Բարի օր բոլորին!
Պատահել է այնպես, որ մեր ընկերությունում վերջին երկու տարիների ընթացքում մենք աստիճանաբար անցել ենք Mikrotik չիպերի: Հիմնական հանգույցները կառուցված են CCR1072-ի վրա, մինչդեռ տեղական համակարգչային միացման կետերը գտնվում են ավելի պարզ սարքերի վրա: Իհարկե, մենք առաջարկում ենք նաև ցանցային ինտեգրացիա IPSEC թունելների միջոցով. այս դեպքում կարգավորումը բավականին պարզ և հասկանալի է՝ շնորհիվ առցանց հասանելի ռեսուրսների առատության: Այնուամենայնիվ, բջջային հաճախորդների միացումները որոշակի դժվարություններ են առաջացնում. արտադրողի վիքին բացատրում է, թե ինչպես օգտագործել Shrew soft-ը: VPN հաճախորդ (այս կարգավորումը թվում է ինքնին հասկանալի), և սա այն հաճախորդն է, որն օգտագործվում է հեռակա մուտք գործելու օգտատերերի 99%-ի կողմից, իսկ մնացած 1%-ը՝ ես։ Ես պարզապես չէի կարողանում ամեն անգամ մուտքագրել իմ մուտքանունն ու գաղտնաբառը, և ես ուզում էի ավելի հանգիստ, ավելի հարմարավետ բազմոցի վրա նստած փորձառություն՝ աշխատանքային ցանցերին հարմար միացումներով։ Ես չկարողացա գտնել Mikrotik-ը կարգավորելու որևէ հրահանգ այն իրավիճակների համար, երբ այն գտնվում է նույնիսկ ոչ թե անձնական հասցեի, այլ ամբողջովին սև ցուցակում գտնվող հասցեի հետևում, և գուցե նույնիսկ ցանցում բազմաթիվ NAT-ների առկայության դեպքում։ Այսպիսով, ես ստիպված էի իմպրովիզացիա անել, և ես առաջարկում եմ ձեզ նայել արդյունքներին։
Հասանելի է:
- CCR1072 որպես հիմնական սարք: տարբերակ 6.44.1
- CAP ac որպես տան միացման կետ: տարբերակ 6.44.1
Կարգավորման հիմնական առանձնահատկությունն այն է, որ ԱՀ-ն և Mikrotik-ը պետք է լինեն նույն ցանցում՝ նույն հասցեով, ինչը տրված է հիմնական 1072-ին:
Եկեք անցնենք պարամետրերին.
1. Իհարկե, մենք միացնում ենք Fasttrack-ը, բայց քանի որ fasttrack-ը համատեղելի չէ VPN-ի հետ, մենք պետք է անջատենք դրա տրաֆիկը։
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Ավելացնել ցանցի վերահասցեավորում տանից և աշխատավայրից
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Ստեղծեք օգտվողի կապի նկարագրություն
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Ստեղծեք IPSEC-ի առաջարկ
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Ստեղծեք IPSEC քաղաքականություն
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Ստեղծեք IPSEC պրոֆիլ
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Ստեղծեք IPSEC գործընկեր
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Հիմա մի քանի պարզ մոգության համար: Քանի որ ես իրականում չէի ցանկանում փոխել տնային ցանցի բոլոր սարքերի կարգավորումները, ես ստիպված էի ինչ-որ կերպ կարգավորել DHCP-ն նույն ցանցում, բայց խելամիտ է, որ Mikrotik-ը թույլ չի տալիս կարգավորել մեկից ավելի հասցեների լողավազան: մեկ կամուրջ, այնպես որ ես գտա մի լուծում, մասնավորապես նոութբուքի համար ես պարզապես ստեղծեցի DHCP Lease՝ ձեռքով նշելով պարամետրերը, և քանի որ netmask-ը, gateway-ը և dns-ն ունեն նաև ընտրանքների համարներ DHCP-ում, ես դրանք ձեռքով նշել եմ:
1.DHCP Տարբերակ
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP Վարձակալություն
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Միևնույն ժամանակ, 1072-ի կարգավորումը գործնականում հիմնական է, միայն հաճախորդին IP հասցե տրամադրելիս, պարամետրերում նշվում է, որ նրան պետք է տրվի ձեռքով մուտքագրված IP հասցե, այլ ոչ թե լողավազանից: Անհատական համակարգիչներից սովորական հաճախորդների համար ենթացանցը նույնն է, ինչ Wiki 192.168.55.0/24 կոնֆիգուրացիայի դեպքում:
Այս կարգավորումը թույլ է տալիս չմիանալ ձեր համակարգչին երրորդ կողմի ծրագրային ապահովման միջոցով, և թունելն ինքնին բարձրացվում է երթուղիչի կողմից ըստ անհրաժեշտության: Հաճախորդի CAP ac-ի վրա ծանրաբեռնվածությունը գրեթե նվազագույն է՝ 8-11% թունելում 9-10 ՄԲ/վ արագությամբ:
Բոլոր կարգավորումներն արվել են Winbox-ի միջոցով, թեև դա կարելի էր նույնքան լավ անել վահանակի միջոցով:
Source: www.habr.com
