Добар дан свима!
Десило се да у нашој компанији у последње две године полако прелазимо на микротику. Главни чворови су изграђени на ЦЦР1072, а локалне тачке повезивања за рачунаре на уређајима су једноставније. Наравно, постоји и комбинација мрежа преко ИПСЕЦ тунела, у овом случају подешавање је прилично једноставно и не изазива никакве потешкоће, пошто на мрежи има доста материјала. Али постоје одређене потешкоће са мобилном везом клијената, вики произвођача сугерише како се користи Схрев софт ВПН клијент (изгледа да је све јасно са овом поставком) и управо овај клијент користи 99% корисника са удаљеног приступа, а 1% сам ја, једноставно сам постао превише лењ, сваки само унесите логин и лозинку у клијента и желео сам лењу локацију на каучу и згодну везу са радним мрежама. Нисам нашао упутства за конфигурисање Микротика за ситуације када није чак ни иза сиве адресе, већ потпуно иза црне и можда чак и неколико НАТ-ова на мрежи. Стога сам морао да импровизујем, и зато предлажем да погледам резултат.
Доступан:
- ЦЦР1072 као главни уређај. верзија 6.44.1
- ЦАП ац као кућна тачка везе. верзија 6.44.1
Главна карактеристика подешавања је да рачунар и Микротик морају бити на истој мрежи са истом адресирањем, коју издаје главни 1072.
Пређимо на подешавања:
1. Наравно, укључујемо Фасттрацк, али пошто фасттрацк није компатибилан са впн-ом, морамо прекинути његов саобраћај.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Додавање мрежног прослеђивања од / до куће и посла
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Направите опис корисничке везе
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Креирајте ИПСЕЦ предлог
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Креирајте ИПСЕЦ политику
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Креирајте ИПСЕЦ профил
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Креирајте ИПСЕЦ пеер
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Сада мало магије. Пошто нисам баш желео да мењам подешавања на свим уређајима на својој кућној мрежи, морао сам некако да окачим ДХЦП на истој мрежи, али је разумно да Микротик не дозвољава да окачите више од једног пула адреса на један мост, тако да сам пронашао решење, наиме за лаптоп, управо сам креирао ДХЦП Леасе са ручним параметрима, а пошто мрежна маска, гатеваи и днс такође имају бројеве опција у ДХЦП-у, навео сам их ручно.
1.ДХЦП опције
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. ДХЦП закуп
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Истовремено, подешавање 1072 је практично основно, само при издавању ИП адресе клијенту у подешавањима је назначено да му треба дати ИП адресу унету ручно, а не из пула. За обичне ПЦ клијенте, подмрежа је иста као Вики конфигурација 192.168.55.0/24.
Таква поставка вам омогућава да се не повезујете са рачунаром преко софтвера треће стране, а сам тунел подиже рутер по потреби. Оптерећење клијентског ЦАП ац је скоро минимално, 8-11% при брзини од 9-10МБ/с у тунелу.
Сва подешавања су направљена преко Винбок-а, мада се са истим успехом то може урадити и преко конзоле.
Извор: ввв.хабр.цом