Selamat hari kepada semua!
Kebetulan di syarikat kami, kami telah beralih secara beransur-ansur kepada cip Mikrotik sejak dua tahun lalu. Nod utama dibina pada CCR1072, manakala titik sambungan komputer tempatan adalah pada peranti yang lebih mudah. Sudah tentu, kami juga menawarkan integrasi rangkaian melalui terowong IPSEC; dalam kes ini, persediaan agak mudah dan ringkas, hasil daripada banyak sumber yang tersedia dalam talian. Walau bagaimanapun, sambungan klien mudah alih memberikan cabaran tertentu; wiki pengeluar menerangkan cara menggunakan Shrew soft. VPN klien (persediaan ini nampaknya jelas), dan ini adalah klien yang digunakan oleh 99% pengguna akses jauh, dan baki 1% adalah saya. Saya tidak mahu bersusah payah memasukkan log masuk dan kata laluan saya setiap kali, dan saya mahukan pengalaman yang lebih santai dan selesa dengan sambungan mudah ke rangkaian kerja. Saya tidak dapat menemui sebarang arahan untuk mengkonfigurasi Mikrotik untuk situasi di mana ia terletak bukan di sebalik alamat peribadi, tetapi di sebalik alamat yang disenaraihitamkan sepenuhnya, dan mungkin juga dengan berbilang NAT pada rangkaian. Jadi saya terpaksa berimprovisasi, dan saya cadangkan anda melihat hasilnya.
Tersedia:
- CCR1072 sebagai peranti utama. versi 6.44.1
- CAP ac sebagai titik sambungan rumah. versi 6.44.1
Ciri utama persediaan ialah PC dan Mikrotik mesti berada pada rangkaian yang sama dengan pengalamatan yang sama, iaitu apa yang dikeluarkan kepada 1072 utama.
Mari kita teruskan ke tetapan:
1. Sudah tentu, kami mendayakan Fasttrack, tetapi memandangkan fasttrack tidak serasi dengan VPN, kami perlu memotong trafiknya.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Tambahkan pemajuan rangkaian dari/ke rumah dan tempat kerja
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Buat penerangan sambungan pengguna
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Buat Cadangan IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Buat Dasar IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Buat profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Buat rakan sebaya IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Sekarang untuk beberapa sihir mudah. Memandangkan saya tidak begitu mahu menukar tetapan pada semua peranti pada rangkaian rumah, saya terpaksa menyediakan DHCP pada rangkaian yang sama, tetapi adalah munasabah bahawa Mikrotik tidak membenarkan anda menyediakan lebih daripada satu kumpulan alamat pada satu jambatan, jadi saya menemui penyelesaian, iaitu untuk komputer riba saya hanya mencipta Pajakan DHCP dengan menentukan parameter secara manual, dan kerana netmask, gerbang & dns juga mempunyai nombor pilihan dalam DHCP, saya menyatakannya secara manual.
1.Pilihan DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.Pajakan DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Pada masa yang sama, tetapan 1072 boleh dikatakan asas, hanya apabila mengeluarkan alamat IP kepada pelanggan, ia ditunjukkan dalam tetapan bahawa ia harus diberikan alamat IP yang dimasukkan secara manual, dan bukan dari kolam. Untuk pelanggan biasa dari komputer peribadi, subnet adalah sama seperti dalam konfigurasi dengan Wiki 192.168.55.0/24.
Persediaan ini membolehkan anda untuk tidak menyambung ke PC anda melalui perisian pihak ketiga, dan terowong itu sendiri dinaikkan oleh penghala mengikut keperluan. Beban pada ac CAP pelanggan adalah hampir minimum, 8-11% pada kelajuan 9-10MB/s dalam terowong.
Semua tetapan dibuat melalui Winbox, walaupun ia juga boleh dilakukan melalui konsol.
Sumber: www.habr.com
