മൈക്രോയിക്ക്. ക്ലയന്റ് എന്ന നിലയിൽ NAT-ന് പിന്നിൽ IPSEC vpn

എല്ലാവർക്കും ശുഭദിനം!

ഞങ്ങളുടെ കമ്പനിയിൽ കഴിഞ്ഞ രണ്ട് വർഷമായി ഞങ്ങൾ പതുക്കെ മൈക്രോറ്റിക്സിലേക്ക് മാറുകയായിരുന്നു. പ്രധാന നോഡുകൾ CCR1072-ലാണ് നിർമ്മിച്ചിരിക്കുന്നത്, കൂടാതെ ഉപകരണങ്ങളിലെ കമ്പ്യൂട്ടറുകൾക്കുള്ള ലോക്കൽ കണക്ഷൻ പോയിന്റുകൾ ലളിതവുമാണ്. തീർച്ചയായും, IPSEC ടണൽ വഴിയുള്ള നെറ്റ്‌വർക്കുകളുടെ സംയോജനവും ഉണ്ട്, ഈ സാഹചര്യത്തിൽ, സജ്ജീകരണം വളരെ ലളിതവും ബുദ്ധിമുട്ടുകൾ ഉണ്ടാക്കുന്നില്ല, കാരണം നെറ്റ്‌വർക്കിൽ ധാരാളം മെറ്റീരിയലുകൾ ഉണ്ട്. എന്നാൽ ക്ലയന്റുകളുടെ മൊബൈൽ കണക്ഷനിൽ ചില ബുദ്ധിമുട്ടുകൾ ഉണ്ട്, Shrew സോഫ്റ്റ് VPN ക്ലയന്റ് എങ്ങനെ ഉപയോഗിക്കണമെന്ന് നിർമ്മാതാവിന്റെ വിക്കി നിർദ്ദേശിക്കുന്നു (ഈ ക്രമീകരണത്തിൽ എല്ലാം വ്യക്തമാണെന്ന് തോന്നുന്നു) കൂടാതെ 99% റിമോട്ട് ആക്‌സസ് ഉപയോക്താക്കളും ഉപയോഗിക്കുന്നത് ഈ ക്ലയന്റാണ്, കൂടാതെ 1% ഞാനാണ്, ഓരോരുത്തർക്കും ക്ലയന്റിൽ ലോഗിൻ, പാസ്സ്‌വേർഡ് എന്നിവ നൽകുമ്പോൾ ഞാൻ വളരെ മടിയനായിത്തീർന്നു, സോഫയിൽ ഒരു അലസമായ സ്ഥലവും വർക്ക് നെറ്റ്‌വർക്കുകളിലേക്ക് സൗകര്യപ്രദമായ കണക്ഷനും വേണം. ചാരനിറത്തിലുള്ള വിലാസത്തിന് പിന്നിലല്ലാത്ത സാഹചര്യങ്ങൾക്കായി മൈക്രോട്ടിക്ക് കോൺഫിഗർ ചെയ്യുന്നതിനുള്ള നിർദ്ദേശങ്ങൾ ഞാൻ കണ്ടെത്തിയില്ല, പക്ഷേ പൂർണ്ണമായും കറുപ്പിന് പിന്നിലും നെറ്റ്‌വർക്കിലെ നിരവധി NAT-കളും. അതിനാൽ, എനിക്ക് മെച്ചപ്പെടുത്തേണ്ടതുണ്ട്, അതിനാൽ ഫലം നോക്കാൻ ഞാൻ നിർദ്ദേശിക്കുന്നു.

ലഭ്യമാണ്:

1. പ്രധാന ഉപകരണമായി CCR1072. പതിപ്പ് 6.44.1
2. ഹോം കണക്ഷൻ പോയിന്റായി CAP ac. പതിപ്പ് 6.44.1

പ്രധാന 1072 ഇഷ്യൂ ചെയ്യുന്ന ഒരേ വിലാസത്തിൽ പിസിയും മൈക്രോട്ടിക്കും ഒരേ നെറ്റ്‌വർക്കിൽ ആയിരിക്കണം എന്നതാണ് ക്രമീകരണത്തിന്റെ പ്രധാന സവിശേഷത.

നമുക്ക് ക്രമീകരണങ്ങളിലേക്ക് പോകാം:

1. തീർച്ചയായും ഞങ്ങൾ ഫാസ്റ്റ്ട്രാക്ക് ഓണാക്കുന്നു, എന്നാൽ ഫാസ്റ്റ്ട്രാക്ക് vpn-മായി പൊരുത്തപ്പെടാത്തതിനാൽ, ഞങ്ങൾ അതിന്റെ ട്രാഫിക് കുറയ്ക്കേണ്ടതുണ്ട്.

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. വീട്ടിലേക്കും ജോലിസ്ഥലത്തേക്കും നെറ്റ്‌വർക്ക് ഫോർവേഡിംഗ് ചേർക്കുന്നു

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. ഒരു ഉപയോക്തൃ കണക്ഷൻ വിവരണം സൃഷ്ടിക്കുക

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    общий ключ xauth-login=username xauth-password=password

4. ഒരു IPSEC നിർദ്ദേശം സൃഷ്ടിക്കുക

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. ഒരു IPSEC നയം സൃഷ്ടിക്കുക

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. ഒരു IPSEC പ്രൊഫൈൽ സൃഷ്ടിക്കുക

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. ഒരു IPSEC പിയർ സൃഷ്ടിക്കുക

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
    profile_88

ഇപ്പോൾ കുറച്ച് ലളിതമായ മാജിക്. എന്റെ ഹോം നെറ്റ്‌വർക്കിലെ എല്ലാ ഉപകരണങ്ങളിലും ക്രമീകരണങ്ങൾ മാറ്റാൻ ഞാൻ ശരിക്കും ആഗ്രഹിക്കാത്തതിനാൽ, അതേ നെറ്റ്‌വർക്കിൽ എനിക്ക് എങ്ങനെയെങ്കിലും DHCP തൂക്കിയിടേണ്ടി വന്നു, എന്നാൽ ഒരു ബ്രിഡ്ജിൽ ഒന്നിൽ കൂടുതൽ അഡ്രസ് പൂൾ തൂക്കിയിടാൻ Mikrotik നിങ്ങളെ അനുവദിക്കുന്നില്ല എന്നത് ന്യായമാണ്. , അതിനാൽ ഞാൻ ഒരു ലാപ്‌ടോപ്പിനായി ഒരു പരിഹാരമാർഗം കണ്ടെത്തി, മാനുവൽ പാരാമീറ്ററുകൾ ഉപയോഗിച്ച് ഞാൻ DHCP ലീസ് സൃഷ്‌ടിച്ചു, കൂടാതെ നെറ്റ്‌മാസ്‌ക്, ഗേറ്റ്‌വേ, dns എന്നിവയ്ക്കും DHCP-യിൽ ഓപ്‌ഷൻ നമ്പറുകൾ ഉള്ളതിനാൽ, ഞാൻ അവ സ്വമേധയാ വ്യക്തമാക്കി.

1.DHCP ഓപ്ഷനുകൾ

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2.DHCP പാട്ടത്തിന്

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>

അതേ സമയം, 1072 ക്രമീകരണം പ്രായോഗികമായി അടിസ്ഥാനപരമാണ്, ക്രമീകരണങ്ങളിൽ ഒരു ക്ലയന്റിന് ഒരു ഐപി വിലാസം നൽകുമ്പോൾ മാത്രം, പൂളിൽ നിന്നല്ല, സ്വമേധയാ നൽകിയ IP വിലാസം അദ്ദേഹത്തിന് നൽകണമെന്ന് സൂചിപ്പിക്കും. സാധാരണ പിസി ക്ലയന്റുകൾക്ക്, സബ്നെറ്റ് വിക്കി കോൺഫിഗറേഷൻ 192.168.55.0/24 പോലെയാണ്.

മൂന്നാം കക്ഷി സോഫ്റ്റ്വെയർ വഴി പിസിയിലേക്ക് കണക്റ്റുചെയ്യാതിരിക്കാൻ അത്തരമൊരു ക്രമീകരണം നിങ്ങളെ അനുവദിക്കുന്നു, കൂടാതെ ടണൽ തന്നെ റൂട്ടർ ഉപയോഗിച്ച് ആവശ്യാനുസരണം ഉയർത്തുന്നു. ക്ലയന്റ് CAP ac-ന്റെ ലോഡ് ഏതാണ്ട് വളരെ കുറവാണ്, തുരങ്കത്തിൽ 8-11MB / s വേഗതയിൽ 9-10%.

എല്ലാ ക്രമീകരണങ്ങളും വിൻബോക്‌സ് വഴിയാണ് നിർമ്മിച്ചിരിക്കുന്നത്, എന്നിരുന്നാലും അതേ വിജയത്തോടെ ഇത് കൺസോൾ വഴി ചെയ്യാൻ കഴിയും.

അവലംബം: www.habr.com