Siku njema kila mtu!
Ilitokea tu kwamba katika kampuni yetu, tumekuwa tukibadilisha polepole hadi kwenye chipu za Mikrotik katika kipindi cha miaka miwili iliyopita. Nodi kuu zimejengwa kwenye CCR1072, huku sehemu za muunganisho wa kompyuta za ndani zikiwa kwenye vifaa rahisi zaidi. Bila shaka, pia tunatoa muunganisho wa mtandao kupitia handaki za IPSEC; katika hali hii, usanidi ni rahisi sana na wa moja kwa moja, kutokana na wingi wa rasilimali zinazopatikana mtandaoni. Hata hivyo, miunganisho ya wateja wa simu hutoa changamoto fulani; wiki ya mtengenezaji inaelezea jinsi ya kutumia Shrew soft. VPN mteja (usanidi huu unaonekana kujieleza), na huyu ndiye mteja anayetumiwa na 99% ya watumiaji wa ufikiaji wa mbali, na 1% iliyobaki ni mimi. Sikuweza kusumbuka kuingiza kuingia na nenosiri langu kila wakati, na nilitaka uzoefu wa utulivu na starehe zaidi wa sofa potato na miunganisho rahisi kwa mitandao ya kazi. Sikuweza kupata maagizo yoyote ya kusanidi Mikrotik kwa hali ambapo haiko hata nyuma ya anwani ya kibinafsi, lakini nyuma ya iliyoorodheshwa kabisa, na labda hata na NAT nyingi kwenye mtandao. Kwa hivyo ilinibidi nibadilishe, na ninapendekeza uangalie matokeo.
Inapatikana:
- CCR1072 kama kifaa kikuu. toleo la 6.44.1
- CAP ac kama sehemu ya unganisho la nyumbani. toleo la 6.44.1
Kipengele kikuu cha mpangilio ni kwamba PC na Mikrotik lazima ziwe kwenye mtandao mmoja na anwani sawa, ambayo hutolewa na 1072 kuu.
Wacha tuendelee kwenye mipangilio:
1. Bila shaka tunawasha Fasttrack, lakini kwa kuwa fasttrack haiendani na vpn, tunapaswa kupunguza trafiki yake.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Kuongeza usambazaji wa mtandao kutoka / hadi nyumbani na kazini
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Unda maelezo ya muunganisho wa mtumiaji
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Unda Pendekezo la IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Tengeneza Sera ya IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Unda wasifu wa IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Unda rika la IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Sasa kwa uchawi rahisi. Kwa kuwa sikutaka kabisa kubadilisha mipangilio kwenye vifaa vyote kwenye mtandao wangu wa nyumbani, ilibidi kwa njia fulani kunyongwa DHCP kwenye mtandao huo huo, lakini ni sawa kwamba Mikrotik haikuruhusu kunyongwa dimbwi la anwani zaidi ya moja kwenye daraja moja, kwa hivyo nilipata suluhisho, ambayo ni ya kompyuta ndogo, nimeunda tu Ukodishaji wa DHCP na vigezo vya mwongozo, na kwa kuwa netmask, gateway & dns pia zina nambari za chaguo katika DHCP, nilizitaja kwa mikono.
1.DHCP Chaguzi
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP kukodisha
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Wakati huo huo, kuweka 1072 ni kivitendo msingi, tu wakati wa kutoa anwani ya IP kwa mteja katika mipangilio inaonyeshwa kuwa anwani ya IP iliingia kwa manually, na sio kutoka kwa bwawa, inapaswa kupewa. Kwa wateja wa kawaida wa Kompyuta, subnet ni sawa na usanidi wa Wiki 192.168.55.0/24.
Mpangilio kama huo hukuruhusu usiunganishe kwenye PC kupitia programu ya mtu wa tatu, na handaki yenyewe inainuliwa na router kama inahitajika. Mzigo wa mteja CAP ac ni karibu ndogo, 8-11% kwa kasi ya 9-10MB / s katika handaki.
Mipangilio yote ilifanywa kupitia Winbox, ingawa kwa mafanikio sawa inaweza kufanywa kupitia koni.
Chanzo: mapenzi.com
