Wilujeng dinten sadayana!
Kabeneran di perusahaan kami, kami laun-laun ngalih ka chip Mikrotik salami dua taun ka pengker. Node utama diwangun dina CCR1072, sedengkeun titik sambungan komputer lokal aya dina alat anu langkung saderhana. Tangtosna, kami ogé nawiskeun integrasi jaringan ngalangkungan torowongan IPSEC; dina hal ieu, setelanna cukup saderhana sareng lugas, hatur nuhun kana seueurna sumber daya anu sayogi online. Nanging, sambungan klien sélulér nampilkeun tantangan anu tangtu; wiki produsén ngajelaskeun kumaha ngagunakeun Shrew soft. VPN klien (setélan ieu sigana mah gampang kahartos), sareng ieu klien anu dianggo ku 99% pangguna aksés jarak jauh, sareng 1% sésana nyaéta kuring. Kuring ngan saukur teu tiasa repot-repot ngalebetkeun login sareng kecap akses kuring unggal waktos, sareng kuring hoyong pangalaman sofa potato anu langkung santai sareng langkung nyaman kalayan sambungan anu merenah ka jaringan kerja. Kuring teu mendakan pitunjuk pikeun ngonpigurasikeun Mikrotik pikeun kaayaan dimana éta ayana sanés di tukangeun alamat pribadi, tapi di tukangeun anu diblokir, sareng panginten bahkan sareng sababaraha NAT dina jaringan. Janten kuring kedah improvisasi, sareng kuring nyarankeun anjeun ningali hasilna.
Aya:
- CCR1072 salaku alat utama. Vérsi 6.44.1
- CAP ac salaku titik sambungan imah. Vérsi 6.44.1
Fitur utama setting nyaéta yén PC sareng Mikrotik kedah aya dina jaringan anu sami sareng alamat anu sami, anu dikaluarkeun ku 1072 utama.
Hayu urang ngaléngkah ka setélan:
1. Tangtu urang ngahurungkeun Fasttrack, tapi saprak fasttrack teu cocog jeung vpn, urang kudu motong lalulintas na.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Nambahkeun jaringan diteruskeun ti / ka imah jeung karya
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Jieun pedaran sambungan pamaké
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Jieun Proposal IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Jieun Sarat jeung Kaayaan IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Jieun hiji profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Jieun peer IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Ayeuna keur sababaraha magic basajan. Kusabab kuring henteu hoyong ngarobih setélan dina sadaya alat dina jaringan asal kuring, kuring kedah kumaha waé ngagantung DHCP dina jaringan anu sami, tapi éta wajar yén Mikrotik henteu ngamungkinkeun anjeun ngagantung langkung ti hiji kolam renang alamat dina hiji sasak. , Ku kituna kuring manggihan workaround, nyaéta pikeun laptop, Kuring ngan dijieun DHCP Lease kalawan parameter manual, sarta saprak netmask, gateway & DNS ogé boga angka pilihan dina DHCP, Kuring dieusian ku cara manual.
1. Pilihan DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. DHCP ngajakan
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Dina waktos anu sami, netepkeun 1072 sacara praktis dasar, ngan nalika ngaluarkeun alamat IP ka klien dina setélan éta dituduhkeun yén alamat IP anu diasupkeun sacara manual, sanés tina kolam renang, kedah dipasihkeun ka anjeunna. Pikeun klien PC biasa, subnet sarua jeung konfigurasi Wiki 192.168.55.0/24.
Setélan sapertos kitu ngamungkinkeun anjeun henteu nyambung ka PC liwat parangkat lunak pihak katilu, sareng torowongan sorangan diangkat ku router upami diperyogikeun. Beban klien CAP ac ampir minimal, 8-11% dina laju 9-10MB / s dina torowongan.
Sadaya setelan dijieun ngaliwatan Winbox, sanajan kalawan kasuksésan anu sarua bisa dipigawé ngaliwatan konsol nu.
sumber: www.habr.com
