Roj baş li her kesê!
Wusa çêbû ku di pargîdaniya me de di van du salên borî de em hêdî hêdî diçin mîkrotîkan. Girêkên sereke li ser CCR1072 têne çêkirin, û xalên pêwendiya herêmî yên ji bo komputerên li ser cîhazan hêsantir in. Bê guman, di nav tunela IPSEC-ê de tevheviyek torê jî heye, di vê rewşê de, sazkirin pir hêsan e û tu dijwarî çênabe, ji ber ku li ser torê gelek materyal hene. Lê di pêwendiya mobîl a xerîdaran de hin dijwarî hene, wiki çêker ji we re vedibêje ka meriv çawa xerîdar VPN-ya nermalav Shrew bikar tîne (bi vê mîhengê re her tişt zelal xuya dike) û ev xerîdar e ku ji hêla 99% ji bikarhênerên gihîştina dûr ve tê bikar anîn. , û 1% ez im, ez pir tembel bûm her yek tenê navê bikarhêner û şîfreya xerîdar têxe nav xerîdar û min cîhek tembel li ser text û girêdanek rehet bi torên xebatê re dixwest. Min tu rêwerzên mîhengkirina Mikrotik ji bo rewşên ku ew ne li pişt navnîşek gewr e, lê bi tevahî li pişt yek reş û dibe ku çend NAT jî li ser torê ye, nedît. Ji ber vê yekê, ez neçar bûm ku pêşnuma bikim, û ji ber vê yekê ez pêşniyar dikim ku li encamê binihêrim.
Berdeste:
- CCR1072 wekî amûra sereke. guhertoya 6.44.1
- CAP ac wekî xala girêdana malê. guhertoya 6.44.1
Taybetmendiya sereke ya mîhengê ev e ku PC û Mikrotik divê li ser heman torê bi heman navnîşanan bin, ku ji hêla sereke 1072 ve hatî derxistin.
Ka em biçin mîhengan:
1. Helbet em Fasttrack vedikin, lê ji ber ku fasttrack bi vpn re ne lihevhatî ye, divê em seyrûsefera wê qut bikin.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Pêşkêşkirina torê ji / ber bi mal û kar ve zêde bikin
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Danasînek girêdana bikarhêner biafirînin
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Pêşniyarek IPSEC çêbikin
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Siyaseta IPSEC-ê çêbikin
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Profîlek IPSEC çêbikin
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Hevalek IPSEC çêbikin
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Niha ji bo çend sêrbaziya hêsan. Ji ber ku min bi rastî nexwest ku mîhengên li ser hemî cîhazên li ser tora xweya malê biguhezînim, min neçar ma ku bi rengekî DHCP-ê li ser heman torê daleqînim, lê maqûl e ku Mikrotik destûrê nade ku hûn ji yek hewzê bêtir navnîşanan li ser pirekê daleqînin. , ji ber vê yekê min çareseriyek dît, ango ji bo laptopê, min tenê DHCP Lease bi parametreyên destan afirand, û ji ber ku netmask, dergeh & dns jî di DHCP de hejmarên vebijarkê hene, min ew bi destan diyar kir.
Vebijêrkên 1.DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP lease
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Di heman demê de, mîhengkirina 1072 bi pratîkî bingehîn e, tenê dema ku di mîhengan de navnîşana IP-ê ji xerîdar re dişîne, tê destnîşan kirin ku navnîşana IP-ya ku bi destan hatî nivîsandin, û ne ji hewzê, jê re were dayîn. Ji bo xerîdarên PC-ya birêkûpêk, jêrnetew eynî wekî veavakirina Wiki 192.168.55.0/24 e.
Mîhengek wusa dihêle hûn bi nermalava sêyemîn ve bi PC-yê ve neyên girêdan, û tunel bixwe ji hêla routerê ve li gorî hewcedariyê tê bilind kirin. Barkirina xerîdar CAP ac hema hema hindik e, 8-11% bi leza 9-10 MB / s di tunelê de.
Hemî mîheng bi navgîniya Winbox-ê ve hatine çêkirin, her çend bi heman serfiraziyê ew dikare bi konsolê were kirin.
Source: www.habr.com