mikroik. ਗਾਹਕ ਵਜੋਂ NAT ਦੇ ਪਿੱਛੇ IPSEC vpn

ਸਾਰਿਆਂ ਨੂੰ ਸ਼ੁੱਭ ਦਿਨ!

ਇਹ ਇਸ ਤਰ੍ਹਾਂ ਹੋਇਆ ਹੈ ਕਿ ਸਾਡੀ ਕੰਪਨੀ ਵਿੱਚ, ਅਸੀਂ ਪਿਛਲੇ ਦੋ ਸਾਲਾਂ ਤੋਂ ਹੌਲੀ-ਹੌਲੀ Mikrotik ਚਿੱਪਾਂ ਵੱਲ ਬਦਲ ਰਹੇ ਹਾਂ। ਮੁੱਖ ਨੋਡ CCR1072 'ਤੇ ਬਣਾਏ ਗਏ ਹਨ, ਜਦੋਂ ਕਿ ਸਥਾਨਕ ਕੰਪਿਊਟਰ ਕਨੈਕਸ਼ਨ ਪੁਆਇੰਟ ਸਰਲ ਡਿਵਾਈਸਾਂ 'ਤੇ ਹਨ। ਬੇਸ਼ੱਕ, ਅਸੀਂ IPSEC ਸੁਰੰਗਾਂ ਰਾਹੀਂ ਨੈੱਟਵਰਕ ਏਕੀਕਰਨ ਦੀ ਵੀ ਪੇਸ਼ਕਸ਼ ਕਰਦੇ ਹਾਂ; ਇਸ ਸਥਿਤੀ ਵਿੱਚ, ਸੈੱਟਅੱਪ ਕਾਫ਼ੀ ਸਰਲ ਅਤੇ ਸਿੱਧਾ ਹੈ, ਔਨਲਾਈਨ ਉਪਲਬਧ ਸਰੋਤਾਂ ਦੀ ਭਰਪੂਰਤਾ ਦੇ ਕਾਰਨ। ਹਾਲਾਂਕਿ, ਮੋਬਾਈਲ ਕਲਾਇੰਟ ਕਨੈਕਸ਼ਨ ਕੁਝ ਚੁਣੌਤੀਆਂ ਪੇਸ਼ ਕਰਦੇ ਹਨ; ਨਿਰਮਾਤਾ ਦਾ ਵਿਕੀ ਦੱਸਦਾ ਹੈ ਕਿ ਸ਼ਰੂ ਸਾਫਟ ਦੀ ਵਰਤੋਂ ਕਿਵੇਂ ਕਰਨੀ ਹੈ। VPN ਕਲਾਇੰਟ (ਇਹ ਸੈੱਟਅੱਪ ਆਪਣੇ ਆਪ ਵਿੱਚ ਸਪੱਸ਼ਟ ਜਾਪਦਾ ਹੈ), ਅਤੇ ਇਹ ਉਹ ਕਲਾਇੰਟ ਹੈ ਜੋ 99% ਰਿਮੋਟ ਐਕਸੈਸ ਉਪਭੋਗਤਾਵਾਂ ਦੁਆਰਾ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ, ਅਤੇ ਬਾਕੀ 1% ਮੈਂ ਹਾਂ। ਮੈਨੂੰ ਹਰ ਵਾਰ ਆਪਣਾ ਲੌਗਇਨ ਅਤੇ ਪਾਸਵਰਡ ਦਰਜ ਕਰਨ ਦੀ ਪਰੇਸ਼ਾਨੀ ਨਹੀਂ ਹੋ ਸਕਦੀ ਸੀ, ਅਤੇ ਮੈਂ ਕੰਮ ਕਰਨ ਵਾਲੇ ਨੈੱਟਵਰਕਾਂ ਨਾਲ ਸੁਵਿਧਾਜਨਕ ਕਨੈਕਸ਼ਨਾਂ ਦੇ ਨਾਲ ਇੱਕ ਵਧੇਰੇ ਆਰਾਮਦਾਇਕ, ਵਧੇਰੇ ਆਰਾਮਦਾਇਕ ਕਾਉਚ ਪੋਟੇਟੋ ਅਨੁਭਵ ਚਾਹੁੰਦਾ ਸੀ। ਮੈਨੂੰ ਉਨ੍ਹਾਂ ਸਥਿਤੀਆਂ ਲਈ ਮਾਈਕ੍ਰੋਟਿਕ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨ ਲਈ ਕੋਈ ਨਿਰਦੇਸ਼ ਨਹੀਂ ਮਿਲੇ ਜਿੱਥੇ ਇਹ ਇੱਕ ਨਿੱਜੀ ਪਤੇ ਦੇ ਪਿੱਛੇ ਵੀ ਨਹੀਂ, ਸਗੋਂ ਇੱਕ ਪੂਰੀ ਤਰ੍ਹਾਂ ਬਲੈਕਲਿਸਟ ਕੀਤੇ ਪਤੇ ਦੇ ਪਿੱਛੇ ਸਥਿਤ ਹੈ, ਅਤੇ ਸ਼ਾਇਦ ਨੈੱਟਵਰਕ 'ਤੇ ਕਈ NAT ਦੇ ਨਾਲ ਵੀ। ਇਸ ਲਈ ਮੈਨੂੰ ਸੁਧਾਰ ਕਰਨਾ ਪਿਆ, ਅਤੇ ਮੈਂ ਸੁਝਾਅ ਦਿੰਦਾ ਹਾਂ ਕਿ ਤੁਸੀਂ ਨਤੀਜਿਆਂ 'ਤੇ ਇੱਕ ਨਜ਼ਰ ਮਾਰੋ।

ਉਪਲੱਬਧ:

1. CCR1072 ਮੁੱਖ ਯੰਤਰ ਵਜੋਂ। ਸੰਸਕਰਣ 6.44.1
2. CAP AC ਘਰੇਲੂ ਕੁਨੈਕਸ਼ਨ ਪੁਆਇੰਟ ਵਜੋਂ। ਸੰਸਕਰਣ 6.44.1

ਸੈਟਿੰਗ ਦੀ ਮੁੱਖ ਵਿਸ਼ੇਸ਼ਤਾ ਇਹ ਹੈ ਕਿ PC ਅਤੇ Mikrotik ਇੱਕੋ ਐਡਰੈਸਿੰਗ ਦੇ ਨਾਲ ਇੱਕੋ ਨੈੱਟਵਰਕ 'ਤੇ ਹੋਣੇ ਚਾਹੀਦੇ ਹਨ, ਜੋ ਕਿ ਮੁੱਖ 1072 ਦੁਆਰਾ ਜਾਰੀ ਕੀਤਾ ਗਿਆ ਹੈ।

ਆਓ ਸੈਟਿੰਗਾਂ 'ਤੇ ਚੱਲੀਏ:

1. ਬੇਸ਼ੱਕ ਅਸੀਂ ਫਾਸਟਟ੍ਰੈਕ ਨੂੰ ਚਾਲੂ ਕਰਦੇ ਹਾਂ, ਪਰ ਕਿਉਂਕਿ ਫਾਸਟਟ੍ਰੈਕ ਵੀਪੀਐਨ ਦੇ ਅਨੁਕੂਲ ਨਹੀਂ ਹੈ, ਸਾਨੂੰ ਇਸਦੇ ਟ੍ਰੈਫਿਕ ਨੂੰ ਕੱਟਣਾ ਪਵੇਗਾ।

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. ਘਰ ਅਤੇ ਕੰਮ ਤੋਂ / ਤੱਕ ਨੈੱਟਵਰਕ ਫਾਰਵਰਡਿੰਗ ਸ਼ਾਮਲ ਕਰਨਾ

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. ਇੱਕ ਉਪਭੋਗਤਾ ਕਨੈਕਸ਼ਨ ਵੇਰਵਾ ਬਣਾਓ

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    общий ключ xauth-login=username xauth-password=password

4. ਇੱਕ IPSEC ਪ੍ਰਸਤਾਵ ਬਣਾਓ

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. ਇੱਕ IPSEC ਨੀਤੀ ਬਣਾਓ

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. ਇੱਕ IPSEC ਪ੍ਰੋਫਾਈਲ ਬਣਾਓ

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. ਇੱਕ IPSEC ਪੀਅਰ ਬਣਾਓ

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
    profile_88

ਹੁਣ ਕੁਝ ਸਧਾਰਨ ਜਾਦੂ ਲਈ. ਕਿਉਂਕਿ ਮੈਂ ਅਸਲ ਵਿੱਚ ਆਪਣੇ ਘਰੇਲੂ ਨੈੱਟਵਰਕ 'ਤੇ ਸਾਰੀਆਂ ਡਿਵਾਈਸਾਂ 'ਤੇ ਸੈਟਿੰਗਾਂ ਨੂੰ ਬਦਲਣਾ ਨਹੀਂ ਚਾਹੁੰਦਾ ਸੀ, ਮੈਨੂੰ ਕਿਸੇ ਤਰ੍ਹਾਂ ਉਸੇ ਨੈੱਟਵਰਕ 'ਤੇ DHCP ਨੂੰ ਲਟਕਾਉਣਾ ਪਿਆ, ਪਰ ਇਹ ਉਚਿਤ ਹੈ ਕਿ Mikrotik ਤੁਹਾਨੂੰ ਇੱਕ ਬ੍ਰਿਜ 'ਤੇ ਇੱਕ ਤੋਂ ਵੱਧ ਐਡਰੈੱਸ ਪੂਲ ਨੂੰ ਲਟਕਣ ਦੀ ਇਜਾਜ਼ਤ ਨਹੀਂ ਦਿੰਦਾ ਹੈ। , ਇਸਲਈ ਮੈਨੂੰ ਇੱਕ ਹੱਲ ਲੱਭਿਆ, ਅਰਥਾਤ ਇੱਕ ਲੈਪਟਾਪ ਲਈ, ਮੈਂ ਹੁਣੇ ਹੀ ਮੈਨੂਅਲ ਪੈਰਾਮੀਟਰਾਂ ਨਾਲ DHCP ਲੀਜ਼ ਬਣਾਇਆ ਹੈ, ਅਤੇ ਕਿਉਂਕਿ ਨੈੱਟਮਾਸਕ, ਗੇਟਵੇ ਅਤੇ ਡੀਐਨਐਸ ਕੋਲ DHCP ਵਿੱਚ ਵਿਕਲਪ ਨੰਬਰ ਵੀ ਹਨ, ਮੈਂ ਉਹਨਾਂ ਨੂੰ ਹੱਥੀਂ ਨਿਰਧਾਰਤ ਕੀਤਾ ਹੈ।

1.DHCP ਵਿਕਲਪ

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2.DHCP ਲੀਜ਼

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>

ਉਸੇ ਸਮੇਂ, ਸੈਟਿੰਗ 1072 ਵਿਹਾਰਕ ਤੌਰ 'ਤੇ ਬੁਨਿਆਦੀ ਹੈ, ਸਿਰਫ ਸੈਟਿੰਗਾਂ ਵਿੱਚ ਇੱਕ ਕਲਾਇੰਟ ਨੂੰ ਇੱਕ IP ਐਡਰੈੱਸ ਜਾਰੀ ਕਰਨ ਵੇਲੇ ਇਹ ਸੰਕੇਤ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ ਕਿ IP ਐਡਰੈੱਸ ਹੱਥੀਂ ਦਰਜ ਕੀਤਾ ਗਿਆ ਹੈ, ਨਾ ਕਿ ਪੂਲ ਤੋਂ, ਉਸਨੂੰ ਦਿੱਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ। ਨਿਯਮਤ ਪੀਸੀ ਕਲਾਇੰਟਸ ਲਈ, ਸਬਨੈੱਟ ਵਿਕੀ ਸੰਰਚਨਾ 192.168.55.0/24 ਦੇ ਸਮਾਨ ਹੈ।

ਅਜਿਹੀ ਸੈਟਿੰਗ ਤੁਹਾਨੂੰ ਥਰਡ-ਪਾਰਟੀ ਸੌਫਟਵੇਅਰ ਦੁਆਰਾ ਪੀਸੀ ਨਾਲ ਕਨੈਕਟ ਨਾ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੀ ਹੈ, ਅਤੇ ਲੋੜ ਅਨੁਸਾਰ ਰਾਊਟਰ ਦੁਆਰਾ ਸੁਰੰਗ ਨੂੰ ਖੁਦ ਹੀ ਉਭਾਰਿਆ ਜਾਂਦਾ ਹੈ। ਕਲਾਈਂਟ CAP ac ਦਾ ਲੋਡ ਲਗਭਗ ਨਿਊਨਤਮ ਹੈ, 8-11% ਸੁਰੰਗ ਵਿੱਚ 9-10MB / s ਦੀ ਗਤੀ ਨਾਲ.

ਸਾਰੀਆਂ ਸੈਟਿੰਗਾਂ ਵਿਨਬਾਕਸ ਦੁਆਰਾ ਕੀਤੀਆਂ ਗਈਆਂ ਸਨ, ਹਾਲਾਂਕਿ ਉਸੇ ਸਫਲਤਾ ਨਾਲ ਇਹ ਕੰਸੋਲ ਦੁਆਰਾ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।

ਸਰੋਤ: www.habr.com