рдкреНрд░реЛрд╣реЛрд╕реНрдЯрд░ > ╨С╨╗╨╛╨│ > рдкреНрд░рд╢рд╛рд╕рди > Mikroik. рдЧреНрд░рд╛рд╣рдХ рдореНрд╣рдгреВрди NAT рдЪреНрдпрд╛ рдорд╛рдЧреЗ IPSEC vpn

Mikroik. рдЧреНрд░рд╛рд╣рдХ рдореНрд╣рдгреВрди NAT рдЪреНрдпрд╛ рдорд╛рдЧреЗ IPSEC vpn

рд╕рд░реНрд╡рд╛рдВрдирд╛ рд╢реБрдн рджрд┐рди!

рдЕрд╕реЗ рдЭрд╛рд▓реЗ рдХреА рдЧреЗрд▓реНрдпрд╛ рджреЛрди рд╡рд░реНрд╖рд╛рдВрдд рдЖрдордЪреНрдпрд╛ рдХрдВрдкрдиреАрдд рдЖрдореНрд╣реА рд╣рд│реВрд╣рд│реВ Mikrotik рд╡рд░ рд╕реНрд╡рд┐рдЪ рдХрд░рдд рдЖрд╣реЛрдд. рдореБрдЦреНрдп рдиреЛрдбреНрд╕ CCR1072 рд╡рд░ рддрдпрд╛рд░ рдХреЗрд▓реЗ рдЖрд╣реЗрдд, рдЖрдгрд┐ рдбрд┐рд╡реНрд╣рд╛рдЗрд╕реЗрд╕рд╡рд░реАрд▓ рд╕рдВрдЧрдгрдХрд╛рдВрд╕рд╛рдареА рд╕реНрдерд╛рдирд┐рдХ рдХрдиреЗрдХреНрд╢рди рдмрд┐рдВрджреВ рд╕реЛрдкреЗ рдЖрд╣реЗрдд. рдЕрд░реНрдерд╛рдд, IPSEC рдмреЛрдЧрджреНрдпрд╛рджреНрд╡рд╛рд░реЗ рдиреЗрдЯрд╡рд░реНрдХрдЪреЗ рдПрдХрддреНрд░реАрдХрд░рдг рджреЗрдЦреАрд▓ рдЖрд╣реЗ, рдпрд╛ рдкреНрд░рдХрд░рдгрд╛рдд рд╕реЗрдЯрдЕрдк рдЕрдЧрджреА рд╕реЛрдкрд╛ рдЖрд╣реЗ рдЖрдгрд┐ рдХреЛрдгрддреНрдпрд╛рд╣реА рдЕрдбрдЪрдгреА рдирд┐рд░реНрдорд╛рдг рдХрд░рдд рдирд╛рд╣реА, рд╕реБрджреИрд╡рд╛рдиреЗ рдиреЗрдЯрд╡рд░реНрдХрд╡рд░ рднрд░рдкреВрд░ рд╕рд╛рдордЧреНрд░реА рдЖрд╣реЗ. рдкрд░рдВрддреБ рдХреНрд▓рд╛рдпрдВрдЯрдЪреНрдпрд╛ рдореЛрдмрд╛рдЗрд▓ рдХрдиреЗрдХреНрд╢рдирдордзреНрдпреЗ рдХрд╛рд╣реА рдЕрдбрдЪрдгреА рдЖрд╣реЗрдд, рдирд┐рд░реНрдорд╛рддреНрдпрд╛рдЪреЗ рд╡рд┐рдХреА рддреБрдореНрд╣рд╛рд▓рд╛ рд╢реНрд░реВ рд╕реЙрдлреНрдЯ рд╡реНрд╣реАрдкреАрдПрди рдХреНрд▓рд╛рдпрдВрдЯ рдХрд╕реЗ рд╡рд╛рдкрд░рд╛рдпрдЪреЗ рддреЗ рд╕рд╛рдВрдЧрддреЗ (рдпрд╛ рд╕реЗрдЯрд┐рдВрдЧрдЪреНрдпрд╛ рдЖрдзрд╛рд░реЗ рд╕рд░реНрд╡ рдХрд╛рд╣реА рд╕реНрдкрд╖реНрдЯ рджрд┐рд╕рддреЗ) рдЖрдгрд┐ рд╣рд╛ рдХреНрд▓рд╛рдпрдВрдЯ рдЖрд╣реЗ рдЬреЛ 99% рд░рд┐рдореЛрдЯ рдНрдХреНрд╕реЗрд╕рджреНрд╡рд╛рд░реЗ рд╡рд╛рдкрд░рд▓рд╛ рдЬрд╛рддреЛ. рд╡рд╛рдкрд░рдХрд░реНрддреЗ, рдЖрдгрд┐ 1% рдореА рдЖрд╣реЗ, рдореА рдкреНрд░рддреНрдпреЗрдХрдЬрдг рдЦреВрдк рдЖрд│рд╢реА рдЖрд╣реЗ рдПрдХрджрд╛ рдореА рдХреНрд▓рд╛рдпрдВрдЯрдордзреНрдпреЗ рдорд╛рдЭреЗ рд▓реЙрдЧрд┐рди рдЖрдгрд┐ рдкрд╛рд╕рд╡рд░реНрдб рдкреНрд░рд╡рд┐рд╖реНрдЯ рдХреЗрд▓реНрдпрд╛рдирдВрддрд░, рдорд▓рд╛ рдкрд▓рдВрдЧрд╛рд╡рд░ рдПрдХ рдЖрд│рд╢реА рд╕реНрдерд┐рддреА рдЖрдгрд┐ рдХрд╛рд░реНрдп рдиреЗрдЯрд╡рд░реНрдХрд╢реА рд╕реЛрдпреАрд╕реНрдХрд░ рдХрдиреЗрдХреНрд╢рди рд╣рд╡реЗ рд╣реЛрддреЗ. рдорд▓рд╛ рдЕрд╢рд╛ рдкрд░рд┐рд╕реНрдерд┐рддреАрдВрд╕рд╛рдареА Mikrotik рд╕реЗрдЯ рдХрд░рдгреНрдпрд╛рдЪреНрдпрд╛ рд╕реВрдЪрдирд╛ рд╕рд╛рдкрдбрд▓реНрдпрд╛ рдирд╛рд╣реАрдд рдЬреЗрдереЗ рддреЗ рд░рд╛рдЦрд╛рдбреА рдкрддреНрддреНрдпрд╛рдЪреНрдпрд╛ рдорд╛рдЧреЗрд╣реА рдирд╛рд╣реА, рдкрд░рдВрддреБ рдкреВрд░реНрдгрдкрдгреЗ рдХрд╛рд│реЗ рдЖрдгрд┐ рдХрджрд╛рдЪрд┐рдд рдиреЗрдЯрд╡рд░реНрдХрд╡рд░реАрд▓ рдЕрдиреЗрдХ NATs. рдореНрд╣рдгреВрди, рдорд▓рд╛ рд╕реБрдзрд╛рд░рдгрд╛ рдХрд░рд╛рд╡реА рд▓рд╛рдЧрд▓реА рдЖрдгрд┐ рдореНрд╣рдгреВрди рдореА рддреБрдореНрд╣рд╛рд▓рд╛ рдирд┐рдХрд╛рд▓ рдкрд╛рд╣рдгреНрдпрд╛рдЪрд╛ рд╕рд▓реНрд▓рд╛ рджреЗрддреЛ.

рдЙрдкрд▓рдмреНрдз:

  1. CCR1072 рдореБрдЦреНрдп рд╕рд╛рдзрди рдореНрд╣рдгреВрди. рдЖрд╡реГрддреНрддреА 6.44.1
  2. CAP ac рд╣реЛрдо рдХрдиреЗрдХреНрд╢рди рдкреЙрдЗрдВрдЯ рдореНрд╣рдгреВрди. рдЖрд╡реГрддреНрддреА 6.44.1

рд╕реЗрдЯрдЕрдкрдЪреЗ рдореБрдЦреНрдп рд╡реИрд╢рд┐рд╖реНрдЯреНрдп рдореНрд╣рдгрдЬреЗ PC рдЖрдгрд┐ Mikrotik рдПрдХрд╛рдЪ рдЕреЕрдбреНрд░реЗрд╕рд┐рдВрдЧрд╕рд╣ рдПрдХрд╛рдЪ рдиреЗрдЯрд╡рд░реНрдХрд╡рд░ рдЕрд╕рдгреЗ рдЖрд╡рд╢реНрдпрдХ рдЖрд╣реЗ, рдЬреЗ рдореБрдЦреНрдп 1072 рд▓рд╛ рдЬрд╛рд░реА рдХреЗрд▓реЗ рдЬрд╛рддреЗ.

рдЪрд▓рд╛ рд╕реЗрдЯрд┐рдВрдЧреНрдЬ рд╡рд░ рдЬрд╛рдКрдпрд╛:

1. рдЕрд░реНрдерд╛рдд, рдЖрдореНрд╣реА рдлрд╛рд╕реНрдЯрдЯреНрд░реЕрдХ рд╕рдХреНрд╖рдо рдХрд░рддреЛ, рдкрд░рдВрддреБ рдлрд╛рд╕реНрдЯрдЯреНрд░реЕрдХ VPN рд╢реА рд╕реБрд╕рдВрдЧрдд рдирд╕рд▓реНрдпрд╛рдореБрд│реЗ, рдЖрдореНрд╣рд╛рд▓рд╛ рддреНрдпрд╛рдЪреА рд░рд╣рджрд╛рд░реА рдХрдореА рдХрд░рд╛рд╡реА рд▓рд╛рдЧреЗрд▓.

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. рдШрд░рд╛рдкрд╛рд╕реВрди/рдХрд╛рд░реНрдпрд╛рд▓рдпрд╛рдкрд░реНрдпрдВрдд рдиреЗрдЯрд╡рд░реНрдХ рдлреЙрд░рд╡рд░реНрдбрд┐рдВрдЧ рдЬреЛрдбрд╛

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. рд╡рд╛рдкрд░рдХрд░реНрддрд╛ рдХрдиреЗрдХреНрд╢рди рд╡рд░реНрдгрди рддрдпрд╛рд░ рдХрд░рд╛

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    ╨╛╨▒╤Й╨╕╨╣ ╨║╨╗╤О╤З xauth-login=username xauth-password=password

4. рдПрдХ IPSEC рдкреНрд░рд╕реНрддрд╛рд╡ рддрдпрд╛рд░ рдХрд░рд╛

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. рдПрдХ IPSEC рдзреЛрд░рдг рддрдпрд╛рд░ рдХрд░рд╛

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. рдПрдХ IPSEC рдкреНрд░реЛрдлрд╛рдЗрд▓ рддрдпрд╛рд░ рдХрд░рд╛

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. рдПрдХ IPSEC рдкреАрдЕрд░ рддрдпрд╛рд░ рдХрд░рд╛

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<╨▓╨░╤И ╨░╨┤╤А╨╡╤Б ╤А╨╛╤Г╤В╨╡╤А╨░> name=CO profile=
    profile_88

рдЖрддрд╛ рдХрд╛рд╣реА рд╕рд╛рдзреНрдпрд╛ рдЬрд╛рджреВрд╕рд╛рдареА. рдорд▓рд╛ рд╣реЛрдо рдиреЗрдЯрд╡рд░реНрдХрд╡рд░реАрд▓ рд╕рд░реНрд╡ рдбрд┐рд╡реНрд╣рд╛рдЗрд╕реЗрд╕рд╡рд░реАрд▓ рд╕реЗрдЯрд┐рдВрдЧреНрдЬ рдмрджрд▓рдгреНрдпрд╛рдЪреА рдЗрдЪреНрдЫрд╛ рдирд╕рд▓реНрдпрд╛рдореБрд│реЗ, рдорд▓рд╛ рддреНрдпрд╛рдЪ рдиреЗрдЯрд╡рд░реНрдХрд╡рд░ DHCP рд╕реЗрдЯ рдХрд░рд╛рд╡реЗ рд▓рд╛рдЧрд▓реЗ, рдкрд░рдВрддреБ рд╣реЗ рд╡рд╛рдЬрд╡реА рдЖрд╣реЗ рдХреА Mikrotik рддреБрдореНрд╣рд╛рд▓рд╛ рдПрдХрд╛рдкреЗрдХреНрд╖рд╛ рдЬрд╛рд╕реНрдд рдЕреЕрдбреНрд░реЗрд╕ рдкреВрд▓ рд╕реЗрдЯ рдХрд░рдгреНрдпрд╛рдЪреА рдкрд░рд╡рд╛рдирдЧреА рджреЗрдд тАЛтАЛтАЛтАЛрдирд╛рд╣реА. рдПрдХ рдмреНрд░рд┐рдЬ, рдореНрд╣рдгреВрди рдорд▓рд╛ рдПрдХ рдЙрдкрд╛рдп рд╕рд╛рдкрдбрд▓рд╛, рдореНрд╣рдгрдЬреЗ рд▓реЕрдкрдЯреЙрдкрд╕рд╛рдареА рдореА рдлрдХреНрдд рдкреЕрд░рд╛рдореАрдЯрд░реНрд╕ рдореЕрдиреНрдпреБрдЕрд▓реА рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд░реВрди DHCP рд▓реАрдЬ рддрдпрд╛рд░ рдХреЗрд▓реА рдЖрдгрд┐ рдиреЗрдЯрдорд╛рд╕реНрдХ, рдЧреЗрдЯрд╡реЗ рдЖрдгрд┐ рдбреАрдПрдирдПрд╕рдордзреНрдпреЗ рджреЗрдЦреАрд▓ DHCP рдордзреНрдпреЗ рдкрд░реНрдпрд╛рдп рдХреНрд░рдорд╛рдВрдХ рдЕрд╕рд▓реНрдпрд╛рдиреЗ, рдореА рддреЗ рд╡реНрдпрдХреНрддрд┐рдЪрд▓рд┐рддрдкрдгреЗ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХреЗрд▓реЗ.

1.DHCP рдкрд░реНрдпрд╛рдп

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2.DHCP рд▓реАрдЬ

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC ╨░╨┤╤А╨╡╤Б ╨╜╨╛╤Г╤В╨▒╤Г╨║╨░>

рддреНрдпрд╛рдЪ рд╡реЗрд│реА, 1072 рд╕реЗрдЯ рдХрд░рдгреЗ рд╡реНрдпрд╛рд╡рд╣рд╛рд░рд┐рдХрджреГрд╖реНрдЯреНрдпрд╛ рдореВрд▓рднреВрдд рдЖрд╣реЗ, рдХреЗрд╡рд│ рдХреНрд▓рд╛рдпрдВрдЯрд▓рд╛ IP рдкрддреНрддрд╛ рдЬрд╛рд░реА рдХрд░рддрд╛рдирд╛, рддреЛ рд╕реЗрдЯрд┐рдВрдЧреНрдЬрдордзреНрдпреЗ рд╕реВрдЪрд┐рдд рдХреЗрд▓рд╛ рдЬрд╛рддреЛ рдХреА рддреЛ рд╕реНрд╡рд╣рд╕реНрддреЗ рдкреНрд░рд╡рд┐рд╖реНрдЯ рдХреЗрд▓реЗрд▓рд╛ IP рдкрддреНрддрд╛ рджрд┐рд▓рд╛ рдкрд╛рд╣рд┐рдЬреЗ, рдЖрдгрд┐ рдкреВрд▓рдордзреВрди рдирд╛рд╣реА. рд╡реИрдпрдХреНрддрд┐рдХ рд╕рдВрдЧрдгрдХрд╛рд╡рд░реАрд▓ рдирд┐рдпрдорд┐рдд рдЧреНрд░рд╛рд╣рдХрд╛рдВрд╕рд╛рдареА, рд╕рдмрдиреЗрдЯ рд╡рд┐рдХреА 192.168.55.0/24 рд╕рд╣ рдХреЙрдиреНрдлрд┐рдЧрд░реЗрд╢рди рдкреНрд░рдорд╛рдгреЗрдЪ рдЖрд╣реЗ.

рд╣рд╛ рд╕реЗрдЯрдЕрдк рддреБрдореНрд╣рд╛рд▓рд╛ рдерд░реНрдб-рдкрд╛рд░реНрдЯреА рд╕реЙрдлреНрдЯрд╡реЗрдЕрд░рджреНрд╡рд╛рд░реЗ рддреБрдордЪреНрдпрд╛ PC рд╢реА рдХрдиреЗрдХреНрдЯ рди рдХрд░рдгреНрдпрд╛рдЪреА рдкрд░рд╡рд╛рдирдЧреА рджреЗрддреЛ рдЖрдгрд┐ рдЖрд╡рд╢реНрдпрдХрддреЗрдиреБрд╕рд╛рд░ рд░рд╛рдЙрдЯрд░рджреНрд╡рд╛рд░реЗ рдмреЛрдЧрджрд╛ рд╕реНрд╡рддрдГ рдЙрднрд╛ рдХреЗрд▓рд╛ рдЬрд╛рддреЛ. рдХреНрд▓рд╛рдпрдВрдЯ CAP ac рд╡рд░ рдмреЛрдЧрджреНрдпрд╛рдд 8-11MB/s рдЪреНрдпрд╛ рд╡реЗрдЧрд╛рдиреЗ 9-10% рднрд╛рд░ рдЬрд╡рд│рдЬрд╡рд│ рдХрд┐рдорд╛рди рдЖрд╣реЗ.

рд╕рд░реНрд╡ рд╕реЗрдЯрд┐рдВрдЧреНрдЬ Winbox рджреНрд╡рд╛рд░реЗ рдХреЗрд▓реНрдпрд╛ рдЧреЗрд▓реНрдпрд╛ рд╣реЛрддреНрдпрд╛, рдЬрд░реА рддреЗ рдХрдиреНрд╕реЛрд▓рджреНрд╡рд╛рд░реЗ рджреЗрдЦреАрд▓ рдХреЗрд▓реЗ рдЬрд╛рдК рд╢рдХрддреЗ.

рд╕реНрддреНрд░реЛрдд: www.habr.com

рдПрдХ рдЯрд┐рдкреНрдкрдгреА рдЬреЛрдбрд╛