Mirëdita të gjithëve!
Rastësisht, në kompaninë tonë, gjatë dy viteve të fundit, ne kemi kaluar gradualisht në çipat Mikrotik. Nyjet kryesore janë ndërtuar në CCR1072, ndërsa pikat e lidhjes së kompjuterëve lokalë janë në pajisje më të thjeshta. Sigurisht, ne ofrojmë edhe integrimin e rrjetit nëpërmjet tuneleve IPSEC; në këtë rast, konfigurimi është mjaft i thjeshtë dhe i drejtpërdrejtë, falë bollëkut të burimeve të disponueshme në internet. Megjithatë, lidhjet e klientëve celularë paraqesin sfida të caktuara; wiki-ja e prodhuesit shpjegon se si të përdoret softueri Shrew. VPN klient (ky konfigurim duket i qartë), dhe ky është klienti që përdoret nga 99% e përdoruesve të aksesit në distancë, dhe 1% e mbetur jam unë. Thjesht nuk mund të shqetësohesha të futja emrin e përdoruesit dhe fjalëkalimin tim çdo herë, dhe doja një përvojë më të relaksuar, më të rehatshme në divan me lidhje të përshtatshme me rrjetet e punës. Nuk munda të gjeja asnjë udhëzim për konfigurimin e Mikrotik për situata ku nuk ndodhet as pas një adrese private, por pas një adrese plotësisht të listës së zezë, dhe ndoshta edhe me NAT të shumëfishta në rrjet. Kështu që më duhej të improvizoja, dhe ju sugjeroj t'i hidhni një sy rezultateve.
Në dispozicion:
- CCR1072 si pajisje kryesore. versioni 6.44.1
- CAP ac si pikë e lidhjes në shtëpi. versioni 6.44.1
Karakteristika kryesore e cilësimeve është se PC dhe Mikrotik duhet të jenë në të njëjtin rrjet me të njëjtën adresë, e cila lëshohet nga 1072 kryesore.
Le të kalojmë te cilësimet:
1. Sigurisht që ne aktivizojmë Fasttrack, por duke qenë se fasttrack nuk është kompatibil me vpn, duhet të shkurtojmë trafikun e tij.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Shtimi i përcjelljes së rrjetit nga / në shtëpi dhe në punë
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Krijoni një përshkrim të lidhjes së përdoruesit
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Krijoni një propozim IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Krijoni një politikë IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Krijoni një profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Krijoni një koleg IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Tani për një magji të thjeshtë. Meqenëse nuk doja vërtet të ndryshoja cilësimet në të gjitha pajisjet në rrjetin tim të shtëpisë, më duhej të varja disi DHCP në të njëjtin rrjet, por është e arsyeshme që Mikrotik të mos ju lejon të varni më shumë se një grup adresash në një urë, kështu që gjeta një zgjidhje, domethënë për një laptop, sapo krijova DHCP Lease me parametra manuale, dhe meqenëse netmask, gateway & dns gjithashtu kanë numra opsionesh në DHCP, i specifikova manualisht.
1. Opsionet DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.Qira DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Në të njëjtën kohë, vendosja 1072 është praktikisht themelore, vetëm kur lëshoni një adresë IP për një klient në cilësimet, tregohet se adresa IP e futur manualisht, dhe jo nga pishina, duhet t'i jepet atij. Për klientët e rregullt të PC-ve, nënrrjeti është i njëjtë me konfigurimin Wiki 192.168.55.0/24.
Një cilësim i tillë ju lejon të mos lidheni me kompjuterin përmes softuerit të palëve të treta, dhe vetë tuneli ngrihet nga ruteri sipas nevojës. Ngarkesa e klientit CAP ac është pothuajse minimale, 8-11% me një shpejtësi prej 9-10MB / s në tunel.
Të gjitha cilësimet janë bërë përmes Winbox, megjithëse me të njëjtin sukses mund të bëhet edhe përmes tastierës.
Burimi: www.habr.com
