Laba diena visiems!
Taip atsitiko, kad per pastaruosius dvejus metus mūsų įmonėje pamažu pereiname prie mikrotikų. Pagrindiniai mazgai yra sukurti ant CCR1072, o vietiniai kompiuterių prijungimo taškai įrenginiuose yra paprastesni. Žinoma, taip pat yra tinklų derinys per IPSEC tunelį, šiuo atveju sąranka yra gana paprasta ir nesukelia jokių sunkumų, nes tinkle yra daug medžiagos. Tačiau yra tam tikrų sunkumų, susijusių su klientų mobiliuoju ryšiu, gamintojo wiki siūlo, kaip naudoti „Shrew soft VPN“ klientą (atrodo, kad su šiuo nustatymu viskas aišku) ir būtent šį klientą naudoja 99% nuotolinės prieigos vartotojų, o 1% esu aš, tiesiog pasidariau per daug tingus kiekvienas tiesiog įvedame prisijungimo vardą ir slaptažodį kliente ir norėjau tingios vietos ant sofos ir patogaus prisijungimo prie darbo tinklų. Neradau Mikrotik konfigūravimo instrukcijų situacijoms, kai jis yra net ne už pilko adreso, o visiškai už juodo ir gal net kelių NAT tinkle. Todėl turėjau improvizuoti, todėl siūlau pažvelgti į rezultatą.
Galima:
- CCR1072 kaip pagrindinis įrenginys. 6.44.1 versija
- CAP kintamoji srovė kaip namų ryšio taškas. 6.44.1 versija
Pagrindinis nustatymo bruožas yra tas, kad kompiuteris ir „Mikrotik“ turi būti tame pačiame tinkle su tuo pačiu adresu, kurį išduoda pagrindinis 1072.
Pereikime prie nustatymų:
1. Žinoma, mes įjungiame Fasttrack, bet kadangi fasttrack nesuderinamas su vpn, turime sumažinti jo srautą.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Pridedamas tinklo persiuntimas iš / į namus ir darbą
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Sukurkite vartotojo ryšio aprašą
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Sukurkite IPSEC pasiūlymą
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Sukurkite IPSEC politiką
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Sukurkite IPSEC profilį
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Sukurkite IPSEC kolegą
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Dabar šiek tiek paprastos magijos. Kadangi tikrai nenorėjau keisti visų namų tinklo įrenginių nustatymų, turėjau kažkaip pakabinti DHCP tame pačiame tinkle, bet logiška, kad Mikrotik neleidžia ant vieno tilto pakabinti daugiau nei vieną adresų telkinį, taigi radau išeitis, būtent nešiojamam kompiuteriui, ką tik sukūriau DHCP nuomą su rankiniais parametrais, o kadangi tinklo maskuoklė, šliuzas ir dns taip pat turi parinkčių numerius DHCP, nurodžiau juos rankiniu būdu.
1.DHCP parinktys
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP nuoma
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Tuo pačiu metu 1072 nustatymas yra praktiškai pagrindinis, tik nustatymuose klientui išduodant IP adresą nurodoma, kad jam turėtų būti suteiktas rankiniu būdu įvestas IP adresas, o ne iš telkinio. Įprastų kompiuterių klientų potinklis yra toks pat kaip Wiki konfigūracija 192.168.55.0/24.
Toks nustatymas leidžia neprisijungti prie kompiuterio per trečiosios šalies programinę įrangą, o patį tunelį maršrutizatorius pakelia pagal poreikį. Kliento CAP kintamosios srovės apkrova yra beveik minimali, 8-11%, esant 9-10 MB / s greičiui tunelyje.
Visi nustatymai buvo atlikti per „Winbox“, nors taip pat sėkmingai tai galima padaryti per konsolę.
Šaltinis: www.habr.com