Goddag allihop!
Det råkar vara så att vi på vårt företag gradvis har bytt till Mikrotik-chips under de senaste två åren. Huvudnoderna är byggda på CCR1072, medan lokala datoranslutningspunkter finns på enklare enheter. Självklart erbjuder vi även nätverksintegration via IPSEC-tunnlar; i det här fallet är installationen ganska enkel och okomplicerad tack vare det stora utbudet av resurser som finns tillgängliga online. Mobila klientanslutningar innebär dock vissa utmaningar; tillverkarens wiki förklarar hur man använder Shrew soft. VPN klient (denna konfiguration verkar självförklarande), och det här är klienten som används av 99 % av fjärråtkomstanvändare, och resterande 1 % är jag. Jag orkade helt enkelt inte ange mitt inloggningsnamn och lösenord varje gång, och jag ville ha en mer avslappnad, bekvämare soffpotatisupplevelse med praktiska anslutningar till arbetsnätverk. Jag kunde inte hitta några instruktioner för att konfigurera Mikrotik för situationer där den inte ens finns bakom en privat adress, utan bakom en helt svartlistad, och kanske till och med med flera NAT:er i nätverket. Så jag var tvungen att improvisera, och jag föreslår att du tar en titt på resultaten.
Tillgängligt:
- CCR1072 som huvudenhet. version 6.44.1
- CAP ac som hemanslutningspunkt. version 6.44.1
Huvudfunktionen i installationen är att PC:n och Mikrotik måste vara på samma nätverk med samma adressering, vilket är vad som utfärdas till huvud 1072.
Låt oss gå vidare till inställningarna:
1. Naturligtvis aktiverar vi Fasttrack, men eftersom fasttrack inte är kompatibelt med VPN måste vi stänga av dess trafik.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Lägg till nätverksvidarebefordran från/till hemmet och jobbet
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Skapa en beskrivning av användaranslutningen
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Skapa ett IPSEC-förslag
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Skapa en IPSEC-policy
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Skapa en IPSEC-profil
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Skapa en IPSEC-peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Nu till lite enkel magi. Eftersom jag inte riktigt ville ändra inställningarna på alla enheter i hemnätverket var jag på något sätt tvungen att ställa in DHCP på samma nätverk, men det är rimligt att Mikrotik inte tillåter att du konfigurerar mer än en adresspool på en brygga, så jag hittade en lösning, nämligen för den bärbara datorn skapade jag helt enkelt DHCP Lease med att manuellt specificera parametrarna, och eftersom nätmask, gateway & dns också har alternativnummer i DHCP, angav jag dem manuellt.
1.DHCP-alternativ
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP-leasing
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Samtidigt är inställningen 1072 praktiskt taget grundläggande, endast när man utfärdar en IP-adress till en klient anges det i inställningarna att den ska ges en IP-adress som anges manuellt, och inte från poolen. För vanliga klienter från persondatorer är subnätet detsamma som i konfigurationen med Wiki 192.168.55.0/24.
Denna inställning gör att du inte kan ansluta till din dator via programvara från tredje part, och själva tunneln höjs av routern efter behov. Belastningen på klientens CAP ac är nästan minimal, 8-11% vid en hastighet av 9-10MB/s i tunneln.
Alla inställningar gjordes via Winbox, även om det lika gärna kunde göras via konsolen.
Källa: will.com
