Roj baş li her kesê!
Tesadufen, di şîrketa me de, em di du salên borî de hêdî hêdî derbasî çîpên Mikrotik bûne. Girêkên sereke li ser CCR1072 hatine çêkirin, lê xalên girêdana komputerên herêmî li ser cîhazên hêsantir in. Bê guman, em entegrasyona torê jî bi rêya tunelên IPSEC pêşkêş dikin; di vê rewşê de, sazkirin pir hêsan û rasterast e, bi saya pirbûna çavkaniyên li ser înternetê hene. Lêbelê, girêdanên xerîdarên mobîl hin dijwarîyan pêşkêş dikin; wîkiya hilberîner rave dike ka meriv çawa nermalava Shrew bikar tîne. VPN xerîdar (ev sazkirin xwe-şiroveker xuya dike), û ev xerîdar ji hêla 99% bikarhênerên gihîştina dûr ve tê bikar anîn, û 1% mayî ez im. Ez bi tenê nikarim her carê têketina nav û şîfreya xwe aciz bikim, û min ezmûnek rehettir, rehettir a nivîna sofê bi girêdanên hêsan ên bi torên kar re dixwest. Min tu rêwerz ji bo mîhengkirina Mikrotik ji bo rewşên ku ew ne li pişt navnîşanek taybet, lê li pişt navnîşanek bi tevahî navnîşa reşkirî ye, û dibe ku bi gelek NAT-an li ser torê re jî be nedît. Ji ber vê yekê min neçar ma ku ez îmrovîze bikim, û ez pêşniyar dikim ku hûn li encaman binêrin.
Berdeste:
- CCR1072 wekî amûra sereke. guhertoya 6.44.1
- CAP ac wekî xala girêdana malê. guhertoya 6.44.1
Taybetmendiya sereke ya mîhengê ev e ku PC û Mikrotik divê li ser heman torê bi heman navnîşanan bin, ku ji hêla sereke 1072 ve hatî derxistin.
Ka em biçin mîhengan:
1. Helbet em Fasttrack vedikin, lê ji ber ku fasttrack bi vpn re ne lihevhatî ye, divê em seyrûsefera wê qut bikin.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Pêşkêşkirina torê ji / ber bi mal û kar ve zêde bikin
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Danasînek girêdana bikarhêner biafirînin
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Pêşniyarek IPSEC çêbikin
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Siyaseta IPSEC-ê çêbikin
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Profîlek IPSEC çêbikin
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Hevalek IPSEC çêbikin
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Niha ji bo çend sêrbaziya hêsan. Ji ber ku min bi rastî nexwest ku mîhengên li ser hemî cîhazên li ser tora xweya malê biguhezînim, min neçar ma ku bi rengekî DHCP-ê li ser heman torê daleqînim, lê maqûl e ku Mikrotik destûrê nade ku hûn ji yek hewzê bêtir navnîşanan li ser pirekê daleqînin. , ji ber vê yekê min çareseriyek dît, ango ji bo laptopê, min tenê DHCP Lease bi parametreyên destan afirand, û ji ber ku netmask, dergeh & dns jî di DHCP de hejmarên vebijarkê hene, min ew bi destan diyar kir.
Vebijêrkên 1.DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP lease
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Di heman demê de, mîhengkirina 1072 bi pratîkî bingehîn e, tenê dema ku di mîhengan de navnîşana IP-ê ji xerîdar re dişîne, tê destnîşan kirin ku navnîşana IP-ya ku bi destan hatî nivîsandin, û ne ji hewzê, jê re were dayîn. Ji bo xerîdarên PC-ya birêkûpêk, jêrnetew eynî wekî veavakirina Wiki 192.168.55.0/24 e.
Mîhengek wusa dihêle hûn bi nermalava sêyemîn ve bi PC-yê ve neyên girêdan, û tunel bixwe ji hêla routerê ve li gorî hewcedariyê tê bilind kirin. Barkirina xerîdar CAP ac hema hema hindik e, 8-11% bi leza 9-10 MB / s di tunelê de.
Hemî mîheng bi navgîniya Winbox-ê ve hatine çêkirin, her çend bi heman serfiraziyê ew dikare bi konsolê were kirin.
Source: www.habr.com
