Dober dan vsem!
Zgodilo se je, da v našem podjetju zadnji dve leti počasi prehajamo na mikrotike. Glavna vozlišča so zgrajena na CCR1072, lokalne priključne točke za računalnike na napravah pa so preprostejše. Seveda obstaja tudi kombinacija omrežij preko tunela IPSEC, v tem primeru je postavitev dokaj enostavna in ne povzroča težav, saj je na omrežju veliko gradiva. Vendar pa obstajajo določene težave z mobilno povezavo odjemalcev, wiki proizvajalca predlaga, kako uporabljati mehki odjemalec VPN Shrew (s to nastavitvijo se zdi, da je vse jasno) in tega odjemalca uporablja 99% uporabnikov oddaljenega dostopa, in 1% sem jaz, pravkar sem postal prelen, vsak samo vnesite prijavo in geslo v odjemalcu in želel sem leno lokacijo na kavču in priročno povezavo s službenimi omrežji. Nisem našel navodil za konfiguracijo Mikrotika za situacije, ko niti ne stoji za sivim naslovom, ampak popolnoma za črnim in morda celo več NAT-ji v omrežju. Zato sem moral improvizirati, zato predlagam, da pogledam rezultat.
Na voljo:
- CCR1072 kot glavna naprava. različica 6.44.1
- CAP ac kot domača priključna točka. različica 6.44.1
Glavna značilnost nastavitve je, da morata biti PC in Mikrotik v istem omrežju z enakim naslavljanjem, ki ga izda glavni 1072.
Pojdimo k nastavitvam:
1. Seveda vklopimo Fasttrack, a ker fasttrack ni združljiv z vpn, mu moramo zmanjšati promet.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Dodajanje omrežnega posredovanja od / do doma in službe
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Ustvarite opis uporabniške povezave
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Ustvarite predlog IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Ustvarite pravilnik IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Ustvarite profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Ustvarite vrstnika IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Zdaj pa nekaj preproste čarovnije. Ker nisem želel ravno spreminjati nastavitev na vseh napravah v domačem omrežju, sem moral nekako obesiti DHCP na isto omrežje, vendar je logično, da Mikrotik ne dovoli, da bi na enem mostu obesili več kot en naslovni bazen, zato sem našel rešitev, in sicer za prenosnik sem pravkar ustvaril DHCP Lease z ročnimi parametri in ker imajo netmask, gateway & dns tudi številke možnosti v DHCP, sem jih določil ročno.
1. Možnost DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. Zakup DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Hkrati je nastavitev 1072 praktično osnovna, le pri izdaji naslova IP odjemalcu v nastavitvah je navedeno, da mu je treba dati naslov IP, vnesen ročno in ne iz bazena. Za navadne računalniške odjemalce je podomrežje enako kot Wiki konfiguracija 192.168.55.0/24.
Takšna nastavitev vam omogoča, da se ne povežete z osebnim računalnikom prek programske opreme tretjih oseb, sam predor pa po potrebi dvigne usmerjevalnik. Obremenitev odjemalca CAP ac je skoraj minimalna, 8-11% pri hitrosti 9-10MB / s v tunelu.
Vse nastavitve so bile narejene prek Winboxa, čeprav je z enakim uspehom to mogoče storiti prek konzole.
Vir: www.habr.com