Қайырлы күн баршаңызға!
Біздің компанияда соңғы екі жылда біртіндеп Mikrotik чиптеріне ауысып келе жатқанымыз белгілі болды. Негізгі түйіндер CCR1072 негізінде жасалған, ал жергілікті компьютерлік қосылу нүктелері қарапайым құрылғыларда орналасқан. Әрине, біз IPSEC туннельдері арқылы желілік интеграцияны да ұсынамыз; бұл жағдайда орнату өте қарапайым және түсінікті, себебі онлайн режимінде қолжетімді ресурстардың көптігі бар. Дегенмен, мобильді клиенттік қосылымдар белгілі бір қиындықтар туғызады; өндірушінің викиінде Shrew бағдарламалық жасақтамасын қалай пайдалану керектігі түсіндірілген. VPN клиент (бұл орнату түсінікті болып көрінеді), және бұл қашықтан қатынау пайдаланушыларының 99%-ы пайдаланатын клиент, ал қалған 1%-ы мен. Мен әрқашан логин мен құпия сөзімді енгізуге қиналмадым және жұмыс желілеріне ыңғайлы қосылымдары бар жайлы, жайлы диван тәжірибесін қаладым. Mikrotik тіпті жеке мекенжайдың артында емес, толығымен қара тізімге енген мекенжайдың артында, тіпті желіде бірнеше NAT болған жағдайларда конфигурациялау бойынша ешқандай нұсқаулық таба алмадым. Сондықтан мен импровизациялауға тура келді, және мен сізге нәтижелерді қарап шығуды ұсынамын.
Қол жетімді:
- Негізгі құрылғы ретінде CCR1072. 6.44.1 нұсқасы
- CAP AC үйге қосылу нүктесі ретінде. 6.44.1 нұсқасы
Параметрдің басты ерекшелігі - ДК мен Mikrotik бір желіде болуы керек, ол негізгі 1072 арқылы шығарылады.
Параметрлерге көшейік:
1. Әрине, біз Fasttrack-ті қосамыз, бірақ жылдам трек vpn-мен үйлесімді болмағандықтан, оның трафигін қысқартуға тура келеді.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Үйден және жұмысқа желіні қайта жіберуді қосу
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Пайдаланушы қосылымының сипаттамасын жасаңыз
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. IPSEC ұсынысын жасаңыз
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. IPSEC саясатын жасаңыз
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. IPSEC профилін жасаңыз
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. IPSEC теңін жасаңыз
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Енді қарапайым сиқырға. Мен үй желісіндегі барлық құрылғылардағы параметрлерді өзгерткім келмегендіктен, DHCP-ді бір желіге іліп қоюға тура келді, бірақ Mikrotik бір көпірге бірнеше мекенжай пулын іліп қоюға мүмкіндік бермейді. , сондықтан мен уақытша шешім таптым, атап айтқанда ноутбук үшін, мен қолмен параметрлері бар DHCP жалғасын жасадым және желі маскасы, шлюз және DHCP-де опция нөмірлері болғандықтан, мен оларды қолмен көрсеттім.
1.DHCP опциялары
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP жалға алу
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Сонымен қатар, 1072 параметрі іс жүзінде қарапайым болып табылады, тек параметрлерде клиентке IP мекенжайын берген кезде оған пулдан емес, қолмен енгізілген IP мекенжайын беру керек екендігі көрсетіледі. Тұрақты ДК клиенттері үшін ішкі желі Wiki конфигурациясы 192.168.55.0/24 сияқты.
Мұндай параметр үшінші тарап бағдарламалық жасақтамасы арқылы компьютерге қосылмауға мүмкіндік береді, ал туннельдің өзі қажет болған жағдайда маршрутизатормен көтеріледі. Клиенттің CAP айнымалы ток жүктемесі туннельде 8-11МБ/с жылдамдықта 9-10% дерлік минималды.
Барлық параметрлер Winbox арқылы жасалды, бірақ дәл осындай сәтті консоль арқылы жасауға болады.
Ақпарат көзі: www.habr.com
