Jó napot mindenkinek!
Történt ugyanis, hogy cégünkben az elmúlt két évben lassan áttértünk a mikrotikákra. A fő csomópontok a CCR1072-re épülnek, és az eszközökön lévő számítógépek helyi csatlakozási pontjai egyszerűbbek. Természetesen létezik az IPSEC alagúton keresztüli hálózatok kombinációja is, ebben az esetben a beállítás meglehetősen egyszerű, és nem okoz nehézséget, mivel rengeteg anyag van a hálózaton. De vannak bizonyos nehézségek a kliensek mobilkapcsolatával, a gyártó wikije megmondja, hogyan kell használni a Shrew soft VPN klienst (ezzel a beállítással minden egyértelműnek tűnik), és a távoli hozzáférésű felhasználók 99%-a ezt a klienst használja. , és 1% én vagyok, csak túl lusta voltam, csak be kell írnia a bejelentkezési nevet és a jelszót az ügyfélben, és egy lusta helyet akartam a kanapén, és kényelmes kapcsolatot akartam a munkahelyi hálózatokkal. Nem találtam utasítást a Mikrotik konfigurálására olyan helyzetekre, amikor nem is egy szürke cím mögött van, hanem teljesen egy fekete és talán több NAT mögött van a hálózaton. Ezért improvizálnom kellett, ezért azt javaslom, hogy nézzük meg az eredményt.
Elérhető:
- CCR1072 mint fő eszköz. 6.44.1 verzió
- CAP ac mint otthoni csatlakozási pont. 6.44.1 verzió
A beállítás fő jellemzője, hogy a PC-nek és a Mikrotiknak ugyanazon a hálózaton kell lennie, ugyanazzal a címmel, amit a fő 1072-es ad ki.
Térjünk át a beállításokra:
1. Természetesen bekapcsoljuk a Fasttrack-et, de mivel a fasttrack nem kompatibilis a vpn-nel, le kell vágnunk a forgalmát.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Hálózati továbbítás hozzáadása otthonról és munkahelyről
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Hozzon létre egy felhasználói kapcsolat leírását
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Hozzon létre egy IPSEC-javaslatot
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Hozzon létre egy IPSEC-házirendet
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Hozzon létre egy IPSEC-profilt
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Hozzon létre egy IPSEC-társat
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Most egy egyszerű varázslat. Mivel nem igazán akartam módosítani az otthoni hálózaton lévő összes eszközön a beállításokat, valahogy ugyanarra a hálózatra kellett akasztanom a DHCP-t, de ésszerű, hogy a Mikrotik nem engedi, hogy egy hídon egynél több címkészletet akasszanak fel, így találtam egy megoldást, mégpedig egy laptophoz, most létrehoztam a DHCP Lease-t manuális paraméterekkel, és mivel a netmaszknak, átjárónak és dns-nek is vannak opciószámai a DHCP-ben, ezeket manuálisan adtam meg.
1.DHCP-beállítások
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP bérlet
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Ugyanakkor a 1072-es beállítás gyakorlatilag alap, csak az IP-cím kiadásakor a kliensnek a beállításokban jelzi, hogy a manuálisan megadott IP-címet kell megadni, nem a poolból. A hagyományos PC-kliensek esetében az alhálózat megegyezik a Wiki 192.168.55.0/24 konfigurációjával.
Egy ilyen beállítás lehetővé teszi, hogy ne csatlakozzon a számítógéphez harmadik féltől származó szoftveren keresztül, és magát az alagutat az útválasztó szükség szerint megemeli. A kliens CAP ac terhelése szinte minimális, 8-11%, 9-10 MB / s sebességgel az alagútban.
Minden beállítás a Winboxon keresztül történt, bár ugyanolyan sikerrel a konzolon keresztül is megtehető.
Forrás: will.com