ښه ورځ ټولو ته!
دا داسې پیښ شوي چې زموږ په شرکت کې په تیرو دوو کلونو کې موږ ورو ورو مایکروټیک ته تیر شو. اصلي نوډونه په CCR1072 کې جوړ شوي، او په وسایلو کې د کمپیوټرونو لپاره د محلي پیوستون نقطې ساده دي. البته ، د IPSEC تونل له لارې د شبکې ادغام هم شتون لري ، پدې حالت کې تنظیم خورا ساده دی او د کومې ستونزې لامل نه کیږي ، خوشبختانه په شبکه کې ډیری توکي شتون لري. مګر د پیرودونکو ګرځنده اتصال کې ځینې ستونزې شتون لري ، د جوړونکي ویکي تاسو ته د شری نرم VPN پیرودونکي د کارولو څرنګوالي درکوي (هر څه د دې ترتیب پراساس روښانه ښکاري) او دا دا پیرودونکی دی چې د 99٪ لیرې لاسرسي لخوا کارول کیږي. کاروونکي، او 1٪ زه یم، زه یوازې هر څوک ډیر سست یم یوځل چې ما خپل ننوتل او پاسورډ پیرودونکي ته داخل کړ، ما په تخت کې یو سست موقف او د کاري شبکو سره یو مناسب اړیکه غوښتل. ما د داسې شرایطو لپاره د مایکروټیک تنظیم کولو لارښوونې ونه موندلې چیرې چې دا حتی د خړ پتې شاته نه وي ، مګر په بشپړ ډول تور او حتی په شبکه کې ډیری NATs. له همدې امله، زه باید اصلاح کړم، او له همدې امله زه وړاندیز کوم چې تاسو پایلې وګورئ.
شته:
- CCR1072 د اصلي وسیلې په توګه. نسخه 6.44.1
- CAP ac د کور د ارتباط نقطې په توګه. نسخه 6.44.1
د سیټ اپ اصلي ځانګړتیا دا ده چې PC او Mikrotik باید په ورته شبکه کې د ورته پتې سره وي، کوم چې اصلي 1072 ته صادر شوی.
راځئ چې ترتیباتو ته لاړ شو:
1. البته، موږ فاسټ ټیک فعال کړو، مګر څنګه چې فاسټ ټیک د VPN سره مطابقت نلري، موږ باید د هغې ټرافيک کم کړو.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. له کور او کار څخه د شبکې لیږل شامل کړئ
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. د کارن پیوستون توضیحات جوړ کړئ
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. د IPSEC وړاندیز جوړ کړئ
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. د IPSEC پالیسي جوړه کړئ
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. د IPSEC پروفایل جوړ کړئ
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. د IPSEC ملګری جوړ کړئ
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
اوس د یو څه ساده جادو لپاره. څنګه چې زه واقعیا نه غواړم د کور شبکې په ټولو وسیلو کې تنظیمات بدل کړم ، نو ما باید په یو ډول په ورته شبکه کې DHCP تنظیم کړی وای ، مګر دا مناسب دی چې مایکروټیک تاسو ته اجازه نه ورکوي چې له یو څخه ډیر پته حوض تنظیم کړئ. یو پل، نو ما یو کار موندلی، د بیلګې په توګه د لپ ټاپ لپاره ما په ساده ډول د پیرامیټونو مشخص کولو سره د DHCP اجاره جوړه کړه، او څنګه چې netmask، gateway & dns هم په DHCP کې د اختیار شمیرې لري، ما دوی په لاسي ډول مشخص کړل.
1.DHCP اختیار
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP اجاره
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
په ورته وخت کې، د 1072 ترتیب کول په عملي توګه بنسټیز دي، یوازې کله چې پیرودونکي ته IP پته صادروي، دا په ترتیباتو کې ښودل شوي چې دا باید په لاسي ډول داخل شوی IP پته ورکړل شي، نه د حوض څخه. د شخصي کمپیوټرونو څخه د منظم پیرودونکو لپاره، فرعي نیټ د ویکي 192.168.55.0/24 سره په ترتیب کې ورته دی.
دا ترتیب تاسو ته اجازه درکوي چې د دریمې ډلې سافټویر له لارې خپل کمپیوټر سره وصل نشي، او تونل پخپله د روټر لخوا د اړتیا سره سم پورته کیږي. د پیرودونکي CAP ac باندې بار تقریبا لږترلږه دی، په تونل کې د 8-11MB/s په سرعت کې 9-10٪.
ټول تنظیمات د وین باکس له لارې رامینځته شوي ، که څه هم دا د کنسول له لارې هم ترسره کیدی شي.
سرچینه: www.habr.com