Góðan daginn allir!
Það vill svo til að hjá fyrirtækinu okkar höfum við smám saman verið að skipta yfir í Mikrotik örgjörva síðustu tvö ár. Helstu hnútar eru byggðir á CCR1072, en tengipunktar staðbundinna tölvu eru á einfaldari tækjum. Að sjálfsögðu bjóðum við einnig upp á netsamþættingu í gegnum IPSEC göng; í þessu tilfelli er uppsetningin frekar einföld og auðveld, þökk sé þeim fjölda auðlinda sem eru í boði á netinu. Hins vegar bjóða tengingar við farsímaforrit upp á ákveðnar áskoranir; wiki framleiðandans útskýrir hvernig á að nota Shrew soft. VPN biðlari (þessi uppsetning virðist sjálfskýrandi), og þetta er biðlarinn sem 99% notenda fjaraðgangs nota, og ég er ég, 1%. Ég nennti einfaldlega ekki að slá inn notandanafn og lykilorð í hvert skipti, og ég vildi afslappaðri og þægilegri sófakartöfluupplifun með þægilegum tengingum við vinnunet. Ég fann engar leiðbeiningar um hvernig á að stilla Mikrotik fyrir aðstæður þar sem það er staðsett ekki einu sinni á bak við einkanetfang, heldur á bak við eitt sem er alveg á svörtum lista, og kannski jafnvel með mörg NAT á netinu. Svo ég þurfti að improvisera, og ég legg til að þú skoðir niðurstöðurnar.
Laus:
- CCR1072 sem aðaltæki. útgáfa 6.44.1
- CAP ac sem tengipunktur heima. útgáfa 6.44.1
Helstu eiginleikar stillingarinnar eru að tölvan og Mikrotik verða að vera á sama neti með sömu vistföng, sem er gefin út af aðal 1072.
Við skulum halda áfram að stillingunum:
1. Auðvitað kveikjum við á Fasttrack, en þar sem fasttrack er ekki samhæft við vpn verðum við að draga úr umferð þess.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Bætir við netframsendingu frá / til heimilis og vinnu
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Búðu til lýsingu á notandatengingu
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Búðu til IPSEC tillögu
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Búðu til IPSEC stefnu
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Búðu til IPSEC prófíl
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Búðu til IPSEC jafningja
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Nú fyrir einfalda töfra. Þar sem ég vildi eiginlega ekki breyta stillingum á öllum tækjum á heimanetinu mínu þurfti ég einhvern veginn að hengja DHCP á sama netið, en það er sanngjarnt að Mikrotik leyfir þér ekki að hengja fleiri en eina vistfangapott á einni brú, svo ég fann lausn, nefnilega fyrir fartölvu, ég bjó bara til DHCP Lease með handvirkum breytum, og þar sem netmaska, gátt og dns eru líka með valmöguleikanúmer í DHCP, tilgreindi ég þau handvirkt.
1.DHCP Valkostir
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP leigusamningur
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Á sama tíma er stilling 1072 nánast grunn, aðeins þegar IP-tölu er gefið út til viðskiptavinar í stillingunum er gefið til kynna að IP-tölu sem er slegin inn handvirkt, en ekki úr lauginni, ætti að gefa honum. Fyrir venjulega tölvubiðlara er undirnetið það sama og Wiki stillingarnar 192.168.55.0/24.
Slík stilling gerir þér kleift að tengjast ekki tölvunni í gegnum hugbúnað frá þriðja aðila og göngin sjálf eru hækkuð af beininum eftir þörfum. Álag viðskiptavina CAP AC er nánast í lágmarki, 8-11% á 9-10MB/s hraða í göngunum.
Allar stillingar voru gerðar í gegnum Winbox, þó með sama árangri sé hægt að gera það í gegnum stjórnborðið.
Heimild: www.habr.com
