Бүгдэд нь энэ өдрийн мэнд!
Манай компани сүүлийн хоёр жилийн хугацаанд микротик руу аажмаар шилжиж байгаа нь саяхан болсон. Үндсэн зангилаанууд нь CCR1072 дээр бүтээгдсэн бөгөөд төхөөрөмж дээрх компьютеруудын дотоод холболтын цэгүүд илүү хялбар байдаг. Мэдээжийн хэрэг, IPSEC туннелээр дамжуулан сүлжээнүүдийн хослол байдаг бөгөөд энэ тохиолдолд тохиргоо нь маш энгийн бөгөөд сүлжээнд маш олон материал байдаг тул ямар ч хүндрэл учруулахгүй. Гэхдээ үйлчлүүлэгчдийн гар утасны холболтод тодорхой бэрхшээл тулгардаг тул үйлдвэрлэгчийн вики нь Shrew soft VPN клиентийг хэрхэн ашиглахыг хэлж өгдөг (энэ тохиргоонд бүх зүйл тодорхой харагдаж байна) бөгөөд алсын зайнаас хандалтын хэрэглэгчдийн 99% нь энэ үйлчлүүлэгчийг ашигладаг. , мөн 1% нь би, би зүгээр л залхуурсан байсан бөгөөд зүгээр л үйлчлүүлэгчид нэвтрэх болон нууц үгээ оруулаад буйдан дээр залхуу байрлал, ажлын сүлжээнд тохиромжтой холболтыг хүсч байсан. Микротикийг саарал хаягийн ард биш, харин хар хаягийн ард, магадгүй сүлжээн дэх хэд хэдэн NAT-ийн ард байгаа нөхцөлд тохируулах зааврыг би олсонгүй. Тиймээс би импровиз хийх шаардлагатай болсон тул үр дүнг харахыг санал болгож байна.
Боломжтой:
- Үндсэн төхөөрөмжөөр CCR1072. хувилбар 6.44.1
- CAP AC нь гэрийн холболтын цэг юм. хувилбар 6.44.1
Тохиргооны гол онцлог нь PC болон Mikrotik нь үндсэн 1072-ээс гаргасан ижил хаягтай нэг сүлжээнд байх ёстой.
Тохиргоо руу шилжье:
1. Мэдээж бид Fasttrack-г асаадаг, гэхдээ fasttrack нь vpn-д тохирохгүй тул траффикийг нь багасгах хэрэгтэй.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Гэр, ажил руу / руу сүлжээ дамжуулахыг нэмнэ
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Хэрэглэгчийн холболтын тайлбарыг үүсгэ
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. IPSEC-ийн саналыг бий болгох
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. IPSEC бодлогыг бий болгох
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. IPSEC профайлыг үүсгэ
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. IPSEC peer үүсгэ
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Одоо зарим нэг энгийн ид шид. Би гэрийн сүлжээн дэх бүх төхөөрөмжийн тохиргоог өөрчлөхийг үнэхээр хүсээгүй тул DHCP-ийг нэг сүлжээнд өлгөх шаардлагатай болсон ч Mikrotik нь нэг гүүрэн дээр нэгээс олон хаягийн сан өлгөхийг зөвшөөрдөггүй нь үндэслэлтэй юм. , тиймээс би зөөврийн компьютерт зориулсан тойрон гарах арга замыг олсон. Би дөнгөж сая гарын авлагын параметр бүхий DHCP түрээсийг үүсгэсэн бөгөөд сүлжээний маск, гарц, dns нь DHCP-д сонголтын дугаартай тул тэдгээрийг гараар зааж өгсөн.
1.DHCP сонголтууд
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. DHCP түрээс
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Үүний зэрэгцээ, 1072-ыг тохируулах нь бараг л энгийн бөгөөд зөвхөн тохиргоонд үйлчлүүлэгчид IP хаяг өгөхдөө цөөрмөөс биш гараар оруулсан IP хаягийг түүнд өгөх ёстой гэдгийг зааж өгсөн болно. Компьютерийн ердийн үйлчлүүлэгчдийн хувьд дэд сүлжээ нь Wiki тохиргооны 192.168.55.0/24-тэй ижил байна.
Ийм тохиргоо нь гуравдагч талын програм хангамжаар дамжуулан компьютерт холбогдохгүй байх боломжийг олгодог бөгөөд шаардлагатай бол чиглүүлэгч нь хонгилыг өөрөө босгодог. Үйлчлүүлэгчийн CAP хувьсах гүйдлийн ачаалал бараг хамгийн бага, хонгилд 8-11MB / сек хурдтайгаар 9-10% байна.
Бүх тохиргоог Winbox-оор хийсэн боловч ижил амжилттай консолоор дамжуулан хийж болно.
Эх сурвалж: www.habr.com