Laba diena visiem!
Sagadījās, ka mūsu uzņēmumā pēdējo divu gadu laikā mēs lēnām pārietam uz mikrotiku. Galvenie mezgli ir veidoti uz CCR1072, un ierīču lokālie savienojumu punkti datoriem ir vienkāršāki. Protams, ir arī tīklu kombinācija, izmantojot IPSEC tuneli, šajā gadījumā iestatīšana ir diezgan vienkārša un nerada nekādas grūtības, jo tīklā ir daudz materiālu. Bet ir zināmas grūtības ar klientu mobilo savienojumu, ražotāja wiki stāsta, kā izmantot Shrew soft VPN klientu (šot ar šo iestatījumu viss ir skaidrs), un tieši šo klientu izmanto 99% attālās piekļuves lietotāju. , un 1% esmu es, es vienkārši kļuvu pārāk slinks katrs vienkārši ievadiet lietotājvārdu un paroli klientā un es gribēju slinku atrašanās vietu uz dīvāna un ērtu savienojumu ar darba tīkliem. Neatradu nekādus norādījumus Mikrotik konfigurēšanai situācijām, kad tā atrodas pat nevis aiz pelēkas adreses, bet pilnībā aiz melnas un varbūt pat vairākiem NAT tīklā. Tāpēc man nācās improvizēt, un tāpēc es ierosinu apskatīt rezultātu.
Pieejams:
- CCR1072 kā galvenā ierīce. versija 6.44.1
- CAP maiņstrāva kā mājas savienojuma punkts. versija 6.44.1
Iestatījuma galvenā iezīme ir tāda, ka datoram un Mikrotik ir jāatrodas vienā tīklā ar vienādu adresāciju, ko izsniedz galvenais 1072.
Pāriesim pie iestatījumiem:
1. Protams, mēs ieslēdzam Fasttrack, bet tā kā fasttrack nav saderīgs ar vpn, mums ir jāsamazina tā trafika.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Tīkla pārsūtīšanas pievienošana no/uz mājām un darbu
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Izveidojiet lietotāja savienojuma aprakstu
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Izveidojiet IPSEC priekšlikumu
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Izveidojiet IPSEC politiku
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Izveidojiet IPSEC profilu
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Izveidojiet IPSEC vienādrangu
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Tagad par vienkāršu maģiju. Tā kā es ļoti negribēju mainīt iestatījumus visās mājas tīklā esošajās ierīcēs, man nācās kaut kā piekārt DHCP vienā tīklā, bet tas ir saprātīgi, ka Mikrotik neļauj uz viena tilta piekārt vairāk kā vienu adrešu kopu. , tāpēc es atradu risinājumu, proti, klēpjdatoram, es tikko izveidoju DHCP Lease ar manuāliem parametriem, un, tā kā tīkla maskai, vārtejai un dns ir arī opciju numuri DHCP, es tos norādīju manuāli.
1.DHCP opcijas
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP noma
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Tajā pašā laikā iestatījums 1072 ir praktiski pamata, tikai klientam iestatījumos izsniedzot IP adresi, tiek norādīts, ka viņam ir jādod manuāli ievadītā IP adrese, nevis no kopas. Parastajiem datoru klientiem apakštīkls ir tāds pats kā Wiki konfigurācija 192.168.55.0/24.
Šāds iestatījums ļauj neizveidot savienojumu ar datoru, izmantojot trešās puses programmatūru, un pats tunelis tiek pacelts ar maršrutētāju pēc vajadzības. Klienta CAP maiņstrāvas slodze ir gandrīz minimāla, 8-11% ar ātrumu 9-10 MB / s tunelī.
Visi iestatījumi tika veikti, izmantojot Winbox, lai gan ar tādiem pašiem panākumiem to var izdarīt, izmantojot konsoli.
Avots: www.habr.com