Magandang araw sa lahat!
Nagkataon lang na sa aming kumpanya, unti-unti kaming lumilipat sa mga Mikrotik chip sa nakalipas na dalawang taon. Ang mga pangunahing node ay binuo sa CCR1072, habang ang mga lokal na punto ng koneksyon sa computer ay nasa mas simpleng mga device. Siyempre, nag-aalok din kami ng integrasyon ng network sa pamamagitan ng mga IPSEC tunnel; sa kasong ito, ang pag-setup ay medyo simple at diretso, salamat sa kasaganaan ng mga mapagkukunang magagamit online. Gayunpaman, ang mga koneksyon sa mobile client ay nagpapakita ng ilang mga hamon; ipinapaliwanag ng wiki ng tagagawa kung paano gamitin ang Shrew soft. VPN client (mukhang madali lang naman ang setup na ito), at ito ang client na ginagamit ng 99% ng mga remote access user, at ako ang natitirang 1%. Hindi ko talaga maabala na ilagay ang aking login at password sa bawat pagkakataon, at gusto ko ng mas relaks at komportableng karanasan sa couch potato na may maginhawang koneksyon sa mga work network. Wala akong makitang instruksyon para sa pag-configure ng Mikrotik para sa mga sitwasyon kung saan ito matatagpuan hindi man lang sa likod ng isang private address, kundi sa likod ng isang ganap na naka-blacklist, at marahil ay may maraming NAT sa network. Kaya kinailangan kong mag-improvise, at iminumungkahi kong tingnan mo ang mga resulta.
Available:
- CCR1072 bilang pangunahing aparato. bersyon 6.44.1
- CAP ac bilang isang home connection point. bersyon 6.44.1
Ang pangunahing tampok ng pag-setup ay ang PC at Mikrotik ay dapat na nasa parehong network na may parehong address, na kung saan ay ibinibigay sa pangunahing 1072.
Lumipat tayo sa mga setting:
1. Siyempre, pinagana namin ang Fasttrack, ngunit dahil hindi tugma ang fasttrack sa VPN, kailangan naming putulin ang trapiko nito.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Magdagdag ng network forwarding mula/papunta sa bahay at trabaho
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Gumawa ng paglalarawan ng koneksyon ng user
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Gumawa ng IPSEC Proposal
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Gumawa ng IPSEC Policy
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Gumawa ng IPSEC profile
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Lumikha ng isang IPSEC peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Ngayon para sa ilang simpleng magic. Dahil hindi ko talaga gustong baguhin ang mga setting sa lahat ng device sa home network, kailangan kong mag-set up ng DHCP sa parehong network, ngunit makatwiran na hindi ka pinapayagan ng Mikrotik na mag-set up ng higit sa isang address pool sa isang tulay, kaya nakakita ako ng isang workaround, lalo na para sa laptop na ginawa ko lang ang DHCP Lease na may manu-manong pagtukoy sa mga parameter, at dahil ang netmask, gateway at dns ay mayroon ding mga opsyon na numero sa DHCP, tinukoy ko ang mga ito nang manu-mano.
1.Pagpipilian sa DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. DHCP Lease
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Kasabay nito, ang pagtatakda ng 1072 ay praktikal na basic, kapag nag-isyu ng isang IP address sa isang kliyente, ipinahiwatig sa mga setting na dapat itong bigyan ng isang IP address na ipinasok nang manu-mano, at hindi mula sa pool. Para sa mga regular na kliyente mula sa mga personal na computer, ang subnet ay kapareho ng sa configuration sa Wiki 192.168.55.0/24.
Binibigyang-daan ka ng setup na ito na huwag kumonekta sa iyong PC sa pamamagitan ng software ng third-party, at ang tunnel mismo ay itinataas ng router kung kinakailangan. Ang load sa client CAP ac ay halos minimal, 8-11% sa bilis na 9-10MB/s sa tunnel.
Ang lahat ng mga setting ay ginawa sa pamamagitan ng Winbox, bagama't maaari rin itong gawin sa pamamagitan ng console.
Pinagmulan: www.habr.com
