рдкреНрд░реЛрд╣реЛрд╕реНрдЯрд░ > ╨С╨╗╨╛╨│ > рдкреНрд░рд╢рд╛рд╕рди > mikroikред рдЧреНрд░рд╛рд╣рдХрдХреЛ рд░реВрдкрдорд╛ NAT рдкрдЫрд┐ IPSEC vpn

mikroikред рдЧреНрд░рд╛рд╣рдХрдХреЛ рд░реВрдкрдорд╛ NAT рдкрдЫрд┐ IPSEC vpn

рд╢реБрдн рджрд┐рди рд╕рдмреИрд▓рд╛рдИ!

рдпреЛ рдпрддрд┐ рдорд╛рддреНрд░ рднрдпреЛ рдХрд┐ рд╡рд┐рдЧрдд рджреБрдИ рд╡рд░реНрд╖рдорд╛ рд╣рд╛рдореНрд░реЛ рдХрдореНрдкрдиреАрдорд╛ рд╣рд╛рдореА рдмрд┐рд╕реНрддрд╛рд░реИ рдорд╛рдЗрдХреНрд░реЛрдЯрд┐рдХреНрд╕рдорд╛ рд╕реНрд╡рд┐рдЪ рдЧрд░реНрджреИрдЫреМрдВред рдореБрдЦреНрдп рдиреЛрдбрд╣рд░реВ CCR1072 рдорд╛ рдмрдирд╛рдЗрдПрдХрд╛ рдЫрдиреН, рд░ рдпрдиреНрддреНрд░рд╣рд░реВрдорд╛ рдХрдореНрдкреНрдпреБрдЯрд░рд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐ рд╕реНрдерд╛рдиреАрдп рдЬрдбрд╛рди рдмрд┐рдиреНрджреБрд╣рд░реВ рд╕рд░рд▓ рдЫрдиреНред рдирд┐рд╕реНрд╕рдиреНрджреЗрд╣, рддреНрдпрд╣рд╛рдБ IPSEC рдЯрдиреЗрд▓ рдорд╛рд░реНрдлрдд рд╕рдЮреНрдЬрд╛рд▓рд╣рд░реВрдХреЛ рд╕рдВрдпреЛрдЬрди рдкрдирд┐ рдЫ, рдпрд╕ рдЕрд╡рд╕реНрдерд╛рдорд╛, рд╕реЗрдЯрдЕрдк рдПрдХрджрдо рд╕рд░рд▓ рдЫ рд░ рдХреБрдиреИ рдкрдирд┐ рдХрдард┐рдирд╛рдЗрд╣рд░реВ рдЙрддреНрдкрдиреНрди рдЧрд░реНрджреИрди, рдХрд┐рдирдХрд┐ рдиреЗрдЯрд╡рд░реНрдХрдорд╛ рдзреЗрд░реИ рд╕рд╛рдордЧреНрд░реАрд╣рд░реВ рдЫрдиреНред рддрд░ рдХреНрд▓рд╛рдЗрдиреНрдЯрд╣рд░реВрдХреЛ рдореЛрдмрд╛рдЗрд▓ рдЬрдбрд╛рдирдорд╛ рдХреЗрд╣реА рдХрдард┐рдирд╛рдЗрд╣рд░реВ рдЫрдиреН, рдирд┐рд░реНрдорд╛рддрд╛рдХреЛ рд╡рд┐рдХреАрд▓реЗ рддрдкрд╛рдЗрдБрд▓рд╛рдИ Shrew soft VPN рдХреНрд▓рд╛рдЗрдиреНрдЯ рдХрд╕рд░реА рдкреНрд░рдпреЛрдЧ рдЧрд░реНрдиреЗ рднрдиреЗрд░ рдмрддрд╛рдЙрдБрдЫ (рдпрд╕ рд╕реЗрдЯрд┐рдЩрдорд╛ рд╕рдмреИ рдХреБрд░рд╛ рд╕реНрдкрд╖реНрдЯ рджреЗрдЦрд┐рдиреНрдЫ) рд░ рдпреЛ рдпреЛ рдХреНрд▓рд╛рдЗрдиреНрдЯ рд╣реЛ рдЬреБрди 99% рд░рд┐рдореЛрдЯ рдкрд╣реБрдБрдЪ рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛рд╣рд░реВрджреНрд╡рд╛рд░рд╛ рдкреНрд░рдпреЛрдЧ рдЧрд░рд┐рдиреНрдЫред , рд░ 1% рдо рд╣реБрдБ, рдо рдзреЗрд░реИ рдЕрд▓реНрдЫреА рдерд┐рдПрдБ рдкреНрд░рддреНрдпреЗрдХрд▓реЗ рдЧреНрд░рд╛рд╣рдХрдорд╛ рд▓рдЧрдЗрди рд░ рдкрд╛рд╕рд╡рд░реНрдб рдкреНрд░рд╡рд┐рд╖реНрдЯ рдЧрд░реНрдиреБрд╣реЛрд╕реН рд░ рдо рд╕реЛрдлреЗрдорд╛ рдЕрд▓реНрдЫреА рд╕реНрдерд╛рди рд░ рдХрд╛рд░реНрдп рдиреЗрдЯрд╡рд░реНрдХрд╣рд░реВрдорд╛ рд╕реБрд╡рд┐рдзрд╛рдЬрдирдХ рдЬрдбрд╛рди рдЪрд╛рд╣рдиреНрдереЗрдВред рдореИрд▓реЗ рдкрд░рд┐рд╕реНрдерд┐рддрд┐рд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐ Mikrotik рдХрдиреНрдлрд┐рдЧрд░ рдЧрд░реНрди рдирд┐рд░реНрджреЗрд╢рдирд╣рд░реВ рдлреЗрд▓рд╛ рдкрд╛рд░реЗрди рдЬрдм рдпреЛ рдЦрд░рд╛рдиреА рдареЗрдЧрд╛рдирд╛ рдкрдЫрд╛рдбрд┐ рдкрдирд┐ рдЫреИрди, рддрд░ рдкреВрд░реНрдг рд░реВрдкрдорд╛ рдХрд╛рд▓реЛ рдареЗрдЧрд╛рдирд╛ рдкрдЫрд╛рдбрд┐ рд░ рдиреЗрдЯрд╡рд░реНрдХрдорд╛ рдзреЗрд░реИ NATs рдкрдирд┐ред рддреНрдпрд╕рдХрд╛рд░рдг, рдореИрд▓реЗ рд╕реБрдзрд╛рд░ рдЧрд░реНрдиреБрдкрд░реНтАНрдпреЛ, рд░ рддреНрдпрд╕реИрд▓реЗ рдо рдирддрд┐рдЬрд╛ рд╣реЗрд░реНрди рдкреНрд░рд╕реНрддрд╛рд╡ рдЧрд░реНрдЫреБред

рдЙрдкрд▓рдмреНрдз:

  1. CCR1072 рдореБрдЦреНрдп рдпрдиреНрддреНрд░рдХреЛ рд░реВрдкрдорд╛ред рд╕рдВрд╕реНрдХрд░рдг 6.44.1
  2. CAP ac рдШрд░ рдЬрдбрд╛рди рдмрд┐рдиреНрджреБрдХреЛ рд░реВрдкрдорд╛ред рд╕рдВрд╕реНрдХрд░рдг 6.44.1

рд╕реЗрдЯрд┐рдЩрдХреЛ рдореБрдЦреНрдп рд╡рд┐рд╢реЗрд╖рддрд╛ рднрдиреЗрдХреЛ PC рд░ Mikrotik рдПрдЙрдЯреИ рдареЗрдЧрд╛рдирд╛рдХреЛ рд╕рд╛рде рдПрдЙрдЯреИ рдиреЗрдЯрд╡рд░реНрдХрдорд╛ рд╣реБрдиреБрдкрд░реНрдЫ, рдЬреБрди рдореБрдЦреНрдп 1072 рджреНрд╡рд╛рд░рд╛ рдЬрд╛рд░реА рдЧрд░рд┐рдПрдХреЛ рдЫред

рд╕реЗрдЯрд┐рдЩреНрд╣рд░реВрдорд╛ рдЬрд╛рдФрдВ:

1. рдЕрд╡рд╢реНрдп рдкрдирд┐ рд╣рд╛рдореА рдлрд╛рд╕реНрдЯрдЯреНрд░реНрдпрд╛рдХ рдЦреЛрд▓реНрдЫреМрдВ, рддрд░ рдлрд╛рд╕реНрдЯрдЯреНрд░реНрдпрд╛рдХ vpn рд╕рдБрдЧ рдорд┐рд▓реНрджреИрди, рд╣рд╛рдореАрд▓реЗ рдпрд╕рдХреЛ рдЯреНрд░рд╛рдлрд┐рдХ рдХрдЯреМрддреА рдЧрд░реНрдиреБрдкрд░реНрдЫред

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. рдШрд░ рд░ рдХрд╛рдордмрд╛рдЯ / рдмрд╛рдЯ рдиреЗрдЯрд╡рд░реНрдХ рдлрд░реНрд╡рд╛рд░реНрдбрд┐рдЩ рдердкреНрджреИ

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. рдкреНрд░рдпреЛрдЧрдХрд░реНрддрд╛ рдЬрдбрд╛рди рд╡рд┐рд╡рд░рдг рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрдиреБрд╣реЛрд╕реН

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    ╨╛╨▒╤Й╨╕╨╣ ╨║╨╗╤О╤З xauth-login=username xauth-password=password

4. рдПрдХ IPSEC рдкреНрд░рд╕реНрддрд╛рд╡ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрдиреБрд╣реЛрд╕реН

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. IPSEC рдиреАрддрд┐ рдмрдирд╛рдЙрдиреБрд╣реЛрд╕реН

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. рдПрдХ IPSEC рдкреНрд░реЛрдлрд╛рдЗрд▓ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрдиреБрд╣реЛрд╕реН

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. рдПрдХ IPSEC рд╕рд╛рдереА рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реНрдиреБрд╣реЛрд╕реН

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<╨▓╨░╤И ╨░╨┤╤А╨╡╤Б ╤А╨╛╤Г╤В╨╡╤А╨░> name=CO profile=
    profile_88

рдЕрдм рдХреЗрд╣рд┐ рд╕рд░рд▓ рдЬрд╛рджреВ рдХреЛ рд▓рд╛рдЧреАред рдо рд╡рд╛рд╕реНрддрд╡рдорд╛ рдореЗрд░реЛ рдШрд░рдХреЛ рдиреЗрдЯрд╡рд░реНрдХрдорд╛ рд╕рдмреИ рдпрдиреНрддреНрд░рд╣рд░реВрдорд╛ рд╕реЗрдЯрд┐рдЩрд╣рд░реВ рдкрд░рд┐рд╡рд░реНрддрди рдЧрд░реНрди рдЪрд╛рд╣рдиреНрди, рдореИрд▓реЗ рдХреБрдиреИ рди рдХреБрдиреИ рд░реВрдкрдорд╛ рдПрдЙрдЯреИ рдиреЗрдЯрд╡рд░реНрдХрдорд╛ DHCP рд╣реНрдпрд╛рдЩреНрдЧ рдЧрд░реНрдиреБрдкрд░реЗрдХреЛ рдерд┐рдпреЛ, рддрд░ рдпреЛ рдЙрдЪрд┐рдд рдЫ рдХрд┐ Mikrotik рд▓реЗ рддрдкрд╛рдИрдВрд▓рд╛рдИ рдПрдХ рдкреБрд▓рдорд╛ рдПрдХ рднрдиреНрджрд╛ рдмрдвреА рдареЗрдЧрд╛рдирд╛ рдкреВрд▓ рд╣реНрдпрд╛рдЩреНрдЧ рдЧрд░реНрди рдЕрдиреБрдорддрд┐ рджрд┐рдБрджреИрдиред , рддреНрдпрд╕реИрд▓реЗ рдореИрд▓реЗ рдПрдЙрдЯрд╛ рд╕рдорд╛рдзрд╛рди рдлреЗрд▓рд╛ рдкрд╛рд░реЗ, рдЕрд░реНрдерд╛рддреН рд▓реНрдпрд╛рдкрдЯрдкрдХреЛ рд▓рд╛рдЧрд┐, рдореИрд▓реЗ рднрд░реНрдЦрд░реИ рдореНрдпрд╛рдиреБрдЕрд▓ рдкреНрдпрд╛рд░рд╛рдорд┐рдЯрд░рд╣рд░реВрдХреЛ рд╕рд╛рде DHCP рд▓реАрдЬ рд╕рд┐рд░реНрдЬрдирд╛ рдЧрд░реЗрдВ, рд░ рдиреЗрдЯрдорд╛рд╕реНрдХ, рдЧреЗрдЯрд╡реЗ рд░ dns рд╕рдБрдЧ DHCP рдорд╛ рд╡рд┐рдХрд▓реНрдк рдирдореНрдмрд░рд╣рд░реВ рднрдПрдХрд╛рд▓реЗ, рдореИрд▓реЗ рддрд┐рдиреАрд╣рд░реВрд▓рд╛рдИ рдореНрдпрд╛рдиреБрдЕрд▓ рд░реВрдкрдорд╛ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдЧрд░реЗрдВред

1.DHCP рд╡рд┐рдХрд▓реНрдкрд╣рд░реВ

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2.DHCP рд▓реАрдЬ

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC ╨░╨┤╤А╨╡╤Б ╨╜╨╛╤Г╤В╨▒╤Г╨║╨░>

рдПрдХреИ рд╕рдордпрдорд╛, рд╕реЗрдЯрд┐рдЩ 1072 рд╡реНрдпрд╛рд╡рд╣рд╛рд░рд┐рдХ рд░реВрдкрдорд╛ рдЖрдзрд╛рд░рднреВрдд рдЫ, рдХреЗрд╡рд▓ рд╕реЗрдЯрд┐рдЩрд╣рд░реВрдорд╛ рдЧреНрд░рд╛рд╣рдХрд▓рд╛рдИ рдЖрдИрдкреА рдареЗрдЧрд╛рдирд╛ рдЬрд╛рд░реА рдЧрд░реНрджрд╛ рдпреЛ рд╕рдВрдХреЗрдд рдЧрд░рд┐рдПрдХреЛ рдЫ рдХрд┐ рдЖрдИрдкреА рдареЗрдЧрд╛рдирд╛ рдореНрдпрд╛рдиреБрдЕрд▓ рд░реВрдкрдорд╛ рдкреНрд░рд╡рд┐рд╖реНрдЯ рдЧрд░рд┐рдПрдХреЛ рдЫ, рд░ рдкреВрд▓рдмрд╛рдЯ рд╣реЛрдЗрди, рдЙрд╕рд▓рд╛рдИ рджрд┐рдЗрдиреБрдкрд░реНрдЫред рдирд┐рдпрдорд┐рдд рдкреАрд╕реА рдЧреНрд░рд╛рд╣рдХрд╣рд░реВрдХреЛ рд▓рд╛рдЧрд┐, рд╕рдмрдиреЗрдЯ рд╡рд┐рдХреА рдХрдиреНрдлрд┐рдЧрд░реЗрд╕рди 192.168.55.0/24 рдЬрд╕реНрддреИ рд╣реЛред

рдпрд╕реНрддреЛ рд╕реЗрдЯрд┐рдЩрд▓реЗ рддрдкрд╛рдИрдВрд▓рд╛рдИ рддреЗрд╕реНрд░реЛ-рдкрдХреНрд╖ рд╕рдлреНрдЯрд╡реЗрдпрд░ рдорд╛рд░реНрдлрдд рдкреАрд╕реАрдорд╛ рдЬрдбрд╛рди рдЧрд░реНрди рдЕрдиреБрдорддрд┐ рджрд┐рдиреНрдЫ, рд░ рдЯрдиреЗрд▓ рдЖрдлреИрд▓рд╛рдИ рд░рд╛рдЙрдЯрд░ рджреНрд╡рд╛рд░рд╛ рдЖрд╡рд╢реНрдпрдХ рд░реВрдкрдорд╛ рдЙрдард╛рдЗрдПрдХреЛ рдЫред рдХреНрд▓рд╛рдЗрдиреНрдЯ CAP ac рдХреЛ рд▓реЛрдб рд▓рдЧрднрдЧ рдиреНрдпреВрдирддрдо рдЫ, 8-11% рдЯрдиреЗрд▓рдорд╛ 9-10MB / s рдХреЛ рдЧрддрд┐рдорд╛ред

рд╕рдмреИ рд╕реЗрдЯрд┐рдЩрд╣рд░реВ Winbox рдорд╛рд░реНрдлрдд рдмрдирд╛рдЗрдПрдХрд╛ рдерд┐рдП, рдпрджреНрдпрдкрд┐ рд╕рдорд╛рди рд╕рдлрд▓рддрд╛рдХреЛ рд╕рд╛рде рдпреЛ рдХрдиреНрд╕реЛрд▓ рдорд╛рд░реНрдлрдд рдЧрд░реНрди рд╕рдХрд┐рдиреНрдЫред

рд╕реНрд░реЛрдд: www.habr.com

рдПрдХ рдЯрд┐рдкреНрдкрдгреА рдердкреНрди