Il-ġurnata t-tajba lil kulħadd!
Ġara li fil-kumpanija tagħna, ilna nibdlu gradwalment għal ċipep Mikrotik matul dawn l-aħħar sentejn. In-nodi ewlenin huma mibnija fuq CCR1072, filwaqt li l-punti ta' konnessjoni tal-kompjuter lokali huma fuq apparati aktar sempliċi. Naturalment, noffru wkoll integrazzjoni tan-netwerk permezz ta' mini IPSEC; f'dan il-każ, is-setup huwa pjuttost sempliċi u faċli, grazzi għall-abbundanza ta' riżorsi disponibbli online. Madankollu, il-konnessjonijiet tal-klijenti mobbli jippreżentaw ċerti sfidi; il-wiki tal-manifattur tispjega kif tuża Shrew soft. VPN klijent (din is-setup tidher awto-spjegattiva), u dan huwa l-klijent użat minn 99% tal-utenti tal-aċċess remot, u l-1% li jifdal huwa jien. Sempliċement ma stajtx niddejjaq indaħħal il-login u l-password tiegħi kull darba, u ridt esperjenza ta' couch potato aktar rilassata u komda b'konnessjonijiet konvenjenti man-netwerks tax-xogħol. Ma stajt insib l-ebda istruzzjoni dwar kif nikkonfigura Mikrotik għal sitwazzjonijiet fejn lanqas biss jinsab wara indirizz privat, iżda wara wieħed kompletament fuq il-lista sewda, u forsi anke b'diversi NATs fuq in-netwerk. Għalhekk kelli nimprovizza, u nissuġġerilek li tagħti ħarsa lejn ir-riżultati.
Disponibbli:
- CCR1072 bħala apparat ewlieni. verżjoni 6.44.1
- CAP ac bħala punt ta' konnessjoni tad-dar. verżjoni 6.44.1
Il-karatteristika ewlenija tal-issettjar hija li l-PC u l-Mikrotik għandhom ikunu fuq l-istess netwerk bl-istess indirizzar, li jinħareġ mill-1072 prinċipali.
Ejja ngħaddu għas-settings:
1. Naturalment, aħna nixgħel Fasttrack, iżda peress li fasttrack mhuwiex kompatibbli ma 'vpn, irridu nnaqqsu t-traffiku tiegħu.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Żieda ta 'trażmissjoni tan-netwerk minn / lejn id-dar u x-xogħol
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Oħloq deskrizzjoni tal-konnessjoni tal-utent
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Oħloq Proposta IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Oħloq Politika IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Oħloq profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Oħloq peer IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Issa għal xi magic sempliċi. Peress li ma ridtx verament nibdel is-settings fuq l-apparati kollha fuq in-netwerk tad-dar tiegħi, kelli b'xi mod hang DHCP fuq l-istess netwerk, iżda huwa raġonevoli li Mikrotik ma jippermettilekx hang aktar minn grupp ta 'indirizzi wieħed fuq pont wieħed, għalhekk sibt soluzzjoni, jiġifieri għal laptop, għadni kemm ħloqt DHCP Lease b'parametri manwali, u peress li netmask, gateway & dns għandhom ukoll numri ta 'għażla fid-DHCP, speċifikajthom manwalment.
Għażliet 1.DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
Kiri 2.DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Fl-istess ħin, l-issettjar 1072 huwa prattikament bażiku, biss meta joħroġ indirizz IP lil klijent fis-settings huwa indikat li l-indirizz IP imdaħħal manwalment, u mhux mill-pool, għandu jingħata lilu. Għal klijenti regolari tal-PC, is-subnet hija l-istess bħall-konfigurazzjoni tal-Wiki 192.168.55.0/24.
Setting bħal dan jippermettilek li ma tikkonnettjax mal-PC permezz ta 'softwer ta' parti terza, u l-mina nnifisha titqajjem mir-router kif meħtieġ. It-tagħbija tal-klijent CAP AC hija kważi minima, 8-11% b'veloċità ta '9-10MB / s fil-mina.
Is-settings kollha saru permezz tal-Winbox, għalkemm bl-istess suċċess jista 'jsir permezz tal-console.
Sors: www.habr.com
