Siku njema kila mtu!
Ilifanyika tu kwamba katika kampuni yetu zaidi ya miaka miwili iliyopita tumekuwa polepole kubadili microtics. Node kuu zimejengwa kwenye CCR1072, na pointi za uunganisho wa ndani kwa kompyuta kwenye vifaa ni rahisi zaidi. Kwa kweli, pia kuna mchanganyiko wa mitandao kupitia handaki ya IPSEC, katika kesi hii, usanidi ni rahisi sana na hausababishi shida yoyote, kwani kuna vifaa vingi kwenye mtandao. Lakini kuna shida fulani na unganisho la rununu la wateja, wiki ya mtengenezaji inapendekeza jinsi ya kutumia mteja wa Shrew laini wa VPN (kila kitu kinaonekana kuwa wazi na mpangilio huu) na ni mteja huyu anayetumiwa na 99% ya watumiaji wa ufikiaji wa mbali, na 1% ni mimi, nimekuwa mvivu sana kila ingiza tu kuingia na nenosiri katika mteja na nilitaka eneo la uvivu kwenye kitanda na uunganisho rahisi kwa mitandao ya kazi. Sikupata maagizo ya kusanidi Mikrotik kwa hali wakati sio nyuma ya anwani ya kijivu, lakini nyuma ya nyeusi na labda hata NAT kadhaa kwenye mtandao. Kwa hivyo, ilibidi niboresha, na kwa hivyo ninapendekeza kuangalia matokeo.
Inapatikana:
- CCR1072 kama kifaa kikuu. toleo la 6.44.1
- CAP ac kama sehemu ya unganisho la nyumbani. toleo la 6.44.1
Kipengele kikuu cha mpangilio ni kwamba PC na Mikrotik lazima ziwe kwenye mtandao mmoja na anwani sawa, ambayo hutolewa na 1072 kuu.
Wacha tuendelee kwenye mipangilio:
1. Bila shaka tunawasha Fasttrack, lakini kwa kuwa fasttrack haiendani na vpn, tunapaswa kupunguza trafiki yake.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Kuongeza usambazaji wa mtandao kutoka / hadi nyumbani na kazini
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Unda maelezo ya muunganisho wa mtumiaji
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
ΠΎΠ±ΡΠΈΠΉ ΠΊΠ»ΡΡ xauth-login=username xauth-password=password
4. Unda Pendekezo la IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Tengeneza Sera ya IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Unda wasifu wa IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Unda rika la IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<Π²Π°Ρ Π°Π΄ΡΠ΅Ρ ΡΠΎΡΡΠ΅ΡΠ°> name=CO profile=
profile_88
Sasa kwa uchawi rahisi. Kwa kuwa sikutaka kabisa kubadilisha mipangilio kwenye vifaa vyote kwenye mtandao wangu wa nyumbani, ilibidi kwa njia fulani kunyongwa DHCP kwenye mtandao huo huo, lakini ni sawa kwamba Mikrotik haikuruhusu kunyongwa dimbwi la anwani zaidi ya moja kwenye daraja moja, kwa hivyo nilipata suluhisho, ambayo ni ya kompyuta ndogo, nimeunda tu Ukodishaji wa DHCP na vigezo vya mwongozo, na kwa kuwa netmask, gateway & dns pia zina nambari za chaguo katika DHCP, nilizitaja kwa mikono.
1.DHCP Chaguzi
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP kukodisha
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC Π°Π΄ΡΠ΅Ρ Π½ΠΎΡΡΠ±ΡΠΊΠ°>
Wakati huo huo, kuweka 1072 ni kivitendo msingi, tu wakati wa kutoa anwani ya IP kwa mteja katika mipangilio inaonyeshwa kuwa anwani ya IP iliingia kwa manually, na sio kutoka kwa bwawa, inapaswa kupewa. Kwa wateja wa kawaida wa Kompyuta, subnet ni sawa na usanidi wa Wiki 192.168.55.0/24.
Mpangilio kama huo hukuruhusu usiunganishe kwenye PC kupitia programu ya mtu wa tatu, na handaki yenyewe inainuliwa na router kama inahitajika. Mzigo wa mteja CAP ac ni karibu ndogo, 8-11% kwa kasi ya 9-10MB / s katika handaki.
Mipangilio yote ilifanywa kupitia Winbox, ingawa kwa mafanikio sawa inaweza kufanywa kupitia koni.
Chanzo: mapenzi.com