Selamat siang semuanya!
Kebetulan di perusahaan kami selama dua tahun terakhir ini perlahan-lahan beralih ke Mikrotik. Node utama dibangun di atas CCR1072, dan titik koneksi lokal untuk komputer di perangkat lebih sederhana. Tentunya juga ada integrasi jaringan melalui terowongan IPSEC, dalam hal ini setupnya cukup sederhana dan tidak menimbulkan kesulitan, untungnya materi di jaringan tersebut banyak. Tetapi ada kesulitan tertentu dengan koneksi seluler klien, wiki pabrikan memberi tahu Anda cara menggunakan klien VPN lunak Shrew (semuanya tampak jelas berdasarkan pengaturan ini) dan klien inilah yang digunakan oleh 99% akses jarak jauh pengguna, dan 1% adalah saya, saya terlalu malas semuanya. Setelah saya memasukkan login dan kata sandi saya ke klien, saya menginginkan posisi malas di sofa dan koneksi yang nyaman ke jaringan kerja. Saya tidak menemukan instruksi untuk mengatur Mikrotik untuk situasi di mana alamatnya bukan abu-abu, tetapi benar-benar hitam dan bahkan mungkin beberapa NAT di jaringan. Oleh karena itu, saya harus berimprovisasi, oleh karena itu saya sarankan Anda melihat hasilnya.
Tersedia:
- CCR1072 sebagai perangkat utama. versi 6.44.1
- CAP ac sebagai titik sambungan rumah. versi 6.44.1
Ciri utama setupnya adalah PC dan Mikrotik harus berada pada jaringan yang sama dengan pengalamatan yang sama yaitu yang dikeluarkan pada main 1072.
Mari beralih ke pengaturan:
1. Tentu saja, kami mengaktifkan Fasttrack, tetapi karena fasttrack tidak kompatibel dengan VPN, kami harus menghentikan lalu lintasnya.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Tambahkan penerusan jaringan dari/ke rumah dan kantor
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Buat deskripsi koneksi pengguna
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
ΠΎΠ±ΡΠΈΠΉ ΠΊΠ»ΡΡ xauth-login=username xauth-password=password
4. Membuat Proposal IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Buat Kebijakan IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Buat profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Buat rekan IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<Π²Π°Ρ Π°Π΄ΡΠ΅Ρ ΡΠΎΡΡΠ΅ΡΠ°> name=CO profile=
profile_88
Sekarang untuk beberapa keajaiban sederhana. Karena saya tidak benar-benar ingin mengubah pengaturan pada semua perangkat di jaringan rumah, saya harus mengatur DHCP di jaringan yang sama, tetapi masuk akal jika Mikrotik tidak mengizinkan Anda mengatur lebih dari satu kumpulan alamat di satu jembatan, jadi saya menemukan solusinya, yaitu untuk laptop saya cukup membuat DHCP Lease dengan menentukan parameter secara manual, dan karena netmask, gateway & dns juga memiliki nomor opsi di DHCP, saya menentukannya secara manual.
1. Opsi DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. Sewa DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC Π°Π΄ΡΠ΅Ρ Π½ΠΎΡΡΠ±ΡΠΊΠ°>
Pada saat yang sama, pengaturan 1072 praktis mendasar, hanya ketika mengeluarkan alamat IP ke klien, pengaturan menunjukkan bahwa ia harus diberikan alamat IP yang dimasukkan secara manual, dan bukan dari kumpulan. Untuk klien reguler dari komputer pribadi, subnetnya sama seperti pada konfigurasi dengan Wiki 192.168.55.0/24.
Pengaturan ini memungkinkan Anda untuk tidak terhubung ke PC Anda melalui perangkat lunak pihak ketiga, dan terowongan itu sendiri dibuat oleh router sesuai kebutuhan. Beban pada klien CAP ac hampir minimal, 8-11% pada kecepatan 9-10MB/s di terowongan.
Semua pengaturan dilakukan melalui Winbox, meskipun bisa juga dilakukan melalui konsol.
Sumber: www.habr.com