Il-ġurnata t-tajba lil kulħadd!
Ġara li fil-kumpanija tagħna matul l-aħħar sentejn konna naqilbu bil-mod għall-mikrotiċi. In-nodi ewlenin huma mibnija fuq CCR1072, u l-punti ta 'konnessjoni lokali għal kompjuters fuq apparati huma aktar sempliċi. Naturalment, hemm ukoll taħlita ta 'netwerks permezz tal-mina IPSEC, f'dan il-każ, is-setup hija pjuttost sempliċi u ma tikkawża l-ebda diffikultajiet, peress li hemm ħafna materjali fuq in-netwerk. Iżda hemm ċerti diffikultajiet bil-konnessjoni mobbli tal-klijenti, il-wiki tal-manifattur jissuġġerixxi kif tuża l-klijent Soft VPN Shrew (kollox jidher ċar b'dan l-issettjar) u huwa dan il-klijent li jintuża minn 99% tal-utenti ta 'aċċess remot, u 1% huwa jien, I biss saret għażżien wisq kull wieħed biss daħħal il-login u l-password fil-klijent u ridt post għażżien fuq il-couch u konnessjoni konvenjenti għan-netwerks tax-xogħol. Ma sibtx struzzjonijiet għall-konfigurazzjoni ta 'Mikrotik għal sitwazzjonijiet meta lanqas biss ikun wara indirizz griż, iżda kompletament wara wieħed iswed u forsi anke diversi NATs fuq in-netwerk. Għalhekk, kelli improvisa, u għalhekk nipproponi li nħares lejn ir-riżultat.
Disponibbli:
- CCR1072 bħala apparat ewlieni. verżjoni 6.44.1
- CAP ac bħala punt ta' konnessjoni tad-dar. verżjoni 6.44.1
Il-karatteristika ewlenija tal-issettjar hija li l-PC u l-Mikrotik għandhom ikunu fuq l-istess netwerk bl-istess indirizzar, li jinħareġ mill-1072 prinċipali.
Ejja ngħaddu għas-settings:
1. Naturalment, aħna nixgħel Fasttrack, iżda peress li fasttrack mhuwiex kompatibbli ma 'vpn, irridu nnaqqsu t-traffiku tiegħu.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Żieda ta 'trażmissjoni tan-netwerk minn / lejn id-dar u x-xogħol
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Oħloq deskrizzjoni tal-konnessjoni tal-utent
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Oħloq Proposta IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Oħloq Politika IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Oħloq profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Oħloq peer IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Issa għal xi magic sempliċi. Peress li ma ridtx verament nibdel is-settings fuq l-apparati kollha fuq in-netwerk tad-dar tiegħi, kelli b'xi mod hang DHCP fuq l-istess netwerk, iżda huwa raġonevoli li Mikrotik ma jippermettilekx hang aktar minn grupp ta 'indirizzi wieħed fuq pont wieħed, għalhekk sibt soluzzjoni, jiġifieri għal laptop, għadni kemm ħloqt DHCP Lease b'parametri manwali, u peress li netmask, gateway & dns għandhom ukoll numri ta 'għażla fid-DHCP, speċifikajthom manwalment.
Għażliet 1.DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
Kiri 2.DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Fl-istess ħin, l-issettjar 1072 huwa prattikament bażiku, biss meta joħroġ indirizz IP lil klijent fis-settings huwa indikat li l-indirizz IP imdaħħal manwalment, u mhux mill-pool, għandu jingħata lilu. Għal klijenti regolari tal-PC, is-subnet hija l-istess bħall-konfigurazzjoni tal-Wiki 192.168.55.0/24.
Setting bħal dan jippermettilek li ma tikkonnettjax mal-PC permezz ta 'softwer ta' parti terza, u l-mina nnifisha titqajjem mir-router kif meħtieġ. It-tagħbija tal-klijent CAP AC hija kważi minima, 8-11% b'veloċità ta '9-10MB / s fil-mina.
Is-settings kollha saru permezz tal-Winbox, għalkemm bl-istess suċċess jista 'jsir permezz tal-console.
Sors: www.habr.com