Mirëdita të gjithëve!
Thjesht ndodhi që në kompaninë tonë gjatë dy viteve të fundit ne kemi kaluar ngadalë në mikrotikë. Nyjet kryesore janë ndërtuar në CCR1072, dhe pikat e lidhjes lokale për kompjuterët në pajisje janë më të thjeshta. Sigurisht, ekziston edhe një kombinim i rrjeteve përmes tunelit IPSEC, në këtë rast, konfigurimi është mjaft i thjeshtë dhe nuk shkakton ndonjë vështirësi, pasi ka shumë materiale në rrjet. Por ka disa vështirësi me lidhjen celulare të klientëve, wiki i prodhuesit ju tregon se si të përdorni klientin VPN të butë Shrew (gjithçka duket të jetë e qartë me këtë cilësim) dhe është ky klient që përdoret nga 99% e përdoruesve të aksesit në distancë , dhe 1% jam unë, isha shumë dembel secila thjesht futni hyrjen dhe fjalëkalimin në klient dhe doja një vendndodhje dembele në divan dhe lidhje të përshtatshme me rrjetet e punës. Nuk gjeta udhëzime për konfigurimin e Mikrotik për situatat kur nuk është as pas një adrese gri, por plotësisht pas një të zezë dhe ndoshta edhe disa NAT në rrjet. Prandaj, më duhej të improvizoja, dhe për këtë arsye propozoj të shikoj rezultatin.
Në dispozicion:
- CCR1072 si pajisje kryesore. versioni 6.44.1
- CAP ac si pikë e lidhjes në shtëpi. versioni 6.44.1
Karakteristika kryesore e cilësimeve është se PC dhe Mikrotik duhet të jenë në të njëjtin rrjet me të njëjtën adresë, e cila lëshohet nga 1072 kryesore.
Le të kalojmë te cilësimet:
1. Sigurisht që ne aktivizojmë Fasttrack, por duke qenë se fasttrack nuk është kompatibil me vpn, duhet të shkurtojmë trafikun e tij.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Shtimi i përcjelljes së rrjetit nga / në shtëpi dhe në punë
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Krijoni një përshkrim të lidhjes së përdoruesit
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Krijoni një propozim IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Krijoni një politikë IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Krijoni një profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Krijoni një koleg IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Tani për një magji të thjeshtë. Meqenëse nuk doja vërtet të ndryshoja cilësimet në të gjitha pajisjet në rrjetin tim të shtëpisë, më duhej të varja disi DHCP në të njëjtin rrjet, por është e arsyeshme që Mikrotik të mos ju lejon të varni më shumë se një grup adresash në një urë, kështu që gjeta një zgjidhje, domethënë për një laptop, sapo krijova DHCP Lease me parametra manuale, dhe meqenëse netmask, gateway & dns gjithashtu kanë numra opsionesh në DHCP, i specifikova manualisht.
1. Opsionet DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.Qira DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Në të njëjtën kohë, vendosja 1072 është praktikisht themelore, vetëm kur lëshoni një adresë IP për një klient në cilësimet, tregohet se adresa IP e futur manualisht, dhe jo nga pishina, duhet t'i jepet atij. Për klientët e rregullt të PC-ve, nënrrjeti është i njëjtë me konfigurimin Wiki 192.168.55.0/24.
Një cilësim i tillë ju lejon të mos lidheni me kompjuterin përmes softuerit të palëve të treta, dhe vetë tuneli ngrihet nga ruteri sipas nevojës. Ngarkesa e klientit CAP ac është pothuajse minimale, 8-11% me një shpejtësi prej 9-10MB / s në tunel.
Të gjitha cilësimet janë bërë përmes Winbox, megjithëse me të njëjtin sukses mund të bëhet edhe përmes tastierës.
Burimi: www.habr.com