Рӯзи хуш ба ҳама!
Хамин тавр шуд, ки дар корхонаи мо дар давоми ду соли охир охиста-охиста ба микротика гузаштем. Гиреҳҳои асосӣ дар CCR1072 сохта шудаанд ва нуқтаҳои пайвасти маҳаллӣ барои компютерҳо дар дастгоҳҳо соддатаранд. Албатта, инчунин маҷмӯи шабакаҳо тавассути нақби IPSEC вуҷуд дорад, дар ин ҳолат, танзим хеле содда аст ва ҳеҷ гуна мушкилотро ба вуҷуд намеорад, зеро дар шабака маводҳои зиёде мавҷуданд. Аммо бо пайвасти мобилии муштариён мушкилоти муайян вуҷуд дорад, викии истеҳсолкунанда ба шумо мегӯяд, ки чӣ тавр истифода бурдани муштарии Shrew soft VPN (бо ин танзим ҳама чиз равшан ба назар мерасад) ва маҳз ҳамин муштарӣ аз ҷониби 99% корбарони дастрасии дурдаст истифода мешавад. , ва 1% ман ҳастам, ман хеле танбал будам, ки ҳар як танҳо логин ва паролро дар мизоҷ ворид мекардам ва ман мехостам, ки як макони танбал дар диван ва пайвасти қулай ба шабакаҳои корӣ дошта бошам. Ман дастур оид ба конфигуратсияи Mikrotik-ро барои ҳолатҳое наёфтам, ки он ҳатто дар паси суроғаи хокистарӣ нест, балки комилан дар паси суроғаи сиёҳ ва шояд ҳатто якчанд NAT дар шабака бошад. Аз ин рӯ, ман маҷбур будам, ки импровизатсия кунам ва аз ин рӯ ман пешниҳод мекунам, ки ба натиҷа назар кунам.
Дастрас:
- CCR1072 ҳамчун дастгоҳи асосӣ. версияи 6.44.1
- CAP ac ҳамчун нуқтаи пайвастшавӣ ба хона. версияи 6.44.1
Хусусияти асосии танзим дар он аст, ки компютер ва Mikrotik бояд дар як шабака бо суроғаи якхела бошанд, ки аз ҷониби 1072-и асосӣ дода шудааст.
Биёед ба танзимот гузарем:
1. Албатта мо Fasttrack-ро фаъол мекунем, аммо азбаски фасттрек бо vpn мувофиқ нест, мо бояд трафики онро кам кунем.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Иловаи интиқоли шабака аз / ба хона ва кор
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Тавсифи пайвасти корбарро эҷод кунед
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Пешниҳоди IPSEC эҷод кунед
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Эҷоди Сиёсати IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Профили IPSEC эҷод кунед
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Ҳамсолони IPSEC-ро эҷод кунед
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Акнун барои баъзе ҷодугарии оддӣ. Азбаски ман аслан намехостам танзимотро дар ҳама дастгоҳҳои шабакаи хонагии худ тағир диҳам, ман маҷбур будам, ки DHCP-ро дар як шабака овезон кунам, аммо ин оқилона аст, ки Mikrotik ба шумо имкон намедиҳад, ки зиёда аз як ҳавзи суроғаро дар як пул овезон кунед. , аз ин рӯ ман як роҳи ҳалро ёфтам, яъне барои ноутбук, ман танҳо DHCP Lease-ро бо параметрҳои дастӣ сохтам ва азбаски ниқоби шабака, шлюз ва dns низ дар DHCP рақамҳои опсия доранд, ман онҳоро дастӣ нишон додам.
1. Имконоти DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. Иҷораи DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Дар айни замон, танзими 1072 амалан асосӣ аст, танҳо ҳангоми додани суроғаи IP ба муштарӣ дар танзимот нишон дода мешавад, ки суроғаи IP-и ба таври дастӣ воридшуда бояд ба ӯ дода шавад, на аз ҳавз. Барои муштариёни муқаррарии компютер, зершабака бо конфигуратсияи Wiki 192.168.55.0/24 якхела аст.
Чунин танзимот ба шумо имкон медиҳад, ки тавассути нармафзори тарафи сеюм ба компютер пайваст нашавед ва худи нақб аз ҷониби роутер ҳангоми зарурат баланд мешавад. Сарбории муштарии CAP ac қариб ҳадди аққал аст, 8-11% бо суръати 9-10МБ/с дар нақб.
Ҳама танзимот тавассути Winbox сохта шудаанд, гарчанде ки бо ҳамон муваффақият онро тавассути консол анҷом додан мумкин аст.
Манбаъ: will.com