Рӯзи хуш ба ҳама!
Чунин ба назар мерасад, ки дар ширкати мо дар ду соли охир мо тадриҷан ба чипҳои Mikrotik гузаштем. Гиреҳҳои асосӣ дар CCR1072 сохта шудаанд, дар ҳоле ки нуқтаҳои пайвастшавии компютерии маҳаллӣ дар дастгоҳҳои соддатар ҷойгиранд. Албатта, мо инчунин ҳамгироии шабакаро тавассути нақбҳои IPSEC пешниҳод менамоем; дар ин ҳолат, танзимот хеле содда ва осон аст, ба шарофати фаровонии захираҳои дастрас дар интернет. Аммо, пайвастҳои муштарии мобилӣ бо мушкилоти муайян рӯбарӯ мешаванд; викии истеҳсолкунанда шарҳ медиҳад, ки чӣ тавр нармафзори Shrew-ро истифода бурдан мумкин аст. VPN муштарӣ (ин танзимот ба назар худ аз худ фаҳмо менамояд) ва ин муштарӣест, ки 99% корбарони дастрасии дурдаст истифода мебаранд ва 1% боқимонда ман ҳастам. Ман танҳо наметавонистам ҳар дафъа ворид кардани логин ва пароли худро ташвиш диҳам ва ман таҷрибаи оромтар ва бароҳаттарро бо пайвастҳои қулай ба шабакаҳои корӣ мехостам. Ман ягон дастурро барои танзим кардани Mikrotik барои ҳолатҳое пайдо накардам, ки он на ҳатто дар паси суроғаи хусусӣ, балки дар паси суроғаи комилан сиёҳ ва шояд ҳатто бо якчанд NAT дар шабака ҷойгир аст. Аз ин рӯ, ман маҷбур шудам импровизатсия кунам ва ман ба шумо тавсия медиҳам, ки ба натиҷаҳо назар кунед.
Дастрас:
- CCR1072 ҳамчун дастгоҳи асосӣ. версияи 6.44.1
- CAP ac ҳамчун нуқтаи пайвастшавӣ ба хона. версияи 6.44.1
Хусусияти асосии танзим дар он аст, ки компютер ва Mikrotik бояд дар як шабака бо суроғаи якхела бошанд, ки аз ҷониби 1072-и асосӣ дода шудааст.
Биёед ба танзимот гузарем:
1. Албатта мо Fasttrack-ро фаъол мекунем, аммо азбаски фасттрек бо vpn мувофиқ нест, мо бояд трафики онро кам кунем.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Иловаи интиқоли шабака аз / ба хона ва кор
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Тавсифи пайвасти корбарро эҷод кунед
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Пешниҳоди IPSEC эҷод кунед
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Эҷоди Сиёсати IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Профили IPSEC эҷод кунед
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Ҳамсолони IPSEC-ро эҷод кунед
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Акнун барои баъзе ҷодугарии оддӣ. Азбаски ман аслан намехостам танзимотро дар ҳама дастгоҳҳои шабакаи хонагии худ тағир диҳам, ман маҷбур будам, ки DHCP-ро дар як шабака овезон кунам, аммо ин оқилона аст, ки Mikrotik ба шумо имкон намедиҳад, ки зиёда аз як ҳавзи суроғаро дар як пул овезон кунед. , аз ин рӯ ман як роҳи ҳалро ёфтам, яъне барои ноутбук, ман танҳо DHCP Lease-ро бо параметрҳои дастӣ сохтам ва азбаски ниқоби шабака, шлюз ва dns низ дар DHCP рақамҳои опсия доранд, ман онҳоро дастӣ нишон додам.
1. Имконоти DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. Иҷораи DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Дар айни замон, танзими 1072 амалан асосӣ аст, танҳо ҳангоми додани суроғаи IP ба муштарӣ дар танзимот нишон дода мешавад, ки суроғаи IP-и ба таври дастӣ воридшуда бояд ба ӯ дода шавад, на аз ҳавз. Барои муштариёни муқаррарии компютер, зершабака бо конфигуратсияи Wiki 192.168.55.0/24 якхела аст.
Чунин танзимот ба шумо имкон медиҳад, ки тавассути нармафзори тарафи сеюм ба компютер пайваст нашавед ва худи нақб аз ҷониби роутер ҳангоми зарурат баланд мешавад. Сарбории муштарии CAP ac қариб ҳадди аққал аст, 8-11% бо суръати 9-10МБ/с дар нақб.
Ҳама танзимот тавассути Winbox сохта шудаанд, гарчанде ки бо ҳамон муваффақият онро тавассути консол анҷом додан мумкин аст.
Манбаъ: will.com
