Bonswa tout moun!
Li te rive ke nan konpayi nou an sou de ane ki sot pase yo nou te tou dousman chanje nan Mikrotik. Nœuds prensipal yo bati sou CCR1072, ak pwen koneksyon lokal yo pou òdinatè sou aparèy yo pi senp. Natirèlman, gen tou entegrasyon an nan rezo atravè tinèl IPSEC, nan ka sa a konfigirasyon an se byen senp epi yo pa lakòz okenn difikilte, erezman gen yon anpil nan materyèl sou rezo a. Men, gen sèten difikilte ak koneksyon mobil kliyan an, wiki manifakti a di ou ki jan yo sèvi ak kliyan an Shrew soft VPN (tout bagay sanble yo klè ki baze sou anviwònman sa a) epi li se kliyan sa a ki itilize pa 99% nan aksè aleka. itilizatè yo, ak 1% se mwen, mwen jis twò parese tout moun Yon fwa mwen te antre nan login mwen ak modpas nan kliyan an, mwen te vle yon pozisyon parese sou kanape a ak yon koneksyon pratik nan rezo travay. Mwen pa t 'jwenn enstriksyon pou mete Mikrotik pou sitiyasyon kote li pa menm dèyè yon adrès gri, men konplètman nwa e petèt menm plizyè NAT sou rezo a. Se poutèt sa, mwen te oblije enpwovize, ak Se poutèt sa mwen sijere ou gade nan rezilta a.
Disponib:
- CCR1072 kòm aparèy prensipal la. vèsyon 6.44.1
- CAP ac kòm yon pwen koneksyon lakay ou. vèsyon 6.44.1
Karakteristik prensipal la nan konfigirasyon an se ke PC a ak Mikrotik dwe sou menm rezo a ak menm adrès la, ki se sa ki bay prensipal la 1072.
Ann ale nan paramèt yo:
1. Natirèlman, nou pèmèt Fasttrack, men depi Fasttrack pa konpatib ak VPN, nou dwe koupe trafik li yo.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. ajoute rezo transfert de/pou lakay ak travay
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Kreye yon deskripsyon koneksyon itilizatè a
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Kreye yon Pwopozisyon IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Kreye yon Règleman IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Kreye yon pwofil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Kreye yon kanmarad IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Koulye a, pou kèk majik senp. Depi mwen pa t 'vle chanje paramèt yo sou tout aparèy sou rezo lakay la, mwen te oblije mete sou pye DHCP sou menm rezo a, men li rezonab ke Mikrotik pa pèmèt ou mete plis pase yon gwoup adrès. yon sèl pon, kidonk mwen te jwenn yon solisyon, sètadi pou laptop la mwen tou senpleman kreye DHCP Lease ak manyèlman espesifye paramèt yo, e depi netmask, pòtay & dns tou gen nimewo opsyon nan DHCP, mwen espesifye yo manyèlman.
1.DHCP Opsyon
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP Kontra lwaye
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
An menm tan an, anviwònman 1072 se pratikman debaz, sèlman lè yo bay yon adrès IP nan yon kliyan, li endike nan anviwònman yo ke li ta dwe bay yon adrès IP antre manyèlman, epi yo pa soti nan pisin lan. Pou kliyan regilye ki soti nan òdinatè pèsonèl, subnet la se menm jan ak nan konfigirasyon an ak Wiki 192.168.55.0/24.
Konfigirasyon sa a pèmèt ou pa konekte ak PC ou atravè lojisyèl twazyèm pati, epi tinèl la tèt li leve soti nan routeur la jan sa nesesè. Chaj la sou kliyan CAP AC a prèske minim, 8-11% nan yon vitès 9-10MB / s nan tinèl la.
Tout paramèt yo te fèt atravè Winbox, byenke li ta ka jis kòm byen fèt atravè konsole a.
Sous: www.habr.com