Selamat hari kepada semua!
Kebetulan dalam syarikat kami sejak dua tahun lalu kami perlahan-lahan beralih kepada Mikrotik. Nod utama dibina pada CCR1072, dan titik sambungan tempatan untuk komputer pada peranti adalah lebih mudah. Sudah tentu, terdapat juga penyepaduan rangkaian melalui terowong IPSEC, dalam kes ini persediaan agak mudah dan tidak menyebabkan sebarang kesulitan, mujurlah terdapat banyak bahan pada rangkaian. Tetapi terdapat kesukaran tertentu dengan sambungan mudah alih pelanggan, wiki pengeluar memberitahu anda cara menggunakan klien VPN lembut Shrew (semuanya kelihatan jelas berdasarkan tetapan ini) dan klien inilah yang digunakan oleh 99% akses jauh pengguna, dan 1% adalah saya, saya terlalu malas semua orang Sebaik sahaja saya memasukkan log masuk dan kata laluan saya ke dalam pelanggan, saya mahukan kedudukan malas di atas sofa dan sambungan yang mudah ke rangkaian kerja. Saya tidak menemui arahan untuk menyediakan Mikrotik untuk situasi di mana ia tidak berada di belakang alamat kelabu, tetapi benar-benar hitam dan mungkin juga beberapa NAT pada rangkaian. Oleh itu, saya terpaksa membuat improvisasi, dan oleh itu saya cadangkan anda melihat hasilnya.
Tersedia:
- CCR1072 sebagai peranti utama. versi 6.44.1
- CAP ac sebagai titik sambungan rumah. versi 6.44.1
Ciri utama persediaan ialah PC dan Mikrotik mesti berada pada rangkaian yang sama dengan pengalamatan yang sama, iaitu apa yang dikeluarkan kepada 1072 utama.
Mari kita teruskan ke tetapan:
1. Sudah tentu, kami mendayakan Fasttrack, tetapi memandangkan fasttrack tidak serasi dengan VPN, kami perlu memotong trafiknya.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Tambahkan pemajuan rangkaian dari/ke rumah dan tempat kerja
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Buat penerangan sambungan pengguna
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
ΠΎΠ±ΡΠΈΠΉ ΠΊΠ»ΡΡ xauth-login=username xauth-password=password
4. Buat Cadangan IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Buat Dasar IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Buat profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Buat rakan sebaya IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<Π²Π°Ρ Π°Π΄ΡΠ΅Ρ ΡΠΎΡΡΠ΅ΡΠ°> name=CO profile=
profile_88
Sekarang untuk beberapa sihir mudah. Memandangkan saya tidak begitu mahu menukar tetapan pada semua peranti pada rangkaian rumah, saya terpaksa menyediakan DHCP pada rangkaian yang sama, tetapi adalah munasabah bahawa Mikrotik tidak membenarkan anda menyediakan lebih daripada satu kumpulan alamat pada satu jambatan, jadi saya menemui penyelesaian, iaitu untuk komputer riba saya hanya mencipta Pajakan DHCP dengan menentukan parameter secara manual, dan kerana netmask, gerbang & dns juga mempunyai nombor pilihan dalam DHCP, saya menyatakannya secara manual.
1.Pilihan DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.Pajakan DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC Π°Π΄ΡΠ΅Ρ Π½ΠΎΡΡΠ±ΡΠΊΠ°>
Pada masa yang sama, tetapan 1072 boleh dikatakan asas, hanya apabila mengeluarkan alamat IP kepada pelanggan, ia ditunjukkan dalam tetapan bahawa ia harus diberikan alamat IP yang dimasukkan secara manual, dan bukan dari kolam. Untuk pelanggan biasa dari komputer peribadi, subnet adalah sama seperti dalam konfigurasi dengan Wiki 192.168.55.0/24.
Persediaan ini membolehkan anda untuk tidak menyambung ke PC anda melalui perisian pihak ketiga, dan terowong itu sendiri dinaikkan oleh penghala mengikut keperluan. Beban pada ac CAP pelanggan adalah hampir minimum, 8-11% pada kelajuan 9-10MB/s dalam terowong.
Semua tetapan dibuat melalui Winbox, walaupun ia juga boleh dilakukan melalui konsol.
Sumber: www.habr.com