Mirary tontolo andro sambatra daholo!
Toa tao amin'ny orinasanay, nifindra tsikelikely tamin'ny puce Mikrotik izahay nandritra ny roa taona lasa. Ny nodes lehibe dia naorina tamin'ny CCR1072, raha ny teboka fifandraisana solosaina eo an-toerana kosa dia amin'ny fitaovana tsotra kokoa. Mazava ho azy fa manolotra fampidirana tambajotra amin'ny alàlan'ny tonelina IPSEC ihany koa izahay; amin'ity tranga ity, dia tena tsotra sy mazava ny fametrahana azy, noho ny habetsahan'ny loharano azo jerena an-tserasera. Na izany aza, ny fifandraisana amin'ny mpanjifa finday dia miteraka fanamby sasany; ny wiki an'ny mpanamboatra dia manazava ny fomba fampiasana Shrew soft. VPN mpanjifa (toa mazava tsara ity fametrahana ity), ary ity no mpanjifa ampiasain'ny 99%-n'ny mpampiasa fidirana lavitra, ary izaho no 1% ambiny. Tsy te-hampiditra ny anaranao sy ny tenimiafinao foana aho isaky ny mandeha, ary te-hahazo traikefa milamina kokoa sy mahazo aina kokoa miaraka amin'ny fifandraisana mora amin'ny tambajotra fiasana. Tsy nahita torolàlana momba ny fanamboarana ny Mikrotik aho amin'ny toe-javatra izay tsy ao ambadiky ny adiresy manokana akory, fa ao ambadiky ny adiresy voasokitra tanteraka, ary angamba misy NAT maromaro ao amin'ny tambajotra mihitsy aza. Noho izany dia tsy maintsy nanao zavatra tsy nampoizina aho, ary manoro hevitra anao aho hijery ny valiny.
misy:
- CCR1072 no fitaovana lehibe indrindra. dikan-6.44.1
- CAP ac ho toerana fampifandraisana an-trano. dikan-6.44.1
Ny singa fototra amin'ny fametrahana dia ny PC sy Mikrotik dia tsy maintsy ao amin'ny tambajotra iray miaraka amin'ny adiresy mitovy, izay avoaka amin'ny 1072 lehibe.
Andao hiroso amin'ny fandrindrana:
1. Mazava ho azy fa mamela ny Fasttrack izahay, saingy satria tsy mifanaraka amin'ny VPN ny fasttrack, dia tsy maintsy manapaka ny fifamoivoizana izahay.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Ampio ny fampitaovana tambajotra avy any/ho any an-trano sy any am-piasana
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Mamorona famaritana ny fifandraisana amin'ny mpampiasa
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Mamorona tolo-kevitra IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Mamorona Politika IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Mamorona profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Mamorona namana IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Ankehitriny ho an'ny ody tsotra. Koa satria tsy te hanova ny fikandrana amin'ny fitaovana rehetra ao amin'ny tambajotra an-trano aho, dia tsy maintsy nanangana DHCP tamin'ny tambajotra iray ihany aho, saingy azo antoka fa tsy mamela anao hametraka dobo adiresy mihoatra ny iray i Mikrotik. tetezana iray, noho izany dia nahita vahaolana aho, izany hoe ho an'ny solosaina finday dia noforoniko fotsiny ny DHCP Lease miaraka amin'ny famaritana amin'ny tanana ny mari-pamantarana, ary satria ny netmask, gateway & dns koa dia manana isa safidy ao amin'ny DHCP, dia nofaritako tamin'ny tanana izy ireo.
1. DHCP Option
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. DHCP Lease
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Amin'izany fotoana izany, ny fametrahana 1072 dia saika fototra, rehefa mamoaka adiresy IP amin'ny mpanjifa, dia aseho amin'ny toe-javatra fa tokony homena adiresy IP nampidirina tanana izy, fa tsy avy amin'ny dobo. Ho an'ny mpanjifa mahazatra avy amin'ny solosaina manokana, ny subnet dia mitovy amin'ny config miaraka amin'ny Wiki 192.168.55.0/24.
Ity setup ity dia ahafahanao tsy mifandray amin'ny PC-nao amin'ny alàlan'ny rindrambaikon'ny antoko fahatelo, ary ny tonelina mihitsy no atsanganan'ny router raha ilaina. Ny enta-mavesatra amin'ny mpanjifa CAP ac dia saika kely indrindra, 8-11% amin'ny hafainganam-pandeha 9-10MB/s ao amin'ny tonelina.
Ny fanovana rehetra dia natao tamin'ny Winbox, na dia azo atao aza izany amin'ny alàlan'ny console.
Source: www.habr.com
