Magandang araw sa lahat!
Nagkataon na sa aming kumpanya sa nakalipas na dalawang taon ay dahan-dahan kaming lumipat sa Mikrotik. Ang mga pangunahing node ay binuo sa CCR1072, at ang mga lokal na punto ng koneksyon para sa mga computer sa mga device ay mas simple. Siyempre, mayroon ding pagsasama ng mga network sa pamamagitan ng IPSEC tunnel, sa kasong ito ang pag-setup ay medyo simple at hindi nagiging sanhi ng anumang mga paghihirap, sa kabutihang palad mayroong maraming materyal sa network. Ngunit may ilang mga paghihirap sa koneksyon sa mobile ng mga kliyente, ang wiki ng tagagawa ay nagsasabi sa iyo kung paano gamitin ang Shrew soft VPN client (mukhang malinaw ang lahat batay sa setting na ito) at ang kliyenteng ito ang ginagamit ng 99% ng malayuang pag-access mga user, at 1% ako, tamad lang ako sa lahat Sa sandaling naipasok ko ang aking login at password sa kliyente, gusto ko ng tamad na posisyon sa sopa at isang maginhawang koneksyon sa mga network ng trabaho. Hindi ako nakahanap ng mga tagubilin para sa pag-set up ng Mikrotik para sa mga sitwasyon kung saan wala ito sa likod ng isang kulay-abo na address, ngunit ganap na itim at marahil kahit ilang NAT sa network. Samakatuwid, kailangan kong mag-improvise, at samakatuwid ay iminumungkahi kong tingnan mo ang resulta.
Available:
- CCR1072 bilang pangunahing aparato. bersyon 6.44.1
- CAP ac bilang isang home connection point. bersyon 6.44.1
Ang pangunahing tampok ng pag-setup ay ang PC at Mikrotik ay dapat na nasa parehong network na may parehong address, na kung saan ay ibinibigay sa pangunahing 1072.
Lumipat tayo sa mga setting:
1. Siyempre, pinagana namin ang Fasttrack, ngunit dahil hindi tugma ang fasttrack sa VPN, kailangan naming putulin ang trapiko nito.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Magdagdag ng network forwarding mula/papunta sa bahay at trabaho
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Gumawa ng paglalarawan ng koneksyon ng user
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
ΠΎΠ±ΡΠΈΠΉ ΠΊΠ»ΡΡ xauth-login=username xauth-password=password
4. Gumawa ng IPSEC Proposal
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Gumawa ng IPSEC Policy
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Gumawa ng IPSEC profile
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Lumikha ng isang IPSEC peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<Π²Π°Ρ Π°Π΄ΡΠ΅Ρ ΡΠΎΡΡΠ΅ΡΠ°> name=CO profile=
profile_88
Ngayon para sa ilang simpleng magic. Dahil hindi ko talaga gustong baguhin ang mga setting sa lahat ng device sa home network, kailangan kong mag-set up ng DHCP sa parehong network, ngunit makatwiran na hindi ka pinapayagan ng Mikrotik na mag-set up ng higit sa isang address pool sa isang tulay, kaya nakakita ako ng isang workaround, lalo na para sa laptop na ginawa ko lang ang DHCP Lease na may manu-manong pagtukoy sa mga parameter, at dahil ang netmask, gateway at dns ay mayroon ding mga opsyon na numero sa DHCP, tinukoy ko ang mga ito nang manu-mano.
1.Pagpipilian sa DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. DHCP Lease
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC Π°Π΄ΡΠ΅Ρ Π½ΠΎΡΡΠ±ΡΠΊΠ°>
Kasabay nito, ang pagtatakda ng 1072 ay praktikal na basic, kapag nag-isyu ng isang IP address sa isang kliyente, ipinahiwatig sa mga setting na dapat itong bigyan ng isang IP address na ipinasok nang manu-mano, at hindi mula sa pool. Para sa mga regular na kliyente mula sa mga personal na computer, ang subnet ay kapareho ng sa configuration sa Wiki 192.168.55.0/24.
Binibigyang-daan ka ng setup na ito na huwag kumonekta sa iyong PC sa pamamagitan ng software ng third-party, at ang tunnel mismo ay itinataas ng router kung kinakailangan. Ang load sa client CAP ac ay halos minimal, 8-11% sa bilis na 9-10MB/s sa tunnel.
Ang lahat ng mga setting ay ginawa sa pamamagitan ng Winbox, bagama't maaari rin itong gawin sa pamamagitan ng console.
Pinagmulan: www.habr.com