Selamat siang semuanya!
Kebetulan, di perusahaan kami, kami secara bertahap beralih ke chip Mikrotik selama dua tahun terakhir. Node utama dibangun di atas CCR1072, sementara titik koneksi komputer lokal menggunakan perangkat yang lebih sederhana. Tentu saja, kami juga menawarkan integrasi jaringan melalui terowongan IPSEC; dalam hal ini, pengaturannya cukup sederhana dan mudah, berkat banyaknya sumber daya yang tersedia secara online. Namun, koneksi klien seluler menghadirkan tantangan tertentu; wiki pabrikan menjelaskan cara menggunakan perangkat lunak Shrew. VPN klien (pengaturan ini tampaknya cukup jelas), dan ini adalah klien yang digunakan oleh 99% pengguna akses jarak jauh, dan 1% sisanya adalah saya. Saya malas memasukkan login dan kata sandi setiap kali, dan saya menginginkan pengalaman yang lebih santai dan nyaman seperti sedang bersantai di sofa dengan koneksi yang mudah ke jaringan kerja. Saya tidak menemukan petunjuk untuk mengkonfigurasi Mikrotik untuk situasi di mana Mikrotik tidak berada di belakang alamat pribadi, tetapi di belakang alamat yang sepenuhnya diblokir, dan mungkin bahkan dengan beberapa NAT di jaringan. Jadi saya harus berimprovisasi, dan saya sarankan Anda melihat hasilnya.
Tersedia:
- CCR1072 sebagai perangkat utama. versi 6.44.1
- CAP ac sebagai titik sambungan rumah. versi 6.44.1
Ciri utama setupnya adalah PC dan Mikrotik harus berada pada jaringan yang sama dengan pengalamatan yang sama yaitu yang dikeluarkan pada main 1072.
Mari beralih ke pengaturan:
1. Tentu saja, kami mengaktifkan Fasttrack, tetapi karena fasttrack tidak kompatibel dengan VPN, kami harus menghentikan lalu lintasnya.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Tambahkan penerusan jaringan dari/ke rumah dan kantor
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Buat deskripsi koneksi pengguna
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Membuat Proposal IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Buat Kebijakan IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Buat profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Buat rekan IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Sekarang untuk beberapa keajaiban sederhana. Karena saya tidak benar-benar ingin mengubah pengaturan pada semua perangkat di jaringan rumah, saya harus mengatur DHCP di jaringan yang sama, tetapi masuk akal jika Mikrotik tidak mengizinkan Anda mengatur lebih dari satu kumpulan alamat di satu jembatan, jadi saya menemukan solusinya, yaitu untuk laptop saya cukup membuat DHCP Lease dengan menentukan parameter secara manual, dan karena netmask, gateway & dns juga memiliki nomor opsi di DHCP, saya menentukannya secara manual.
1. Opsi DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. Sewa DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Pada saat yang sama, pengaturan 1072 praktis mendasar, hanya ketika mengeluarkan alamat IP ke klien, pengaturan menunjukkan bahwa ia harus diberikan alamat IP yang dimasukkan secara manual, dan bukan dari kumpulan. Untuk klien reguler dari komputer pribadi, subnetnya sama seperti pada konfigurasi dengan Wiki 192.168.55.0/24.
Pengaturan ini memungkinkan Anda untuk tidak terhubung ke PC Anda melalui perangkat lunak pihak ketiga, dan terowongan itu sendiri dibuat oleh router sesuai kebutuhan. Beban pada klien CAP ac hampir minimal, 8-11% pada kecepatan 9-10MB/s di terowongan.
Semua pengaturan dilakukan melalui Winbox, meskipun bisa juga dilakukan melalui konsol.
Sumber: www.habr.com
