Gudden Dag alleguer!
Et ass just sou, datt mir an eiser Firma an de leschten zwee Joer lues a lues op Mikrotik Chips ëmgestallt sinn. Déi Haaptknuet baséieren op CCR1072, während lokal Computerverbindungspunkten op méi einfachen Apparater sinn. Natierlech bidden mir och Netzwierkintegratioun iwwer IPSEC-Tunnelen un; an dësem Fall ass d'Installatioun zimmlech einfach an ouni Problemer, dank der grousser Auswiel u Ressourcen, déi online verfügbar sinn. Mobil Clientverbindunge stellen awer gewësse Erausfuerderungen duer; de Wiki vum Hiersteller erkläert, wéi ee Shrew soft benotzt. Opportunitéit Client (dës Konfiguratioun schéngt selbsterklärend), an dëst ass de Client, deen vun 99% vun de Benotzer vun der Fernzougang benotzt gëtt, an déi reschtlech 1% sinn ech. Ech hat einfach keng Loscht, mäi Login a Passwuert all Kéier anzeginn, an ech wollt eng méi entspaant, méi komfortabel Couch Potato Erfahrung mat praktesche Verbindungen zu Aarbechtsnetzwierker. Ech konnt keng Instruktioune fannen, wéi ech Mikrotik fir Situatiounen konfiguréiere kéint, wou et net emol hannert enger privater Adress ass, mä hannert enger komplett schwaarzer Adress, a vläicht souguer mat méi NATs am Netz. Also musst ech improviséieren, an ech proposéieren Iech, d'Resultater unzekucken.
Verfügbar:
- CCR1072 als Haaptapparat. Versioun 6.44.1
- CAP ac als Heemverbindungspunkt. Versioun 6.44.1
D'Haaptfunktioun vum Setup ass datt de PC a Mikrotik um selwechten Netz mat der selwechter Adressung musse sinn, dat ass wat op den Haapt 1072 erausginn ass.
Loosst eis op d'Astellunge goen:
1. Natierlech aktivéiere mir Fasttrack, awer well Fasttrack net mat VPN kompatibel ass, musse mir säi Traffic ausschneiden.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Füügt Reseau Expeditioun vun / op doheem an Aarbecht
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Schafen eng Benotzer Verbindung Beschreiwung
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Schafen eng IPSEC Propositioun
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Schafen eng IPSEC Politik
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Schafen eng IPSEC Profil
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Schafen eng IPSEC Peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Elo fir e puer einfach Magie. Well ech net wierklech d'Astellungen op all Apparater am Heemnetz wollt änneren, hunn ech iergendwéi DHCP am selwechte Netz opgeriicht, awer et ass raisonnabel datt Mikrotik Iech net erlaabt méi wéi eng Adresspool opzestellen eng Bréck, also hunn ech eng Léisung fonnt, nämlech fir de Laptop hunn ech einfach DHCP Lease erstallt mat manuell d'Parameteren ze spezifizéieren, a well Netmask, Gateway & dns och Optiounsnummeren an DHCP hunn, hunn ech se manuell uginn.
1.DHCP Optioun
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP Lease
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Zur selwechter Zäit ass d'Astellung 1072 praktesch Basis, nëmmen wann Dir eng IP Adress un e Client ausginn, gëtt et an den Astellungen uginn datt et eng manuell aginn IP Adress sollt ginn, an net aus dem Pool. Fir regelméisseg Clientë vu perséinleche Computeren ass de Subnet d'selwecht wéi an der Konfiguratioun mat Wiki 192.168.55.0/24.
Dëse Setup erlaabt Iech net mat Ärem PC duerch Drëtt Partei Software ze verbannen, an den Tunnel selwer gëtt vum Router erhéicht wéi néideg. D'Laascht op de Client CAP ac ass bal minimal, 8-11% bei enger Geschwindegkeet vun 9-10MB / s am Tunnel.
All Astellunge goufen iwwer Winbox gemaach, obwuel et grad esou gutt duerch d'Konsole gemaach ka ginn.
Source: will.com
