Dobar dan svima!
Slučajno se dogodilo da u našoj tvrtki postupno prelazimo na Mikrotik čipove tijekom posljednje dvije godine. Glavni čvorovi izgrađeni su na CCR1072, dok su lokalne točke povezivanja računala na jednostavnijim uređajima. Naravno, nudimo i mrežnu integraciju putem IPSEC tunela; u ovom slučaju, postavljanje je prilično jednostavno i lako, zahvaljujući obilju dostupnih resursa na mreži. Međutim, veze mobilnih klijenata predstavljaju određene izazove; proizvođačeva wiki stranica objašnjava kako koristiti Shrew softver. VPN klijent (ova postavka se čini samorazumljivom), a to je klijent kojeg koristi 99% korisnika s udaljenim pristupom, a preostalih 1% sam ja. Jednostavno se nisam mogao zamarati unosom prijave i lozinke svaki put, a želio sam opuštenije, ugodnije iskustvo sjedenja na kauču s praktičnim vezama s poslovnim mrežama. Nisam mogao pronaći nikakve upute za konfiguriranje Mikrotika za situacije u kojima se ne nalazi čak ni iza privatne adrese, već iza potpuno crne liste, a možda čak i s više NAT-ova na mreži. Stoga sam morao improvizirati, a predlažem da pogledate rezultate.
Dostupno:
- CCR1072 kao glavni uređaj. verzija 6.44.1
- CAP ac kao kućna priključna točka. verzija 6.44.1
Glavna značajka postavke je da PC i Mikrotik moraju biti na istoj mreži s istom adresom, koja se izdaje glavnom 1072.
Prijeđimo na postavke:
1. Naravno, omogućujemo Fasttrack, ali budući da fasttrack nije kompatibilan s VPN-om, moramo izrezati njegov promet.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Dodajte mrežno prosljeđivanje od/do kuće i posla
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Napravite opis korisničke veze
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Napravite IPSEC prijedlog
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Napravite IPSEC politiku
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Napravite IPSEC profil
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Kreirajte IPSEC peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Sada malo jednostavne magije. Kako nisam baš želio mijenjati postavke na svim uređajima u kućnoj mreži, morao sam nekako postaviti DHCP na istoj mreži, ali razumno je da Mikrotik ne dopušta postavljanje više od jednog skupa adresa na jedan most, pa sam našao zaobilazno rješenje, naime za laptop sam jednostavno kreirao DHCP Lease uz ručno navođenje parametara, a pošto netmask, gateway & dns također imaju brojeve opcija u DHCP-u, naveo sam ih ručno.
1.DHCP opcija
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP najam
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Istodobno, postavka 1072 je praktički osnovna, samo kod izdavanja IP adrese klijentu, u postavkama je naznačeno da mu treba dati IP adresu unesenu ručno, a ne iz bazena. Za obične klijente s osobnih računala podmreža je ista kao u konfiguraciji s Wiki 192.168.55.0/24.
Ova postavka omogućuje vam da se ne povezujete s računalom putem softvera treće strane, a sam tunel po potrebi podiže usmjerivač. Opterećenje klijentskog CAP ac je gotovo minimalno, 8-11% pri brzini od 9-10MB/s u tunelu.
Sve postavke su napravljene preko Winboxa, iako se isto tako može napraviti i preko konzole.
Izvor: www.habr.com
