God dag alle sammen!
I løpet av de siste to årene har vi sakte gått over til mikrotikk i selskapet vårt. Hovednodene er bygget på CCR1072, og lokale tilkoblingspunkter for datamaskiner på enheter er enklere. Selvfølgelig er det også en kombinasjon av nettverk via IPSEC-tunnelen, i dette tilfellet er oppsettet ganske enkelt og forårsaker ingen vanskeligheter, siden det er mye materiale på nettverket. Men det er visse vanskeligheter med mobiltilkoblingen til klienter, produsentens wiki forteller deg hvordan du bruker Shrew myk VPN-klient (alt ser ut til å være klart med denne innstillingen) og det er denne klienten som brukes av 99 % av brukerne med fjerntilgang , og 1% er meg, jeg ble for lat hver, bare skriv inn brukernavnet og passordet i klienten, og jeg ønsket en lat plassering på sofaen og praktisk tilkobling til arbeidsnettverk. Jeg fant ingen instruksjoner for å konfigurere Mikrotik for situasjoner der den ikke en gang er bak en grå adresse, men helt bak en svart og kanskje til og med flere NAT-er på nettverket. Derfor måtte jeg improvisere, og derfor foreslår jeg å se på resultatet.
Tilgjengelig:
- CCR1072 som hovedenhet. versjon 6.44.1
- CAP ac som hjemmetilkoblingspunkt. versjon 6.44.1
Hovedfunksjonen til innstillingen er at PC-en og Mikrotik må være på samme nettverk med samme adressering, som utstedes av hoved-1072.
La oss gå videre til innstillingene:
1. Selvfølgelig slår vi på Fasttrack, men siden fasttrack ikke er kompatibel med vpn, må vi kutte trafikken.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Legger til nettverksvideresending fra/til hjem og jobb
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Lag en brukertilkoblingsbeskrivelse
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Opprett et IPSEC-forslag
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Opprett en IPSEC-policy
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Opprett en IPSEC-profil
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Opprett en IPSEC-peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Nå for litt enkel magi. Siden jeg egentlig ikke ønsket å endre innstillingene på alle enheter på hjemmenettverket mitt, måtte jeg på en eller annen måte henge DHCP på samme nettverk, men det er rimelig at Mikrotik ikke lar deg henge mer enn én adressepool på én bro , så jeg fant en løsning, nemlig for en bærbar datamaskin, jeg opprettet nettopp DHCP Lease med manuelle parametere, og siden nettmaske, gateway og dns også har opsjonsnumre i DHCP, spesifiserte jeg dem manuelt.
1.DHCP-alternativer
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP-leieavtale
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Samtidig er innstilling 1072 praktisk talt grunnleggende, bare når du utsteder en IP-adresse til en klient i innstillingene, indikeres det at IP-adressen som er angitt manuelt, og ikke fra bassenget, skal gis til ham. For vanlige PC-klienter er subnettet det samme som Wiki-konfigurasjonen 192.168.55.0/24.
En slik innstilling lar deg ikke koble til PC-en gjennom tredjepartsprogramvare, og selve tunnelen heves av ruteren etter behov. Belastningen på klientens CAP ac er nesten minimal, 8-11% ved en hastighet på 9-10MB/s i tunnelen.
Alle innstillinger ble gjort gjennom Winbox, men med samme suksess kan det gjøres gjennom konsollen.
Kilde: www.habr.com