рд╕рд░реНрд╡рд╛рдВрдирд╛ рд╢реБрдн рджрд┐рди!
рдЖрдордЪреНрдпрд╛ рдХрдВрдкрдиреАрдд рдЧреЗрд▓реНрдпрд╛ рджреЛрди рд╡рд░реНрд╖рд╛рдВрдкрд╛рд╕реВрди рдЖрдореНрд╣реА рд╣рд│реВрд╣рд│реВ Mikrotik рдЪрд┐рдкреНрд╕рдХрдбреЗ рд╡рд│рдд рдЖрд╣реЛрдд. рдореБрдЦреНрдп рдиреЛрдбреНрд╕ CCR1072 рд╡рд░ рдмрд╛рдВрдзрд▓реЗ рдЖрд╣реЗрдд, рддрд░ рд╕реНрдерд╛рдирд┐рдХ рд╕рдВрдЧрдгрдХ рдХрдиреЗрдХреНрд╢рди рдкреЙрдЗрдВрдЯреНрд╕ рд╕реЛрдкреНрдпрд╛ рдЙрдкрдХрд░рдгрд╛рдВрд╡рд░ рдЖрд╣реЗрдд. рдЕрд░реНрдерд╛рдд, рдЖрдореНрд╣реА IPSEC рдмреЛрдЧрджреНрдпрд╛рдВрджреНрд╡рд╛рд░реЗ рдиреЗрдЯрд╡рд░реНрдХ рдПрдХрддреНрд░реАрдХрд░рдг рджреЗрдЦреАрд▓ рджреЗрддреЛ; рдпрд╛ рдкреНрд░рдХрд░рдгрд╛рдд, рдСрдирд▓рд╛рдЗрди рдЙрдкрд▓рдмреНрдз рдЕрд╕рд▓реЗрд▓реНрдпрд╛ рд╕рдВрд╕рд╛рдзрдирд╛рдВрдЪреНрдпрд╛ рд╡рд┐рдкреБрд▓рддреЗрдореБрд│реЗ рд╕реЗрдЯрдЕрдк рдЕрдЧрджреА рд╕реЛрдкреЗ рдЖрдгрд┐ рд╕рд░рд│ рдЖрд╣реЗ. рддрдерд╛рдкрд┐, рдореЛрдмрд╛рдЗрд▓ рдХреНрд▓рд╛рдпрдВрдЯ рдХрдиреЗрдХреНрд╢рди рдХрд╛рд╣реА рдЖрд╡реНрд╣рд╛рдиреЗ рд╕рд╛рджрд░ рдХрд░рддрд╛рдд; рдирд┐рд░реНрдорд╛рддреНрдпрд╛рдЪреНрдпрд╛ рд╡рд┐рдХреАрдордзреНрдпреЗ рд╢реНрд░реВ рд╕реЙрдлреНрдЯ рдХрд╕реЗ рд╡рд╛рдкрд░рд╛рдпрдЪреЗ рддреЗ рд╕реНрдкрд╖реНрдЯ рдХреЗрд▓реЗ рдЖрд╣реЗ. рд╡реНрд╣реАрдкреАрдПрди рдХреНрд▓рд╛рдпрдВрдЯ (рд╣реА рд╕реЗрдЯрдЕрдк рд╕реНрд╡рддрдГрдЪ рд╕реНрдкрд╖реНрдЯ рджрд┐рд╕рддреЗ), рдЖрдгрд┐ рд╣рд╛ рдХреНрд▓рд╛рдпрдВрдЯ репреп% рд░рд┐рдореЛрдЯ рдЕреЕрдХреНрд╕реЗрд╕ рд╡рд╛рдкрд░рдХрд░реНрддреЗ рд╡рд╛рдкрд░рддрд╛рдд рдЖрдгрд┐ рдЙрд░реНрд╡рд░рд┐рдд рез% рдореАрдЪ рдЖрд╣реЗ. рдорд▓рд╛ рджрд░рд╡реЗрд│реА рдорд╛рдЭрд╛ рд▓реЙрдЧрд┐рди рдЖрдгрд┐ рдкрд╛рд╕рд╡рд░реНрдб рдЯрд╛рдХрдгреНрдпрд╛рдЪреА рддрд╕рджреА рдШреЗрддрд╛ рдпреЗрдд рдирд╡реНрд╣рддреА рдЖрдгрд┐ рдорд▓рд╛ рдХрд╛рдорд╛рдЪреНрдпрд╛ рдиреЗрдЯрд╡рд░реНрдХрд╢реА рд╕реЛрдпреАрд╕реНрдХрд░ рдХрдиреЗрдХреНрд╢рдирд╕рд╣ рдЕрдзрд┐рдХ рдЖрд░рд╛рдорджрд╛рдпреА, рдЕрдзрд┐рдХ рдЖрд░рд╛рдорджрд╛рдпреА рдХрд╛рдЙрдЪ рдкреЛрдЯрд╛ рдЕрдиреБрднрд╡ рд╣рд╡рд╛ рд╣реЛрддрд╛. рдЕрд╢рд╛ рдкрд░рд┐рд╕реНрдерд┐рддреАрдд рдЬрд┐рдереЗ рддреЗ рдЦрд╛рдЬрдЧреА рдкрддреНрддреНрдпрд╛рдЪреНрдпрд╛ рдорд╛рдЧреЗ рдирд╛рд╣реА рддрд░ рдкреВрд░реНрдгрдкрдгреЗ рдмреНрд▓реЕрдХрд▓рд┐рд╕реНрдЯ рдХреЗрд▓реЗрд▓реНрдпрд╛ рдкрддреНрддреНрдпрд╛рдЪреНрдпрд╛ рдорд╛рдЧреЗ рдЖрд╣реЗ рдЖрдгрд┐ рдХрджрд╛рдЪрд┐рдд рдиреЗрдЯрд╡рд░реНрдХрд╡рд░ рдЕрдиреЗрдХ NATs рдЖрд╣реЗрдд рдЕрд╢рд╛ рдкрд░рд┐рд╕реНрдерд┐рддреАрдд Mikrotik рдХреЙрдиреНрдлрд┐рдЧрд░ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА рдорд▓рд╛ рдХреЛрдгрддреНрдпрд╛рд╣реА рд╕реВрдЪрдирд╛ рд╕рд╛рдкрдбрд▓реНрдпрд╛ рдирд╛рд╣реАрдд. рдореНрд╣рдгреВрди рдорд▓рд╛ рд╕реБрдзрд╛рд░рдгрд╛ рдХрд░рд╛рд╡реА рд▓рд╛рдЧрд▓реА рдЖрдгрд┐ рдореА рддреБрдореНрд╣рд╛рд▓рд╛ рдирд┐рдХрд╛рд▓рд╛рдВрд╡рд░ рдПрдХ рдирдЬрд░ рдЯрд╛рдХрдгреНрдпрд╛рдЪрд╛ рд╕рд▓реНрд▓рд╛ рджреЗрддреЛ.
рдЙрдкрд▓рдмреНрдз:
- CCR1072 рдореБрдЦреНрдп рд╕рд╛рдзрди рдореНрд╣рдгреВрди. рдЖрд╡реГрддреНрддреА 6.44.1
- CAP ac рд╣реЛрдо рдХрдиреЗрдХреНрд╢рди рдкреЙрдЗрдВрдЯ рдореНрд╣рдгреВрди. рдЖрд╡реГрддреНрддреА 6.44.1
рд╕реЗрдЯрдЕрдкрдЪреЗ рдореБрдЦреНрдп рд╡реИрд╢рд┐рд╖реНрдЯреНрдп рдореНрд╣рдгрдЬреЗ PC рдЖрдгрд┐ Mikrotik рдПрдХрд╛рдЪ рдЕреЕрдбреНрд░реЗрд╕рд┐рдВрдЧрд╕рд╣ рдПрдХрд╛рдЪ рдиреЗрдЯрд╡рд░реНрдХрд╡рд░ рдЕрд╕рдгреЗ рдЖрд╡рд╢реНрдпрдХ рдЖрд╣реЗ, рдЬреЗ рдореБрдЦреНрдп 1072 рд▓рд╛ рдЬрд╛рд░реА рдХреЗрд▓реЗ рдЬрд╛рддреЗ.
рдЪрд▓рд╛ рд╕реЗрдЯрд┐рдВрдЧреНрдЬ рд╡рд░ рдЬрд╛рдКрдпрд╛:
1. рдЕрд░реНрдерд╛рдд, рдЖрдореНрд╣реА рдлрд╛рд╕реНрдЯрдЯреНрд░реЕрдХ рд╕рдХреНрд╖рдо рдХрд░рддреЛ, рдкрд░рдВрддреБ рдлрд╛рд╕реНрдЯрдЯреНрд░реЕрдХ VPN рд╢реА рд╕реБрд╕рдВрдЧрдд рдирд╕рд▓реНрдпрд╛рдореБрд│реЗ, рдЖрдореНрд╣рд╛рд▓рд╛ рддреНрдпрд╛рдЪреА рд░рд╣рджрд╛рд░реА рдХрдореА рдХрд░рд╛рд╡реА рд▓рд╛рдЧреЗрд▓.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. рдШрд░рд╛рдкрд╛рд╕реВрди/рдХрд╛рд░реНрдпрд╛рд▓рдпрд╛рдкрд░реНрдпрдВрдд рдиреЗрдЯрд╡рд░реНрдХ рдлреЙрд░рд╡рд░реНрдбрд┐рдВрдЧ рдЬреЛрдбрд╛
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. рд╡рд╛рдкрд░рдХрд░реНрддрд╛ рдХрдиреЗрдХреНрд╢рди рд╡рд░реНрдгрди рддрдпрд╛рд░ рдХрд░рд╛
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
╨╛╨▒╤Й╨╕╨╣ ╨║╨╗╤О╤З xauth-login=username xauth-password=password
4. рдПрдХ IPSEC рдкреНрд░рд╕реНрддрд╛рд╡ рддрдпрд╛рд░ рдХрд░рд╛
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. рдПрдХ IPSEC рдзреЛрд░рдг рддрдпрд╛рд░ рдХрд░рд╛
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. рдПрдХ IPSEC рдкреНрд░реЛрдлрд╛рдЗрд▓ рддрдпрд╛рд░ рдХрд░рд╛
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. рдПрдХ IPSEC рдкреАрдЕрд░ рддрдпрд╛рд░ рдХрд░рд╛
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<╨▓╨░╤И ╨░╨┤╤А╨╡╤Б ╤А╨╛╤Г╤В╨╡╤А╨░> name=CO profile=
profile_88
рдЖрддрд╛ рдХрд╛рд╣реА рд╕рд╛рдзреНрдпрд╛ рдЬрд╛рджреВрд╕рд╛рдареА. рдорд▓рд╛ рд╣реЛрдо рдиреЗрдЯрд╡рд░реНрдХрд╡рд░реАрд▓ рд╕рд░реНрд╡ рдбрд┐рд╡реНрд╣рд╛рдЗрд╕реЗрд╕рд╡рд░реАрд▓ рд╕реЗрдЯрд┐рдВрдЧреНрдЬ рдмрджрд▓рдгреНрдпрд╛рдЪреА рдЗрдЪреНрдЫрд╛ рдирд╕рд▓реНрдпрд╛рдореБрд│реЗ, рдорд▓рд╛ рддреНрдпрд╛рдЪ рдиреЗрдЯрд╡рд░реНрдХрд╡рд░ DHCP рд╕реЗрдЯ рдХрд░рд╛рд╡реЗ рд▓рд╛рдЧрд▓реЗ, рдкрд░рдВрддреБ рд╣реЗ рд╡рд╛рдЬрд╡реА рдЖрд╣реЗ рдХреА Mikrotik рддреБрдореНрд╣рд╛рд▓рд╛ рдПрдХрд╛рдкреЗрдХреНрд╖рд╛ рдЬрд╛рд╕реНрдд рдЕреЕрдбреНрд░реЗрд╕ рдкреВрд▓ рд╕реЗрдЯ рдХрд░рдгреНрдпрд╛рдЪреА рдкрд░рд╡рд╛рдирдЧреА рджреЗрдд тАЛтАЛтАЛтАЛрдирд╛рд╣реА. рдПрдХ рдмреНрд░рд┐рдЬ, рдореНрд╣рдгреВрди рдорд▓рд╛ рдПрдХ рдЙрдкрд╛рдп рд╕рд╛рдкрдбрд▓рд╛, рдореНрд╣рдгрдЬреЗ рд▓реЕрдкрдЯреЙрдкрд╕рд╛рдареА рдореА рдлрдХреНрдд рдкреЕрд░рд╛рдореАрдЯрд░реНрд╕ рдореЕрдиреНрдпреБрдЕрд▓реА рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░реВрди DHCP рд▓реАрдЬ рддрдпрд╛рд░ рдХреЗрд▓реА рдЖрдгрд┐ рдиреЗрдЯрдорд╛рд╕реНрдХ, рдЧреЗрдЯрд╡реЗ рдЖрдгрд┐ рдбреАрдПрдирдПрд╕рдордзреНрдпреЗ рджреЗрдЦреАрд▓ DHCP рдордзреНрдпреЗ рдкрд░реНрдпрд╛рдп рдХреНрд░рдорд╛рдВрдХ рдЕрд╕рд▓реНрдпрд╛рдиреЗ, рдореА рддреЗ рд╡реНрдпрдХреНрддрд┐рдЪрд▓рд┐рддрдкрдгреЗ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХреЗрд▓реЗ.
1.DHCP рдкрд░реНрдпрд╛рдп
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP рд▓реАрдЬ
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC ╨░╨┤╤А╨╡╤Б ╨╜╨╛╤Г╤В╨▒╤Г╨║╨░>
рддреНрдпрд╛рдЪ рд╡реЗрд│реА, 1072 рд╕реЗрдЯ рдХрд░рдгреЗ рд╡реНрдпрд╛рд╡рд╣рд╛рд░рд┐рдХрджреГрд╖реНрдЯреНрдпрд╛ рдореВрд▓рднреВрдд рдЖрд╣реЗ, рдХреЗрд╡рд│ рдХреНрд▓рд╛рдпрдВрдЯрд▓рд╛ IP рдкрддреНрддрд╛ рдЬрд╛рд░реА рдХрд░рддрд╛рдирд╛, рддреЛ рд╕реЗрдЯрд┐рдВрдЧреНрдЬрдордзреНрдпреЗ рд╕реВрдЪрд┐рдд рдХреЗрд▓рд╛ рдЬрд╛рддреЛ рдХреА рддреЛ рд╕реНрд╡рд╣рд╕реНрддреЗ рдкреНрд░рд╡рд┐рд╖реНрдЯ рдХреЗрд▓реЗрд▓рд╛ IP рдкрддреНрддрд╛ рджрд┐рд▓рд╛ рдкрд╛рд╣рд┐рдЬреЗ, рдЖрдгрд┐ рдкреВрд▓рдордзреВрди рдирд╛рд╣реА. рд╡реИрдпрдХреНрддрд┐рдХ рд╕рдВрдЧрдгрдХрд╛рд╡рд░реАрд▓ рдирд┐рдпрдорд┐рдд рдЧреНрд░рд╛рд╣рдХрд╛рдВрд╕рд╛рдареА, рд╕рдмрдиреЗрдЯ рд╡рд┐рдХреА 192.168.55.0/24 рд╕рд╣ рдХреЙрдиреНрдлрд┐рдЧрд░реЗрд╢рди рдкреНрд░рдорд╛рдгреЗрдЪ рдЖрд╣реЗ.
рд╣рд╛ рд╕реЗрдЯрдЕрдк рддреБрдореНрд╣рд╛рд▓рд╛ рдерд░реНрдб-рдкрд╛рд░реНрдЯреА рд╕реЙрдлреНрдЯрд╡реЗрдЕрд░рджреНрд╡рд╛рд░реЗ рддреБрдордЪреНрдпрд╛ PC рд╢реА рдХрдиреЗрдХреНрдЯ рди рдХрд░рдгреНрдпрд╛рдЪреА рдкрд░рд╡рд╛рдирдЧреА рджреЗрддреЛ рдЖрдгрд┐ рдЖрд╡рд╢реНрдпрдХрддреЗрдиреБрд╕рд╛рд░ рд░рд╛рдЙрдЯрд░рджреНрд╡рд╛рд░реЗ рдмреЛрдЧрджрд╛ рд╕реНрд╡рддрдГ рдЙрднрд╛ рдХреЗрд▓рд╛ рдЬрд╛рддреЛ. рдХреНрд▓рд╛рдпрдВрдЯ CAP ac рд╡рд░ рдмреЛрдЧрджреНрдпрд╛рдд 8-11MB/s рдЪреНрдпрд╛ рд╡реЗрдЧрд╛рдиреЗ 9-10% рднрд╛рд░ рдЬрд╡рд│рдЬрд╡рд│ рдХрд┐рдорд╛рди рдЖрд╣реЗ.
рд╕рд░реНрд╡ рд╕реЗрдЯрд┐рдВрдЧреНрдЬ Winbox рджреНрд╡рд╛рд░реЗ рдХреЗрд▓реНрдпрд╛ рдЧреЗрд▓реНрдпрд╛ рд╣реЛрддреНрдпрд╛, рдЬрд░реА рддреЗ рдХрдиреНрд╕реЛрд▓рджреНрд╡рд╛рд░реЗ рджреЗрдЦреАрд▓ рдХреЗрд▓реЗ рдЬрд╛рдК рд╢рдХрддреЗ.
рд╕реНрддреНрд░реЛрдд: www.habr.com
