Wilujeng dinten sadayana!
Kabeneran kajadian yén di perusahaan urang salami dua taun katukang urang lalaunan ngalih ka microtics. Titik utama diwangun dina CCR1072, sareng titik sambungan lokal pikeun komputer dina alat langkung saderhana. Tangtosna, aya ogé kombinasi jaringan via torowongan IPSEC, dina hal ieu, setelan anu cukup basajan tur teu ngabalukarkeun kasusah, sabab aya loba bahan dina jaringan. Tapi aya sababaraha kasusah dina sambungan sélulér klien, wiki produsén nyarioskeun ka anjeun kumaha ngagunakeun klien Shrew soft VPN (sadayana sigana jelas sareng setelan ieu) sareng klien ieu anu dianggo ku 99% pangguna aksés jauh. , jeung 1% nyaeta kuring, Kuring éta ngan teuing puguh unggal ngan asupkeun login sareng kecap akses di klien tur Abdi hoyong lokasi puguh on dipan jeung sambungan merenah pikeun jaringan gawé. Kuring teu manggihan parentah pikeun ngonpigurasikeun Mikrotik pikeun situasi nalika éta teu malah balik alamat abu, tapi lengkep balik hiji hideung malah meureun sababaraha NATs dina jaringan. Ku alatan éta, kuring kungsi improvisasi, sarta ku kituna kuring ngajukeun ka kasampak di hasilna.
Aya:
- CCR1072 salaku alat utama. Vérsi 6.44.1
- CAP ac salaku titik sambungan imah. Vérsi 6.44.1
Fitur utama setting nyaéta yén PC sareng Mikrotik kedah aya dina jaringan anu sami sareng alamat anu sami, anu dikaluarkeun ku 1072 utama.
Hayu urang ngaléngkah ka setélan:
1. Tangtu urang ngahurungkeun Fasttrack, tapi saprak fasttrack teu cocog jeung vpn, urang kudu motong lalulintas na.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Nambahkeun jaringan diteruskeun ti / ka imah jeung karya
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Jieun pedaran sambungan pamaké
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Jieun Proposal IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Jieun Sarat jeung Kaayaan IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Jieun hiji profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Jieun peer IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Ayeuna keur sababaraha magic basajan. Kusabab kuring henteu hoyong ngarobih setélan dina sadaya alat dina jaringan asal kuring, kuring kedah kumaha waé ngagantung DHCP dina jaringan anu sami, tapi éta wajar yén Mikrotik henteu ngamungkinkeun anjeun ngagantung langkung ti hiji kolam renang alamat dina hiji sasak. , Ku kituna kuring manggihan workaround, nyaéta pikeun laptop, Kuring ngan dijieun DHCP Lease kalawan parameter manual, sarta saprak netmask, gateway & DNS ogé boga angka pilihan dina DHCP, Kuring dieusian ku cara manual.
1. Pilihan DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. DHCP ngajakan
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Dina waktos anu sami, netepkeun 1072 sacara praktis dasar, ngan nalika ngaluarkeun alamat IP ka klien dina setélan éta dituduhkeun yén alamat IP anu diasupkeun sacara manual, sanés tina kolam renang, kedah dipasihkeun ka anjeunna. Pikeun klien PC biasa, subnet sarua jeung konfigurasi Wiki 192.168.55.0/24.
Setélan sapertos kitu ngamungkinkeun anjeun henteu nyambung ka PC liwat parangkat lunak pihak katilu, sareng torowongan sorangan diangkat ku router upami diperyogikeun. Beban klien CAP ac ampir minimal, 8-11% dina laju 9-10MB / s dina torowongan.
Sadaya setelan dijieun ngaliwatan Winbox, sanajan kalawan kasuksésan anu sarua bisa dipigawé ngaliwatan konsol nu.
sumber: www.habr.com