සැමට සුබ දවසක්!
එය එසේ වූයේ පසුගිය වසර දෙක තුළ අපගේ සමාගම තුළ අපි සෙමින් මයික්රොටික් වෙත මාරු වෙමින් සිටිමු. ප්රධාන නෝඩ් CCR1072 මත ගොඩනගා ඇති අතර, උපාංගවල පරිගණක සඳහා දේශීය සම්බන්ධතා ස්ථාන සරල වේ. ඇත්ත වශයෙන්ම, IPSEC උමග හරහා ජාල සංයෝජනයක් ද ඇත, මෙම අවස්ථාවේ දී, සැකසුම තරමක් සරල වන අතර ජාලයේ ද්රව්ය රාශියක් ඇති බැවින් කිසිදු දුෂ්කරතාවයක් ඇති නොකරයි. නමුත් සේවාලාභීන්ගේ ජංගම සම්බන්ධතාවයේ යම් යම් දුෂ්කරතා ඇත, නිෂ්පාදකයාගේ විකිය ඔබට Shrew soft VPN සේවාදායකයා භාවිතා කරන්නේ කෙසේදැයි කියයි (මෙම සැකසුම සමඟ සියල්ල පැහැදිලි බව පෙනේ) සහ දුරස්ථ ප්රවේශ පරිශීලකයින්ගෙන් 99% ක් භාවිතා කරන්නේ මෙම සේවාදායකයා ය. , සහ 1% මමයි, මම ඉතා කම්මැලි වූවෙමි, එක් එක් සේවාදායකයා තුළ පිවිසුම් සහ මුරපදය ඇතුළත් කිරීමට මට අවශ්ය විය. Mikrotik අළු ලිපිනයක් පිටුපසින් නොමැති නමුත් සම්පූර්ණයෙන්ම කළු එකක් පිටුපසින් සහ සමහර විට ජාලයේ NAT කිහිපයක් ඇති අවස්ථා සඳහා මයික්රොටික් වින්යාස කිරීම සඳහා උපදෙස් මට හමු නොවීය. එබැවින්, මට වැඩිදියුණු කිරීමට සිදු වූ අතර, එබැවින් ප්රතිඵලය දෙස බැලීමට මම යෝජනා කරමි.
ඇත:
- ප්රධාන උපාංගය ලෙස CCR1072. අනුවාදය 6.44.1
- නිවාස සම්බන්ධතා ලක්ෂ්යයක් ලෙස CAP ac. අනුවාදය 6.44.1
සැකසීමේ ප්රධාන ලක්ෂණය වන්නේ PC සහ Mikrotik ප්රධාන 1072 විසින් නිකුත් කරනු ලබන එකම ලිපිනයක් සහිත එකම ජාලයක තිබිය යුතුය.
අපි සැකසුම් වෙත යමු:
1. ඇත්ත වශයෙන්ම, අපි Fasttrack සක්රිය කරමු, නමුත් fasttrack vpn සමඟ නොගැලපෙන බැවින්, අපි එහි ගමනාගමනය කපා හැරිය යුතුය.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. නිවසට සහ කාර්යාලයට ජාල යොමු කිරීම එක් කිරීම
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. පරිශීලක සම්බන්ධතා විස්තරයක් සාදන්න
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. IPSEC යෝජනාවක් සාදන්න
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. IPSEC ප්රතිපත්තියක් සාදන්න
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. IPSEC පැතිකඩක් සාදන්න
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. IPSEC සම වයසේ මිතුරෙකු සාදන්න
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
දැන් සරල මැජික් කිහිපයක් සඳහා. මගේ නිවසේ ජාලයේ සියලුම උපාංගවල සැකසුම් වෙනස් කිරීමට මට ඇත්තටම අවශ්ය නොවූ බැවින්, මට කෙසේ හෝ එම ජාලයේම DHCP එල්ලීමට සිදු විය, නමුත් Mikrotik ඔබට එක් පාලමක ලිපින සංචිත එකකට වඩා එල්ලීමට ඉඩ නොදීම සාධාරණයි. එබැවින් මම ලැප්ටොප් පරිගණකයක් සඳහා විසඳුමක් සොයා ගතිමි, මම අතින් පරාමිති සමඟ DHCP ලීස් නිර්මාණය කළ අතර, netmask, gateway සහ dns ද DHCP හි විකල්ප අංක ඇති බැවින්, මම ඒවා අතින් නියම කළෙමි.
1.DHCP විකල්ප
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP බදු දීම
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
ඒ අතරම, 1072 සැකසීම ප්රායෝගිකව මූලික වේ, සැකසුම් තුළ සේවාදායකයෙකුට IP ලිපිනයක් නිකුත් කිරීමේදී පමණක්, සංචිතයෙන් නොව අතින් ඇතුළු කළ IP ලිපිනය ඔහුට ලබා දිය යුතු බව පෙන්නුම් කරයි. සාමාන්ය පරිගණක සේවාලාභීන් සඳහා, උපජාලය Wiki වින්යාසය 192.168.55.0/24 ට සමාන වේ.
එවැනි සැකසුම ඔබට තෙවන පාර්ශවීය මෘදුකාංග හරහා පරිගණකයට සම්බන්ධ නොවී සිටීමට ඉඩ සලසයි, සහ අවශ්ය පරිදි රවුටරය මගින් උමඟම මතු කරයි. සේවාලාභියාගේ CAP ac හි පැටවීම පාහේ අවම වේ, උමග තුළ 8-11MB / s වේගයකින් 9-10%.
සියලුම සැකසුම් වින්බොක්ස් හරහා සිදු කර ඇත, නමුත් එකම සාර්ථකත්වය සමඟ එය කොන්සෝලය හරහා කළ හැකිය.
මූලාශ්රය: www.habr.com