みんなに良い一日を!
たまたまですが、当社では過去 1072 年間にわたって、ゆっくりと Mikrotik に切り替えてきました。 メイン ノードは CCR99 上に構築されており、デバイス上のコンピュータのローカル接続ポイントはよりシンプルです。 もちろん、IPSEC トンネルを介したネットワークの統合もあります。この場合、セットアップは非常に簡単で問題はありません。幸いなことに、ネットワーク上には多くのマテリアルがあります。 ただし、クライアントのモバイル接続には特定の問題があり、製造元の wiki には Shrew ソフト VPN クライアントの使用方法が記載されています (この設定に基づいてすべてが明らかであるようです)。リモート アクセスの 1% で使用されているのはこのクライアントです。ユーザー、そして XNUMX% が私です。私は怠け者です。皆さん、ログイン名とパスワードをクライアントに入力したら、ソファの上で怠惰な姿勢をとり、仕事用ネットワークに簡単に接続できるようにしたいと考えました。 Mikrotik が灰色のアドレスの背後にあるわけでもなく、完全に黒であり、場合によってはネットワーク上に複数の NAT がある場合に Mikrotik をセットアップするための手順は見つかりませんでした。 したがって、私は即興で演奏する必要があったので、結果を見ていただくことをお勧めします。
あります:
- CCR1072をメインデバイスとして使用します。 バージョン6.44.1
- ホーム接続ポイントとしての CAP ac。 バージョン6.44.1
セットアップの主な特徴は、PC と Mikrotik が同じアドレス指定を持つ同じネットワーク上に存在する必要があることです。これがメイン 1072 に発行されるものです。
設定に進みましょう。
1. もちろん Fasttrack を有効にしますが、fasttrack は VPN と互換性がないため、トラフィックを遮断する必要があります。
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. 自宅と職場の間のネットワーク転送を追加する
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. ユーザー接続の説明を作成します。
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. IPSEC プロポーザルを作成する
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. IPSEC ポリシーの作成
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. IPSECプロファイルを作成する
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. IPSEC ピアの作成
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
では、簡単なマジックをご紹介します。 ホーム ネットワーク上のすべてのデバイスの設定を変更したくなかったので、何らかの方法で同じネットワーク上に DHCP をセットアップする必要がありましたが、Mikrotik が複数のアドレス プールをセットアップすることを許可していないのは当然です。ブリッジが XNUMX つしかなかったので、回避策を見つけました。つまり、ラップトップの場合は、パラメータを手動で指定して DHCP リースを作成しました。ネットマスク、ゲートウェイ、DNS にも DHCP のオプション番号があるため、それらを手動で指定しました。
1.DHCPオプション
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCPリース
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
同時に、設定 1072 は実質的に基本的なもので、クライアントに IP アドレスを発行する場合にのみ、プールからではなく手動で入力された IP アドレスを付与する必要があることが設定で示されます。 パソコンからの通常のクライアントの場合、サブネットは Wiki 192.168.55.0/24 の構成と同じです。
この設定により、サードパーティ ソフトウェアを介して PC に接続できなくなり、トンネル自体は必要に応じてルーターによって確立されます。 クライアント CAP ac の負荷はほぼ最小限で、トンネル内の速度 8 ~ 11MB/s で 9 ~ 10% です。
すべての設定は Winbox を通じて行われましたが、コンソールを通じて行うこともできます。
出所: habr.com