Laba diena visiem!
Sagadījies, ka pēdējo divu gadu laikā mūsu uzņēmumā pakāpeniski pārejam uz Mikrotik mikroshēmām. Galvenie mezgli ir veidoti uz CCR1072, savukārt lokālie datoru pieslēguma punkti atrodas uz vienkāršākām ierīcēm. Protams, mēs piedāvājam arī tīkla integrāciju, izmantojot IPSEC tuneļus; šajā gadījumā iestatīšana ir diezgan vienkārša un saprotama, pateicoties plašajiem tiešsaistes resursiem. Tomēr mobilo klientu savienojumi rada zināmas problēmas; ražotāja wiki lapā ir paskaidrots, kā lietot Shrew programmatūru. VPN klients (šī iestatīšana šķiet pašsaprotama), un šo klientu izmanto 99% attālās piekļuves lietotāju, bet atlikušo 1% esmu es. Es vienkārši nevarēju apgrūtināt sevi ar pieteikšanās un paroles ievadīšanu katru reizi, un es vēlējos mierīgāku, ērtāku pieredzi ar ērtiem savienojumiem ar darba tīkliem. Es neatradu nekādas instrukcijas par Mikrotik konfigurēšanu situācijām, kad tas atrodas nevis aiz privātas adreses, bet gan aiz pilnīgi melnajā sarakstā iekļautas adreses, un varbūt pat ar vairākiem NAT tīklā. Tāpēc man nācās improvizēt, un iesaku jums aplūkot rezultātus.
Pieejams:
- CCR1072 kā galvenā ierīce. versija 6.44.1
- CAP maiņstrāva kā mājas savienojuma punkts. versija 6.44.1
Iestatījuma galvenā iezīme ir tāda, ka datoram un Mikrotik ir jāatrodas vienā tīklā ar vienādu adresāciju, ko izsniedz galvenais 1072.
Pāriesim pie iestatījumiem:
1. Protams, mēs ieslēdzam Fasttrack, bet tā kā fasttrack nav saderīgs ar vpn, mums ir jāsamazina tā trafika.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Tīkla pārsūtīšanas pievienošana no/uz mājām un darbu
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Izveidojiet lietotāja savienojuma aprakstu
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Izveidojiet IPSEC priekšlikumu
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Izveidojiet IPSEC politiku
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Izveidojiet IPSEC profilu
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Izveidojiet IPSEC vienādrangu
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Tagad par vienkāršu maģiju. Tā kā es ļoti negribēju mainīt iestatījumus visās mājas tīklā esošajās ierīcēs, man nācās kaut kā piekārt DHCP vienā tīklā, bet tas ir saprātīgi, ka Mikrotik neļauj uz viena tilta piekārt vairāk kā vienu adrešu kopu. , tāpēc es atradu risinājumu, proti, klēpjdatoram, es tikko izveidoju DHCP Lease ar manuāliem parametriem, un, tā kā tīkla maskai, vārtejai un dns ir arī opciju numuri DHCP, es tos norādīju manuāli.
1.DHCP opcijas
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP noma
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Tajā pašā laikā iestatījums 1072 ir praktiski pamata, tikai klientam iestatījumos izsniedzot IP adresi, tiek norādīts, ka viņam ir jādod manuāli ievadītā IP adrese, nevis no kopas. Parastajiem datoru klientiem apakštīkls ir tāds pats kā Wiki konfigurācija 192.168.55.0/24.
Šāds iestatījums ļauj neizveidot savienojumu ar datoru, izmantojot trešās puses programmatūru, un pats tunelis tiek pacelts ar maršrutētāju pēc vajadzības. Klienta CAP maiņstrāvas slodze ir gandrīz minimāla, 8-11% ar ātrumu 9-10 MB / s tunelī.
Visi iestatījumi tika veikti, izmantojot Winbox, lai gan ar tādiem pašiem panākumiem to var izdarīt, izmantojot konsoli.
Avots: www.habr.com
