Добар дан свима!
Случајно се десило да у нашој компанији постепено прелазимо на Mikrotik чипове током последње две године. Главни чворови су изграђени на CCR1072, док су локалне тачке повезивања са рачунаром на једноставнијим уређајима. Наравно, нудимо и мрежну интеграцију путем IPSEC тунела; у овом случају, подешавање је прилично једноставно и директно, захваљујући обиљу доступних ресурса на мрежи. Међутим, повезивање мобилних клијената представља одређене изазове; произвођачева вики страница објашњава како се користи Shrew soft. ВПН клијент (ово подешавање делује само по себи разумљиво), и то је клијент кога користи 99% корисника са удаљеним приступом, а преосталих 1% сам ја. Једноставно ме није занимало да сваки пут уносим своје корисничко име и лозинку, а желео сам опуштеније, удобније искуство са практичним везама са пословним мрежама. Нисам могао да пронађем никаква упутства за конфигурисање Микротика за ситуације у којима се не налази чак ни иза приватне адресе, већ иза потпуно црне листе, а можда чак и са вишеструким NAT-овима на мрежи. Зато сам морао да импровизујем, и предлажем да погледате резултате.
Доступан:
- ЦЦР1072 као главни уређај. верзија 6.44.1
- ЦАП ац као кућна тачка везе. верзија 6.44.1
Главна карактеристика подешавања је да рачунар и Микротик морају бити на истој мрежи са истом адресирањем, коју издаје главни 1072.
Пређимо на подешавања:
1. Наравно, укључујемо Фасттрацк, али пошто фасттрацк није компатибилан са впн-ом, морамо прекинути његов саобраћај.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Додавање мрежног прослеђивања од / до куће и посла
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Направите опис корисничке везе
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Креирајте ИПСЕЦ предлог
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Креирајте ИПСЕЦ политику
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Креирајте ИПСЕЦ профил
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Креирајте ИПСЕЦ пеер
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Сада мало магије. Пошто нисам баш желео да мењам подешавања на свим уређајима на својој кућној мрежи, морао сам некако да окачим ДХЦП на истој мрежи, али је разумно да Микротик не дозвољава да окачите више од једног пула адреса на један мост, тако да сам пронашао решење, наиме за лаптоп, управо сам креирао ДХЦП Леасе са ручним параметрима, а пошто мрежна маска, гатеваи и днс такође имају бројеве опција у ДХЦП-у, навео сам их ручно.
1.ДХЦП опције
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. ДХЦП закуп
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Истовремено, подешавање 1072 је практично основно, само при издавању ИП адресе клијенту у подешавањима је назначено да му треба дати ИП адресу унету ручно, а не из пула. За обичне ПЦ клијенте, подмрежа је иста као Вики конфигурација 192.168.55.0/24.
Таква поставка вам омогућава да се не повезујете са рачунаром преко софтвера треће стране, а сам тунел подиже рутер по потреби. Оптерећење клијентског ЦАП ац је скоро минимално, 8-11% при брзини од 9-10МБ/с у тунелу.
Сва подешавања су направљена преко Винбок-а, мада се са истим успехом то може урадити и преко конзоле.
Извор: ввв.хабр.цом
