Goddag allihop!
Det hände så att vi i vårt företag under de senaste två åren sakta har gått över till Mikrotik. Huvudnoderna är byggda på CCR1072, och de lokala anslutningspunkterna för datorer på enheter är enklare. Naturligtvis finns det även integration av nätverk via IPSEC-tunnel, i detta fall är upplägget ganska enkelt och orsakar inga svårigheter, lyckligtvis finns det mycket material på nätverket. Men det finns vissa svårigheter med mobilanslutning av klienter, tillverkarens wiki talar om hur du använder Shrew soft VPN-klient (allt verkar vara klart baserat på denna inställning) och det är denna klient som används av 99% av fjärråtkomsten användare, och 1% är jag, jag är bara för lat alla När jag angav mitt användarnamn och lösenord i klienten ville jag ha en lat position i soffan och en bekväm anslutning till arbetsnätverk. Jag hittade inga instruktioner för att ställa in Mikrotik för situationer där den inte ens ligger bakom en grå adress, utan helt svart och kanske till och med flera NAT på nätverket. Därför var jag tvungen att improvisera, och därför föreslår jag att du tittar på resultatet.
Tillgängligt:
- CCR1072 som huvudenhet. version 6.44.1
- CAP ac som hemanslutningspunkt. version 6.44.1
Huvudfunktionen i installationen är att PC:n och Mikrotik måste vara på samma nätverk med samma adressering, vilket är vad som utfärdas till huvud 1072.
Låt oss gå vidare till inställningarna:
1. Naturligtvis aktiverar vi Fasttrack, men eftersom fasttrack inte är kompatibelt med VPN måste vi stänga av dess trafik.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Lägg till nätverksvidarebefordran från/till hemmet och jobbet
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Skapa en beskrivning av användaranslutningen
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Skapa ett IPSEC-förslag
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Skapa en IPSEC-policy
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Skapa en IPSEC-profil
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Skapa en IPSEC-peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Nu till lite enkel magi. Eftersom jag inte riktigt ville ändra inställningarna på alla enheter i hemnätverket var jag på något sätt tvungen att ställa in DHCP på samma nätverk, men det är rimligt att Mikrotik inte tillåter att du konfigurerar mer än en adresspool på en brygga, så jag hittade en lösning, nämligen för den bärbara datorn skapade jag helt enkelt DHCP Lease med att manuellt specificera parametrarna, och eftersom nätmask, gateway & dns också har alternativnummer i DHCP, angav jag dem manuellt.
1.DHCP-alternativ
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP-leasing
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Samtidigt är inställningen 1072 praktiskt taget grundläggande, endast när man utfärdar en IP-adress till en klient anges det i inställningarna att den ska ges en IP-adress som anges manuellt, och inte från poolen. För vanliga klienter från persondatorer är subnätet detsamma som i konfigurationen med Wiki 192.168.55.0/24.
Denna inställning gör att du inte kan ansluta till din dator via programvara från tredje part, och själva tunneln höjs av routern efter behov. Belastningen på klientens CAP ac är nästan minimal, 8-11% vid en hastighet av 9-10MB/s i tunneln.
Alla inställningar gjordes via Winbox, även om det lika gärna kunde göras via konsolen.
Källa: will.com