Кутмандуу күнүңүздөр менен!
Биздин компанияда акыркы эки жылдын ичинде микротикага акырындык менен өтүп жатканыбыз ушундай болду. Негизги түйүндөр CCR1072де курулган жана түзмөктөрдөгү компьютерлер үчүн жергиликтүү туташуу пункттары жөнөкөй. Албетте, IPSEC туннели аркылуу тармактардын айкалышы да бар, бул учурда орнотуу абдан жөнөкөй жана тармакта көптөгөн материалдар бар болгондуктан, эч кандай кыйынчылык туудурбайт. Бирок кардарлардын мобилдик байланышында белгилүү бир кыйынчылыктар бар, өндүрүүчүнүн викисинде Shrew жумшак VPN кардарын кантип колдонуу керектиги айтылат (бул жөндөө менен баары түшүнүктүү окшойт) жана дал ушул кардарды алыстан кирүү колдонуучуларынын 99% колдонот. , жана 1% менмин, мен жөн эле жалкоо болдум, ар бир кардарга логин менен сырсөздү киргизип, диванда жалкоо жайгашууну жана жумуш тармактарына ыңгайлуу туташууну кааладым. Мен Микротикти ал боз даректин артында эмес, толугу менен кара даректин артында, ал тургай тармактагы бир нече NATтын артында конфигурациялоо боюнча нускамаларды таба алган жокмун. Ошондуктан, мен импровизация кылышым керек болчу, ошондуктан мен жыйынтыкты карап көрүүнү сунуштайм.
Жеткиликтүү:
- негизги түзмөк катары CCR1072. версия 6.44.1
- CAP AC үйгө туташуу чекити катары. версия 6.44.1
Жөндөөнүн негизги өзгөчөлүгү - PC жана Mikrotik негизги 1072 тарабынан чыгарылган бир эле даректүү тармакта болушу керек.
Келгиле, жөндөөлөргө өтөбүз:
1. Албетте, биз Fasttrackти күйгүзөбүз, бирок фасттрек vpn менен шайкеш келбегендиктен, анын трафигин кыскартышыбыз керек.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Тармактан үйгө жана жумушка багыттоо кошуу
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Колдонуучунун байланыш сүрөттөмөсүн түзүңүз
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. IPSEC сунушун түзүңүз
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. IPSEC саясатын түзүү
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. IPSEC профилин түзүңүз
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. IPSEC теңин түзүңүз
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Эми жөнөкөй сыйкырчылык үчүн. Мен чындап эле үй тармагымдагы бардык түзмөктөрдөгү орнотууларды өзгөрткүм келбегендиктен, кандайдыр бир жол менен DHCPди бир тармакка илип коюшум керек болчу, бирок Mikrotik бир көпүрөгө бирден ашык дарек пулун илип коюуга уруксат бербейт. Ошентип, мен чечүү жолун таптым, тактап айтканда, ноутбук үчүн, мен жөн гана кол менен параметрлери менен DHCP ижарасын түздүм жана DHCPде тармактык маска, шлюз жана dns да опция номерлери болгондуктан, мен аларды кол менен көрсөттүм.
1.DHCP параметрлери
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP ижарасы
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Ошол эле учурда, 1072 орнотуу иш жүзүндө негизги болуп саналат, жөндөөлөрдөгү кардарга IP дарегин бергенде гана ага бассейнден эмес, кол менен киргизилген IP дареги көрсөтүлүшү керек. Кадимки PC кардарлары үчүн субтор Wiki конфигурациясынын 192.168.55.0/24 менен бирдей.
Мындай жөндөө үчүнчү тараптын программалык камсыздоосу аркылуу компьютерге туташпоого мүмкүндүк берет, ал эми туннелдин өзү роутер тарабынан зарылчылыкка жараша көтөрүлөт. Кардардын CAP AC жүгү дээрлик минималдуу, туннелде 8-11МБ/сек ылдамдыкта 9-10%.
Бардык орнотуулар Winbox аркылуу жасалган, бирок ошол эле ийгилик менен консол аркылуу жасалса болот.
Source: www.habr.com