Кутмандуу күнүңүздөр менен!
Биздин компанияда акыркы эки жылда акырындык менен Mikrotik чиптерине өтүп жатканыбыз байкалып турат. Негизги түйүндөр CCR1072де курулган, ал эми жергиликтүү компьютердик туташуу чекиттери жөнөкөй түзмөктөрдө жайгашкан. Албетте, биз IPSEC туннелдери аркылуу тармактык интеграцияны да сунуштайбыз; бул учурда, онлайн режиминде жеткиликтүү ресурстардын көптүгүнөн улам, орнотуу абдан жөнөкөй жана түшүнүктүү. Бирок, мобилдик кардар байланыштары белгилүү бир кыйынчылыктарды жаратат; өндүрүүчүнүн викисинде Shrew программасын кантип колдонуу керектиги түшүндүрүлөт. VPN кардар (бул орнотуу өзүнөн-өзү түшүнүктүү көрүнөт), жана бул алыстан кирүү колдонуучуларынын 99% колдонгон кардар, ал эми калган 1% менмин. Мен жөн гана ар бир жолу логин жана сырсөзүмдү киргизүүгө убара боло алган жокмун жана жумуш тармактарына ыңгайлуу туташуу менен эркинирээк, ыңгайлуураак диван тажрыйбасын кааладым. Mikrotikти жеке даректин артында эмес, толугу менен кара тизмедеги даректин артында, ал тургай тармакта бир нече NATтар болгон учурларда конфигурациялоо боюнча эч кандай көрсөтмөлөрдү таба алган жокмун. Ошондуктан мен импровизациялоого туура келди жана натыйжаларды карап чыгууну сунуштайм.
Жеткиликтүү:
- негизги түзмөк катары CCR1072. версия 6.44.1
- CAP AC үйгө туташуу чекити катары. версия 6.44.1
Жөндөөнүн негизги өзгөчөлүгү - PC жана Mikrotik негизги 1072 тарабынан чыгарылган бир эле даректүү тармакта болушу керек.
Келгиле, жөндөөлөргө өтөбүз:
1. Албетте, биз Fasttrackти күйгүзөбүз, бирок фасттрек vpn менен шайкеш келбегендиктен, анын трафигин кыскартышыбыз керек.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Тармактан үйгө жана жумушка багыттоо кошуу
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Колдонуучунун байланыш сүрөттөмөсүн түзүңүз
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. IPSEC сунушун түзүңүз
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. IPSEC саясатын түзүү
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. IPSEC профилин түзүңүз
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. IPSEC теңин түзүңүз
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Эми жөнөкөй сыйкырчылык үчүн. Мен чындап эле үй тармагымдагы бардык түзмөктөрдөгү орнотууларды өзгөрткүм келбегендиктен, кандайдыр бир жол менен DHCPди бир тармакка илип коюшум керек болчу, бирок Mikrotik бир көпүрөгө бирден ашык дарек пулун илип коюуга уруксат бербейт. Ошентип, мен чечүү жолун таптым, тактап айтканда, ноутбук үчүн, мен жөн гана кол менен параметрлери менен DHCP ижарасын түздүм жана DHCPде тармактык маска, шлюз жана dns да опция номерлери болгондуктан, мен аларды кол менен көрсөттүм.
1.DHCP параметрлери
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP ижарасы
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Ошол эле учурда, 1072 орнотуу иш жүзүндө негизги болуп саналат, жөндөөлөрдөгү кардарга IP дарегин бергенде гана ага бассейнден эмес, кол менен киргизилген IP дареги көрсөтүлүшү керек. Кадимки PC кардарлары үчүн субтор Wiki конфигурациясынын 192.168.55.0/24 менен бирдей.
Мындай жөндөө үчүнчү тараптын программалык камсыздоосу аркылуу компьютерге туташпоого мүмкүндүк берет, ал эми туннелдин өзү роутер тарабынан зарылчылыкка жараша көтөрүлөт. Кардардын CAP AC жүгү дээрлик минималдуу, туннелде 8-11МБ/сек ылдамдыкта 9-10%.
Бардык орнотуулар Winbox аркылуу жасалган, бирок ошол эле ийгилик менен консол аркылуу жасалса болот.
Source: www.habr.com
