មីក្រូក IPSEC vpn នៅពីក្រោយ NAT ជាអតិថិជន

សួស្តីអ្នកទាំងអស់គ្នា!

វាកើតឡើងយ៉ាងដូច្នេះថា នៅក្នុងក្រុមហ៊ុនរបស់យើង យើងបានប្តូរទៅប្រើប្រាស់បន្ទះឈីប Mikrotik បន្តិចម្តងៗក្នុងរយៈពេលពីរឆ្នាំកន្លងមកនេះ។ ណូតសំខាន់ៗត្រូវបានបង្កើតឡើងនៅលើ CCR1072 ខណៈដែលចំណុចតភ្ជាប់កុំព្យូទ័រក្នុងស្រុកគឺនៅលើឧបករណ៍សាមញ្ញជាង។ ជាការពិតណាស់ យើងក៏ផ្តល់ជូននូវការរួមបញ្ចូលបណ្តាញតាមរយៈផ្លូវរូងក្រោមដី IPSEC ផងដែរ។ ក្នុងករណីនេះ ការដំឡើងគឺសាមញ្ញ និងត្រង់ៗណាស់ ដោយសារធនធានជាច្រើនដែលមាននៅលើអ៊ីនធឺណិត។ ទោះជាយ៉ាងណាក៏ដោយ ការតភ្ជាប់អតិថិជនចល័តបង្ហាញពីបញ្ហាប្រឈមមួយចំនួន។ វិគីរបស់អ្នកផលិតពន្យល់ពីរបៀបប្រើ Shrew soft។ VPN ម៉ាស៊ីនភ្ញៀវ (ការរៀបចំនេះហាក់ដូចជាពន្យល់ដោយខ្លួនឯង) ហើយនេះគឺជាម៉ាស៊ីនភ្ញៀវដែលប្រើប្រាស់ដោយអ្នកប្រើប្រាស់ចូលប្រើពីចម្ងាយ 99% ហើយ 1% ដែលនៅសល់គឺខ្ញុំ។ ខ្ញុំមិនអាចរំខានក្នុងការបញ្ចូលឈ្មោះអ្នកប្រើប្រាស់ និងពាក្យសម្ងាត់របស់ខ្ញុំរាល់ពេលនោះទេ ហើយខ្ញុំចង់បានបទពិសោធន៍សម្រាកកាយ និងមានផាសុកភាពជាងមុនជាមួយនឹងការតភ្ជាប់ងាយស្រួលទៅកាន់បណ្តាញការងារ។ ខ្ញុំមិនអាចរកឃើញការណែនាំណាមួយសម្រាប់ការកំណត់រចនាសម្ព័ន្ធ Mikrotik សម្រាប់ស្ថានភាពដែលវាស្ថិតនៅមិននៅពីក្រោយអាសយដ្ឋានឯកជននោះទេ ប៉ុន្តែនៅពីក្រោយអាសយដ្ឋានដែលត្រូវបានដាក់ក្នុងបញ្ជីខ្មៅទាំងស្រុង ហើយប្រហែលជាមាន NAT ច្រើននៅលើបណ្តាញ។ ដូច្នេះខ្ញុំត្រូវតែកែលម្អ ហើយខ្ញុំស្នើឱ្យអ្នកពិនិត្យមើលលទ្ធផល។

មាន៖

1. CCR1072 ជាឧបករណ៍សំខាន់។ កំណែ 6.44.1
2. CAP ac ជាចំណុចតភ្ជាប់ផ្ទះ។ កំណែ 6.44.1

លក្ខណៈពិសេសចម្បងនៃការកំណត់គឺថា PC និង Mikrotik ត្រូវតែនៅលើបណ្តាញដូចគ្នាដែលមានអាសយដ្ឋានដូចគ្នាដែលត្រូវបានចេញដោយមេ 1072 ។

តោះបន្តទៅការកំណត់៖

1. ជាការពិតណាស់ យើងបើក Fasttrack ប៉ុន្តែដោយសារ fasttrack មិនឆបគ្នាជាមួយ vpn យើងត្រូវកាត់បន្ថយចរាចរណ៍របស់វា។

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. បន្ថែមការបញ្ជូនបន្តបណ្តាញពី/ទៅផ្ទះ និងកន្លែងធ្វើការ

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. បង្កើតការពិពណ៌នាអំពីការតភ្ជាប់អ្នកប្រើប្រាស់

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    общий ключ xauth-login=username xauth-password=password

4. បង្កើតសំណើ IPSEC

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. បង្កើតគោលការណ៍ IPSEC

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. បង្កើតទម្រង់ IPSEC

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. បង្កើត IPSEC peer

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
    profile_88

ឥឡូវនេះសម្រាប់វេទមន្តសាមញ្ញមួយចំនួន។ ដោយសារខ្ញុំពិតជាមិនចង់ផ្លាស់ប្តូរការកំណត់នៅលើឧបករណ៍ទាំងអស់នៅលើបណ្តាញផ្ទះរបស់ខ្ញុំ ដូច្នេះខ្ញុំត្រូវតែព្យួរ DHCP នៅលើបណ្តាញតែមួយ ប៉ុន្តែវាសមហេតុផលដែល Mikrotik មិនអនុញ្ញាតឱ្យអ្នកព្យួរក្រុមអាសយដ្ឋានច្រើនជាងមួយនៅលើស្ពានមួយ ដូច្នេះខ្ញុំបានរកឃើញវិធីដោះស្រាយមួយ ពោលគឺសម្រាប់កុំព្យូទ័រយួរដៃ ខ្ញុំទើបតែបង្កើត DHCP Lease ជាមួយប៉ារ៉ាម៉ែត្រដោយដៃ ហើយចាប់តាំងពី netmask, gateway & dns ក៏មានលេខជម្រើសនៅក្នុង DHCP ខ្ញុំបានបញ្ជាក់វាដោយដៃ។

ជម្រើស 1.DHCP

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2.DHCP ជួល

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>

ក្នុងពេលជាមួយគ្នានេះ ការកំណត់ 1072 គឺអនុវត្តជាមូលដ្ឋាន លុះត្រាតែចេញអាសយដ្ឋាន IP ដល់អតិថិជនក្នុងការកំណត់ វាត្រូវបានបង្ហាញថាអាសយដ្ឋាន IP ដែលបានបញ្ចូលដោយដៃ មិនមែនមកពីអាងទេ គួរតែត្រូវបានផ្តល់ឱ្យគាត់។ សម្រាប់ម៉ាស៊ីនភ្ញៀវកុំព្យូទ័រធម្មតា បណ្តាញរងគឺដូចគ្នាទៅនឹងការកំណត់រចនាសម្ព័ន្ធវិគី 192.168.55.0/24 ។

ការកំណត់បែបនេះអនុញ្ញាតឱ្យអ្នកមិនភ្ជាប់ទៅកុំព្យូទ័រតាមរយៈកម្មវិធីភាគីទីបី ហើយផ្លូវរូងក្រោមដីខ្លួនឯងត្រូវបានលើកឡើងដោយរ៉ោតទ័រតាមតម្រូវការ។ ការផ្ទុករបស់ម៉ាស៊ីនភ្ញៀវ CAP ac គឺស្ទើរតែតិចតួចបំផុតគឺ 8-11% ក្នុងល្បឿន 9-10MB / s នៅក្នុងផ្លូវរូងក្រោមដី។

ការកំណត់ទាំងអស់ត្រូវបានធ្វើឡើងតាមរយៈ Winbox ទោះបីជាទទួលបានជោគជ័យដូចគ្នា វាអាចត្រូវបានធ្វើតាមរយៈកុងសូលក៏ដោយ។

ប្រភព: www.habr.com