سڀني کي سٺو ڏينهن!
اهو ائين ٿيو آهي ته گذريل ٻن سالن کان اسان جي ڪمپني ۾ اسان سست رفتاري سان مٽائي رهيا آهيون Mikrotik. مکيه نوڊس CCR1072 تي ٺهيل آهن، ۽ ڊوائيسز تي ڪمپيوٽرن لاء مقامي ڪنيڪشن پوائنٽ آسان آهن. يقينن، IPSEC سرنگ ذريعي نيٽ ورڪ جو انضمام پڻ آهي، انهي صورت ۾ سيٽ اپ بلڪل سادو آهي ۽ ڪنهن به مشڪلات جو سبب ناهي، خوش قسمتي سان نيٽ ورڪ تي تمام گهڻو مواد آهي. پر ڪلائنٽ جي موبائيل ڪنيڪشن ۾ ڪجهه مشڪلاتون آهن، ٺاهيندڙ جو وڪي توهان کي ٻڌائي ٿو ته ڪيئن استعمال ڪجي Shrew soft VPN ڪلائنٽ (هن سيٽنگ جي بنياد تي سڀ ڪجهه واضح ٿئي ٿو) ۽ اهو اهو ڪلائنٽ آهي جيڪو 99٪ ريموٽ رسائي ذريعي استعمال ڪيو ويندو آهي. استعمال ڪندڙ، ۽ 1٪ مان آهيان، مان تمام گهڻو سست آهيان، هڪ دفعو مون ڪلائنٽ ۾ پنهنجو لاگ ان ۽ پاسورڊ داخل ڪيو، مون کي سوفي تي سست پوزيشن ۽ ڪم نيٽ ورڪن سان هڪ آسان ڪنيڪشن چاهيو. مون کي حالتن جي لاءِ ميڪروٽڪ کي ترتيب ڏيڻ لاءِ هدايتون نه مليون جتي اهو گرين ايڊريس جي پويان به ناهي ، پر مڪمل طور تي ڪارو ۽ شايد نيٽ ورڪ تي ڪيترائي NATs. تنهن ڪري، مون کي بهتر ڪرڻو پيو، ۽ تنهن ڪري مان توهان کي نتيجو ڏسڻ جي صلاح ڏيان ٿو.
دستياب:
- CCR1072 بنيادي ڊوائيس طور. نسخو 6.44.1
- CAP ac گھر جي ڪنيڪشن پوائنٽ جي طور تي. نسخو 6.44.1
سيٽ اپ جي بنيادي خصوصيت اها آهي ته PC ۽ Mikrotik هڪ ئي نيٽ ورڪ تي ساڳئي ايڊريس سان هجڻ گهرجي، جيڪو مکيه 1072 ڏانهن جاري ڪيو ويو آهي.
اچو ته سيٽنگون ڏانهن وڃو:
1. يقينا، اسان فاسٽ ٽريڪ کي چالو ڪيو، پر جيئن ته فاسٽ ٽريڪ وي پي اين سان مطابقت نه رکي، اسان کي ان جي ٽرئفڪ کي ختم ڪرڻو پوندو.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. شامل ڪريو نيٽ ورڪ فارورڊنگ منجھان/گھر ۽ ڪم ڏانھن
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. صارف ڪنيڪشن جي وضاحت ٺاھيو
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. هڪ IPSEC پروپوزل ٺاهيو
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. هڪ IPSEC پاليسي ٺاهيو
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. هڪ IPSEC پروفائل ٺاهيو
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. هڪ IPSEC پيئر ٺاهيو
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
هاڻي ڪجهه سادي جادو لاء. جيئن ته مان اصل ۾ گهر نيٽ ورڪ تي سڀني ڊوائيسن تي سيٽنگون تبديل ڪرڻ نه چاهيندو هوس، مون کي ڪنهن نه ڪنهن طرح ساڳئي نيٽ ورڪ تي DHCP سيٽ اپ ڪرڻو پيو، پر اهو مناسب آهي ته Mikrotik توهان کي هڪ کان وڌيڪ ايڊريس پول سيٽ ڪرڻ جي اجازت نٿو ڏئي. هڪ پل، پوءِ مون هڪ ڪم ڪار ڳولي لڌو، يعني ليپ ٽاپ لاءِ مون آسانيءَ سان ڊي ايڇ سي پي ليز ٺاهي آهي دستي طور تي پيراميٽر بيان ڪرڻ سان، ۽ جيئن ته نيٽ ماڪ، گيٽ وي ۽ ڊي اين ايس وٽ پڻ DHCP ۾ آپشن نمبر آهن، ان ڪري مون انهن کي دستي طور بيان ڪيو.
1.DHCP آپشن
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP ليز
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
ساڳئي وقت، سيٽنگ 1072 عملي طور تي بنيادي آهي، صرف هڪ ڪلائنٽ کي IP پتو جاري ڪرڻ وقت، اهو سيٽنگون ۾ اشارو ڪيو ويو آهي ته اهو هڪ IP پتي کي دستي طور تي داخل ڪيو وڃي، ۽ پول مان نه. ذاتي ڪمپيوٽرن جي باقاعده گراهڪن لاءِ، سب نيٽ ساڳيو ئي هوندو آهي جيئن وڪي 192.168.55.0/24 سان ترتيب ڏنل آهي.
هي سيٽ اپ توهان کي اجازت ڏئي ٿو ته توهان پنهنجي PC سان ٽئين پارٽي سافٽ ويئر ذريعي ڳنڍڻ نه ڏيو، ۽ سرنگ پاڻ کي روٽر جي ضرورت مطابق وڌايو ويندو آهي. ڪلائنٽ CAP ac تي لوڊ لڳ ڀڳ گهٽ ۾ گهٽ آهي، 8-11٪ سرنگ ۾ 9-10MB/s جي رفتار سان.
سڀئي سيٽنگون Winbox ذريعي ڪيون ويون آهن، جيتوڻيڪ اهو صرف ڪنسول ذريعي ٿي سگهي ٿو.
جو ذريعو: www.habr.com