ProHoster > Blog > Administrasyon an > Mikroik. IPSEC vpn dèyè NAT kòm yon kliyan

Mikroik. IPSEC vpn dèyè NAT kòm yon kliyan

Bonswa tout moun!

Se konsa, nan konpayi nou an, nou te piti piti chanje pou itilize chip Mikrotik pandan de dènye ane yo. Nœud prensipal yo bati sou CCR1072, alòske pwen koneksyon òdinatè lokal yo sou aparèy ki pi senp. Natirèlman, nou ofri tou entegrasyon rezo atravè tinèl IPSEC; nan ka sa a, konfigirasyon an trè senp epi dirèk, gras a abondans resous ki disponib sou entènèt. Sepandan, koneksyon kliyan mobil yo prezante sèten defi; wiki manifakti a eksplike kijan pou itilize lojisyèl Shrew. VPN kliyan (konfigirasyon sa a sanble evidan), e se kliyan sa a 99% nan itilizatè aksè a distans yo itilize, epi 1% ki rete a se mwen menm. Mwen pa t ka pran lapenn antre non itilizatè ak modpas mwen chak fwa, e mwen te vle yon eksperyans pi rilaks, pi konfòtab sou kanape a ak koneksyon pratik ak rezo travay yo. Mwen pa t ka jwenn okenn enstriksyon pou konfigire Mikrotik pou sitiyasyon kote li pa menm dèyè yon adrès prive, men dèyè yon adrès ki konplètman sou lis nwa, e petèt menm ak plizyè NAT sou rezo a. Donk mwen te oblije enprovize, e mwen sijere ou gade rezilta yo.

Disponib:

  1. CCR1072 kòm aparèy prensipal la. vèsyon 6.44.1
  2. CAP ac kòm yon pwen koneksyon lakay ou. vèsyon 6.44.1

Karakteristik prensipal la nan konfigirasyon an se ke PC a ak Mikrotik dwe sou menm rezo a ak menm adrès la, ki se sa ki bay prensipal la 1072.

Ann ale nan paramèt yo:

1. Natirèlman, nou pèmèt Fasttrack, men depi Fasttrack pa konpatib ak VPN, nou dwe koupe trafik li yo.

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. ajoute rezo transfert de/pou lakay ak travay

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. Kreye yon deskripsyon koneksyon itilizatè a

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    общий ключ xauth-login=username xauth-password=password

4. Kreye yon Pwopozisyon IPSEC

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. Kreye yon Règleman IPSEC

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. Kreye yon pwofil IPSEC

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. Kreye yon kanmarad IPSEC

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
    profile_88

Koulye a, pou kèk majik senp. Depi mwen pa t 'vle chanje paramèt yo sou tout aparèy sou rezo lakay la, mwen te oblije mete sou pye DHCP sou menm rezo a, men li rezonab ke Mikrotik pa pèmèt ou mete plis pase yon gwoup adrès. yon sèl pon, kidonk mwen te jwenn yon solisyon, sètadi pou laptop la mwen tou senpleman kreye DHCP Lease ak manyèlman espesifye paramèt yo, e depi netmask, pòtay & dns tou gen nimewo opsyon nan DHCP, mwen espesifye yo manyèlman.

1.DHCP Opsyon

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2.DHCP Kontra lwaye

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>

An menm tan an, anviwònman 1072 se pratikman debaz, sèlman lè yo bay yon adrès IP nan yon kliyan, li endike nan anviwònman yo ke li ta dwe bay yon adrès IP antre manyèlman, epi yo pa soti nan pisin lan. Pou kliyan regilye ki soti nan òdinatè pèsonèl, subnet la se menm jan ak nan konfigirasyon an ak Wiki 192.168.55.0/24.

Konfigirasyon sa a pèmèt ou pa konekte ak PC ou atravè lojisyèl twazyèm pati, epi tinèl la tèt li leve soti nan routeur la jan sa nesesè. Chaj la sou kliyan CAP AC a prèske minim, 8-11% nan yon vitès 9-10MB / s nan tinèl la.

Tout paramèt yo te fèt atravè Winbox, byenke li ta ka jis kòm byen fèt atravè konsole a.

Sous: www.habr.com

Add nouvo kòmantè