Dober dan vsem!
Po naključju smo v našem podjetju v zadnjih dveh letih postopoma prešli na Mikrotik čipe. Glavna vozlišča so zgrajena na CCR1072, medtem ko so lokalne računalniške priključne točke na enostavnejših napravah. Seveda ponujamo tudi omrežno integracijo prek tunelov IPSEC; v tem primeru je namestitev precej preprosta in enostavna, zahvaljujoč obilici virov, ki so na voljo na spletu. Vendar pa mobilne povezave odjemalcev predstavljajo določene izzive; proizvajalčev wiki pojasnjuje, kako uporabljati programsko opremo Shrew. VPN odjemalec (ta nastavitev se zdi samoumevna), in to je odjemalec, ki ga uporablja 99 % uporabnikov oddaljenega dostopa, preostali 1 % pa sem jaz. Preprosto se nisem mogel truditi vsakič znova vnašati svojega uporabniškega imena in gesla ter sem si želel bolj sproščene, udobnejše izkušnje s kavčem in priročnimi povezavami s službenimi omrežji. Nisem mogel najti nobenih navodil za konfiguracijo Mikrotika za situacije, ko se ne nahaja niti za zasebnim naslovom, temveč za popolnoma črnim seznamom in morda celo z več NAT-i v omrežju. Zato sem moral improvizirati in predlagam, da si ogledate rezultate.
Na voljo:
- CCR1072 kot glavna naprava. različica 6.44.1
- CAP ac kot domača priključna točka. različica 6.44.1
Glavna značilnost nastavitve je, da morata biti PC in Mikrotik v istem omrežju z enakim naslavljanjem, ki ga izda glavni 1072.
Pojdimo k nastavitvam:
1. Seveda vklopimo Fasttrack, a ker fasttrack ni združljiv z vpn, mu moramo zmanjšati promet.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Dodajanje omrežnega posredovanja od / do doma in službe
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Ustvarite opis uporabniške povezave
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Ustvarite predlog IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Ustvarite pravilnik IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Ustvarite profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Ustvarite vrstnika IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Zdaj pa nekaj preproste čarovnije. Ker nisem želel ravno spreminjati nastavitev na vseh napravah v domačem omrežju, sem moral nekako obesiti DHCP na isto omrežje, vendar je logično, da Mikrotik ne dovoli, da bi na enem mostu obesili več kot en naslovni bazen, zato sem našel rešitev, in sicer za prenosnik sem pravkar ustvaril DHCP Lease z ročnimi parametri in ker imajo netmask, gateway & dns tudi številke možnosti v DHCP, sem jih določil ročno.
1. Možnost DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. Zakup DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Hkrati je nastavitev 1072 praktično osnovna, le pri izdaji naslova IP odjemalcu v nastavitvah je navedeno, da mu je treba dati naslov IP, vnesen ročno in ne iz bazena. Za navadne računalniške odjemalce je podomrežje enako kot Wiki konfiguracija 192.168.55.0/24.
Takšna nastavitev vam omogoča, da se ne povežete z osebnim računalnikom prek programske opreme tretjih oseb, sam predor pa po potrebi dvigne usmerjevalnik. Obremenitev odjemalca CAP ac je skoraj minimalna, 8-11% pri hitrosti 9-10MB / s v tunelu.
Vse nastavitve so bile narejene prek Winboxa, čeprav je z enakim uspehom to mogoče storiti prek konzole.
Vir: www.habr.com
