Mirary tontolo andro sambatra daholo!
Nitranga izany fa tao amin'ny orinasanay tao anatin'ny roa taona lasa dia nivadika tsikelikely tamin'ny Mikrotik izahay. Ny node lehibe dia miorina amin'ny CCR1072, ary ny teboka fifandraisana eo an-toerana ho an'ny solosaina amin'ny fitaovana dia tsotra kokoa. Mazava ho azy fa misy ihany koa ny fampidirana tambajotra amin'ny alàlan'ny tonelina IPSEC, amin'ity tranga ity dia tsotra ny fametrahana ary tsy miteraka fahasarotana, soa ihany fa misy fitaovana be dia be ao amin'ny tambajotra. Saingy misy fahasahiranana sasany amin'ny fifandraisan'ny mpanjifa amin'ny finday, ny wiki mpanamboatra dia milaza aminao ny fomba fampiasana ny mpanjifa Shrew soft VPN (toa mazava ny zava-drehetra mifototra amin'ity toe-javatra ity) ary io mpanjifa io no ampiasain'ny 99% amin'ny fidirana lavitra. mpampiasa, ary ny 1% dia izaho, kamo loatra aho amin'ny olona rehetra Raha vao niditra ny fidirana sy ny tenimiafina tao amin'ny mpanjifa aho dia naniry toerana kamo teo ambony fandriana sy fifandraisana mety amin'ny tambajotra miasa. Tsy nahita toromarika momba ny fametrahana Mikrotik aho ho an'ny toe-javatra izay tsy ao ambadiky ny adiresy volondavenona, fa mainty tanteraka ary mety ho NAT maromaro aza ao amin'ny tambajotra. Noho izany dia tsy maintsy nanao improvise aho, ary noho izany dia manoro hevitra anao aho hijery ny vokatra.
misy:
- CCR1072 no fitaovana lehibe indrindra. dikan-6.44.1
- CAP ac ho toerana fampifandraisana an-trano. dikan-6.44.1
Ny singa fototra amin'ny fametrahana dia ny PC sy Mikrotik dia tsy maintsy ao amin'ny tambajotra iray miaraka amin'ny adiresy mitovy, izay avoaka amin'ny 1072 lehibe.
Andao hiroso amin'ny fandrindrana:
1. Mazava ho azy fa mamela ny Fasttrack izahay, saingy satria tsy mifanaraka amin'ny VPN ny fasttrack, dia tsy maintsy manapaka ny fifamoivoizana izahay.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Ampio ny fampitaovana tambajotra avy any/ho any an-trano sy any am-piasana
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Mamorona famaritana ny fifandraisana amin'ny mpampiasa
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Mamorona tolo-kevitra IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Mamorona Politika IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Mamorona profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Mamorona namana IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Ankehitriny ho an'ny ody tsotra. Koa satria tsy te hanova ny fikandrana amin'ny fitaovana rehetra ao amin'ny tambajotra an-trano aho, dia tsy maintsy nanangana DHCP tamin'ny tambajotra iray ihany aho, saingy azo antoka fa tsy mamela anao hametraka dobo adiresy mihoatra ny iray i Mikrotik. tetezana iray, noho izany dia nahita vahaolana aho, izany hoe ho an'ny solosaina finday dia noforoniko fotsiny ny DHCP Lease miaraka amin'ny famaritana amin'ny tanana ny mari-pamantarana, ary satria ny netmask, gateway & dns koa dia manana isa safidy ao amin'ny DHCP, dia nofaritako tamin'ny tanana izy ireo.
1. DHCP Option
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. DHCP Lease
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Amin'izany fotoana izany, ny fametrahana 1072 dia saika fototra, rehefa mamoaka adiresy IP amin'ny mpanjifa, dia aseho amin'ny toe-javatra fa tokony homena adiresy IP nampidirina tanana izy, fa tsy avy amin'ny dobo. Ho an'ny mpanjifa mahazatra avy amin'ny solosaina manokana, ny subnet dia mitovy amin'ny config miaraka amin'ny Wiki 192.168.55.0/24.
Ity setup ity dia ahafahanao tsy mifandray amin'ny PC-nao amin'ny alàlan'ny rindrambaikon'ny antoko fahatelo, ary ny tonelina mihitsy no atsanganan'ny router raha ilaina. Ny enta-mavesatra amin'ny mpanjifa CAP ac dia saika kely indrindra, 8-11% amin'ny hafainganam-pandeha 9-10MB/s ao amin'ny tonelina.
Ny fanovana rehetra dia natao tamin'ny Winbox, na dia azo atao aza izany amin'ny alàlan'ny console.
Source: www.habr.com