ProHoster > بلاگ > انتظاميه > ميڪروڪ. IPSEC vpn NAT جي پويان ڪلائنٽ طور

ميڪروڪ. IPSEC vpn NAT جي پويان ڪلائنٽ طور

سڀني کي سٺو ڏينهن!

اهو صرف ائين ٿئي ٿو ته اسان جي ڪمپني ۾، اسان گذريل ٻن سالن کان بتدريج ميڪروٽڪ چپس ڏانهن سوئچ ڪري رهيا آهيون. مکيه نوڊس CCR1072 تي ٺهيل آهن، جڏهن ته مقامي ڪمپيوٽر ڪنيڪشن پوائنٽس آسان ڊوائيسز تي آهن. يقيناً، اسان IPSEC سرنگن ذريعي نيٽ ورڪ انٽيگريشن پڻ پيش ڪندا آهيون؛ هن صورت ۾، سيٽ اپ ڪافي سادو ۽ سڌو آهي، آن لائن موجود وسيلن جي ڪثرت جي مهرباني. بهرحال، موبائل ڪلائنٽ ڪنيڪشن ڪجهه چئلينج پيش ڪن ٿا؛ ٺاهيندڙ جو وڪي وضاحت ڪري ٿو ته شريو سافٽ ڪيئن استعمال ڪجي. VPN ڪلائنٽ (هي سيٽ اپ پاڻ وضاحتي لڳي ٿو)، ۽ هي ڪلائنٽ آهي جيڪو 99٪ ريموٽ رسائي استعمال ڪندڙن پاران استعمال ڪيو ويندو آهي، ۽ باقي 1٪ مان آهيان. مون کي هر ڀيري پنهنجو لاگ ان ۽ پاسورڊ داخل ڪرڻ جي تڪليف نه ٿي سگهي، ۽ مان ڪم ڪندڙ نيٽ ورڪن سان آسان ڪنيڪشن سان وڌيڪ آرامده، وڌيڪ آرامده سوفا پوٽيٽو تجربو چاهيان ٿو. مون کي اهڙين حالتن لاءِ ميڪروٽڪ کي ترتيب ڏيڻ لاءِ ڪا به هدايت نه ملي سگهي جتي اهو هڪ خانگي ايڊريس جي پويان نه هجي، پر مڪمل طور تي بليڪ لسٽ ٿيل هڪ جي پويان هجي، ۽ شايد نيٽ ورڪ تي ڪيترن ئي NATs سان به هجي. تنهن ڪري مون کي بهتر بڻائڻو پيو، ۽ مان صلاح ڏيان ٿو ته توهان نتيجن تي هڪ نظر وجهو.

دستياب:

  1. CCR1072 بنيادي ڊوائيس طور. نسخو 6.44.1
  2. CAP ac گھر جي ڪنيڪشن پوائنٽ جي طور تي. نسخو 6.44.1

سيٽ اپ جي بنيادي خصوصيت اها آهي ته PC ۽ Mikrotik هڪ ئي نيٽ ورڪ تي ساڳئي ايڊريس سان هجڻ گهرجي، جيڪو مکيه 1072 ڏانهن جاري ڪيو ويو آهي.

اچو ته سيٽنگون ڏانهن وڃو:

1. يقينا، اسان فاسٽ ٽريڪ کي چالو ڪيو، پر جيئن ته فاسٽ ٽريڪ وي پي اين سان مطابقت نه رکي، اسان کي ان جي ٽرئفڪ کي ختم ڪرڻو پوندو.

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. شامل ڪريو نيٽ ورڪ فارورڊنگ منجھان/گھر ۽ ڪم ڏانھن

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. صارف ڪنيڪشن جي وضاحت ٺاھيو

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    общий ключ xauth-login=username xauth-password=password

4. هڪ IPSEC پروپوزل ٺاهيو

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. هڪ IPSEC پاليسي ٺاهيو

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. هڪ IPSEC پروفائل ٺاهيو

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. هڪ IPSEC پيئر ٺاهيو

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
    profile_88

هاڻي ڪجهه سادي جادو لاء. جيئن ته مان اصل ۾ گهر نيٽ ورڪ تي سڀني ڊوائيسن تي سيٽنگون تبديل ڪرڻ نه چاهيندو هوس، مون کي ڪنهن نه ڪنهن طرح ساڳئي نيٽ ورڪ تي DHCP سيٽ اپ ڪرڻو پيو، پر اهو مناسب آهي ته Mikrotik توهان کي هڪ کان وڌيڪ ايڊريس پول سيٽ ڪرڻ جي اجازت نٿو ڏئي. هڪ پل، پوءِ مون هڪ ڪم ڪار ڳولي لڌو، يعني ليپ ٽاپ لاءِ مون آسانيءَ سان ڊي ايڇ سي پي ليز ٺاهي آهي دستي طور تي پيراميٽر بيان ڪرڻ سان، ۽ جيئن ته نيٽ ماڪ، گيٽ وي ۽ ڊي اين ايس وٽ پڻ DHCP ۾ آپشن نمبر آهن، ان ڪري مون انهن کي دستي طور بيان ڪيو.

1.DHCP آپشن

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2.DHCP ليز

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>

ساڳئي وقت، سيٽنگ 1072 عملي طور تي بنيادي آهي، صرف هڪ ڪلائنٽ کي IP پتو جاري ڪرڻ وقت، اهو سيٽنگون ۾ اشارو ڪيو ويو آهي ته اهو هڪ IP پتي کي دستي طور تي داخل ڪيو وڃي، ۽ پول مان نه. ذاتي ڪمپيوٽرن جي باقاعده گراهڪن لاءِ، سب نيٽ ساڳيو ئي هوندو آهي جيئن وڪي 192.168.55.0/24 سان ترتيب ڏنل آهي.

هي سيٽ اپ توهان کي اجازت ڏئي ٿو ته توهان پنهنجي PC سان ٽئين پارٽي سافٽ ويئر ذريعي ڳنڍڻ نه ڏيو، ۽ سرنگ پاڻ کي روٽر جي ضرورت مطابق وڌايو ويندو آهي. ڪلائنٽ CAP ac تي لوڊ لڳ ڀڳ گهٽ ۾ گهٽ آهي، 8-11٪ سرنگ ۾ 9-10MB/s جي رفتار سان.

سڀئي سيٽنگون Winbox ذريعي ڪيون ويون آهن، جيتوڻيڪ اهو صرف ڪنسول ذريعي ٿي سگهي ٿو.

جو ذريعو: www.habr.com

تبصرو شامل ڪريو