА рд╣реИ, рдХреЗрд╡рд▓ рдХреНрд▓рд╛рдЗрдВрдЯ рдХреЛ рдЖрдИрдкреА рдПрдбреНрд░реЗрд╕ рдЬрд╛рд░реА рдХрд░рддреЗ рд╕рдордп рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдореЗрдВ рдпрд╣ рд╕рдВрдХреЗрдд рджрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ рдХрд┐ рдЖрдИрдкреА рдПрдбреНрд░реЗрд╕ рдореИрдиреНрдпреБрдЕрд▓ рд░реВрдк рд╕реЗ рджрд░реНрдЬ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ, рди рдХрд┐ рдкреВрд▓ рд╕реЗ, рдЙрд╕реЗ рджрд┐рдпрд╛ рдЬрд╛рдирд╛ рдЪрд╛рд╣рд┐рдПред рдирд┐рдпрдорд┐рдд рдкреАрд╕реА рдХреНрд▓рд╛рдЗрдВрдЯ рдХреЗ рд▓рд┐рдП, рд╕рдмрдиреЗрдЯ рд╡рд┐рдХреА рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди 192.168.55.0/24 рдХреЗ рд╕рдорд╛рди рд╣реИред
рдРрд╕реА рд╕реЗрдЯрд┐рдВрдЧ рдЖрдкрдХреЛ рддреГрддреАрдп-рдкрдХреНрд╖ рд╕реЙрдлрд╝реНрдЯрд╡реЗрдпрд░ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдкреАрд╕реА рд╕реЗ рдХрдиреЗрдХреНрдЯ рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рдирд╣реАрдВ рджреЗрддреА рд╣реИ, рдФрд░ рдЖрд╡рд╢реНрдпрдХрддрд╛рдиреБрд╕рд╛рд░ рд╕реБрд░рдВрдЧ рдХреЛ рд░рд╛рдЙрдЯрд░ рджреНрд╡рд╛рд░рд╛ рд╣реА рдКрдкрд░ рдЙрдард╛рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред рдЯрдирд▓ рдореЗрдВ 8-11MB/s рдХреА рдЧрддрд┐ рдкрд░ рдХреНрд▓рд╛рдЗрдВрдЯ CAP AC рдХрд╛ рд▓реЛрдб рд▓рдЧрднрдЧ рдиреНрдпреВрдирддрдо, 9-10% рд╣реИред
рд╕рднреА рд╕реЗрдЯрд┐рдВрдЧреНрд╕ Winbox рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдХреА рдЧрдИ рдереАрдВ, рд╣рд╛рд▓рд╛рдБрдХрд┐ рдЙрддрдиреА рд╣реА рд╕рдлрд▓рддрд╛ рдХреЗ рд╕рд╛рде рдЗрд╕реЗ рдХрдВрд╕реЛрд▓ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рднреА рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред
рд╕реНрд░реЛрдд: www.habr.com