みんなに良い一日を!
弊社では、ここ2年ほどMikrotik社のチップに徐々に移行してきました。メインノードはCCR1072を搭載し、ローカルコンピュータの接続ポイントはよりシンプルなデバイスを使用しています。もちろん、IPSECトンネルを介したネットワーク統合も提供しています。この場合、オンラインで利用可能なリソースが豊富にあるため、設定は非常にシンプルで分かりやすいです。ただし、モバイルクライアント接続には一定の課題があります。Shrew softの使い方については、メーカーのWikiで説明されています。 VPN クライアント(この設定は説明不要ですね)は、リモートアクセスユーザーの99%が使用するクライアントです。残りの1%は私です。毎回ログインとパスワードを入力するのが面倒だったので、もっとリラックスして快適にカウチポテト気分を味わいたいと思っていました。仕事用のネットワークに簡単に接続できる環境を求めていました。Mikrotikをプライベートアドレスではなく、完全にブラックリストに登録されたアドレスの背後に配置し、ネットワーク上に複数のNATが存在するような状況で設定するための手順は見つかりませんでした。そのため、私は即興で設定する必要がありました。その結果をご覧いただければ幸いです。
あります:
- CCR1072をメインデバイスとして使用します。 バージョン6.44.1
- ホーム接続ポイントとしての CAP ac。 バージョン6.44.1
セットアップの主な特徴は、PC と Mikrotik が同じアドレス指定を持つ同じネットワーク上に存在する必要があることです。これがメイン 1072 に発行されるものです。
設定に進みましょう。
1. もちろん Fasttrack を有効にしますが、fasttrack は VPN と互換性がないため、トラフィックを遮断する必要があります。
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. 自宅と職場の間のネットワーク転送を追加する
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. ユーザー接続の説明を作成します。
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. IPSEC プロポーザルを作成する
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. IPSEC ポリシーの作成
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. IPSECプロファイルを作成する
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. IPSEC ピアの作成
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
では、簡単なマジックをご紹介します。 ホーム ネットワーク上のすべてのデバイスの設定を変更したくなかったので、何らかの方法で同じネットワーク上に DHCP をセットアップする必要がありましたが、Mikrotik が複数のアドレス プールをセットアップすることを許可していないのは当然です。ブリッジが XNUMX つしかなかったので、回避策を見つけました。つまり、ラップトップの場合は、パラメータを手動で指定して DHCP リースを作成しました。ネットマスク、ゲートウェイ、DNS にも DHCP のオプション番号があるため、それらを手動で指定しました。
1.DHCPオプション
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCPリース
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
同時に、設定 1072 は実質的に基本的なもので、クライアントに IP アドレスを発行する場合にのみ、プールからではなく手動で入力された IP アドレスを付与する必要があることが設定で示されます。 パソコンからの通常のクライアントの場合、サブネットは Wiki 192.168.55.0/24 の構成と同じです。
この設定により、サードパーティ ソフトウェアを介して PC に接続できなくなり、トンネル自体は必要に応じてルーターによって確立されます。 クライアント CAP ac の負荷はほぼ最小限で、トンネル内の速度 8 ~ 11MB/s で 9 ~ 10% です。
すべての設定は Winbox を通じて行われましたが、コンソールを通じて行うこともできます。
出所: habr.com
