Dobar dan svima!
Tako se dogodilo da u našoj tvrtki zadnje dvije godine polako prelazimo na Mikrotik. Glavni čvorovi izgrađeni su na CCR1072, a lokalne spojne točke za računala na uređajima su jednostavnije. Naravno, tu je i integracija mreža putem IPSEC tunela, u ovom slučaju postavljanje je prilično jednostavno i ne izaziva nikakve poteškoće, srećom ima dosta materijala o mreži. Ali postoje određene poteškoće s mobilnom vezom klijenata, wiki proizvođača govori vam kako koristiti Shrew soft VPN klijent (čini se da je sve jasno na temelju ove postavke) i upravo ovaj klijent koristi 99% udaljenog pristupa korisnika, a 1% sam ja, jednostavno sam previše lijen svi Nakon što sam u klijent unio login i lozinku, htio sam lijen položaj na kauču i zgodnu vezu s radnim mrežama. Nisam našao upute za postavljanje Mikrotika za situacije kada iza njega nije ni siva adresa, već potpuno crna i možda čak nekoliko NAT-ova na mreži. Stoga sam morao improvizirati, pa predlažem da pogledate rezultat.
Dostupno:
- CCR1072 kao glavni uređaj. verzija 6.44.1
- CAP ac kao kućna priključna točka. verzija 6.44.1
Glavna značajka postavke je da PC i Mikrotik moraju biti na istoj mreži s istom adresom, koja se izdaje glavnom 1072.
Prijeđimo na postavke:
1. Naravno, omogućujemo Fasttrack, ali budući da fasttrack nije kompatibilan s VPN-om, moramo izrezati njegov promet.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Dodajte mrežno prosljeđivanje od/do kuće i posla
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Napravite opis korisničke veze
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Napravite IPSEC prijedlog
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Napravite IPSEC politiku
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Napravite IPSEC profil
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Kreirajte IPSEC peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Sada malo jednostavne magije. Kako nisam baš želio mijenjati postavke na svim uređajima u kućnoj mreži, morao sam nekako postaviti DHCP na istoj mreži, ali razumno je da Mikrotik ne dopušta postavljanje više od jednog skupa adresa na jedan most, pa sam našao zaobilazno rješenje, naime za laptop sam jednostavno kreirao DHCP Lease uz ručno navođenje parametara, a pošto netmask, gateway & dns također imaju brojeve opcija u DHCP-u, naveo sam ih ručno.
1.DHCP opcija
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP najam
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Istodobno, postavka 1072 je praktički osnovna, samo kod izdavanja IP adrese klijentu, u postavkama je naznačeno da mu treba dati IP adresu unesenu ručno, a ne iz bazena. Za obične klijente s osobnih računala podmreža je ista kao u konfiguraciji s Wiki 192.168.55.0/24.
Ova postavka omogućuje vam da se ne povezujete s računalom putem softvera treće strane, a sam tunel po potrebi podiže usmjerivač. Opterećenje klijentskog CAP ac je gotovo minimalno, 8-11% pri brzini od 9-10MB/s u tunelu.
Sve postavke su napravljene preko Winboxa, iako se isto tako može napraviti i preko konzole.
Izvor: www.habr.com