Herkese iyi günler!
Öyle oldu ki, şirketimizde son iki yıldır yavaş yavaş mikrotiklere geçiyoruz. Ana düğümler CCR1072 üzerine kuruludur ve cihazlardaki bilgisayarlar için yerel bağlantı noktaları daha basittir. Elbette IPSEC tüneli üzerinden ağların bir kombinasyonu da var, bu durumda kurulum oldukça basit ve ağ üzerinde çok fazla malzeme olduğu için herhangi bir zorluğa neden olmuyor. Ancak istemcilerin mobil bağlantısıyla ilgili belirli zorluklar var, üreticinin wiki'si Shrew soft VPN istemcisinin nasıl kullanılacağını öneriyor (bu ayarla her şey açık görünüyor) ve uzaktan erişim kullanıcılarının% 99'u tarafından kullanılan bu istemci. ve %1 benim, her biri istemciye kullanıcı adını ve parolayı girmek için çok tembelleştim ve kanepede tembel bir konum ve iş ağlarına uygun bağlantı istedim. Mikrotik'i gri bir adresin arkasında bile olmadığı, tamamen siyah bir adresin ve hatta belki de ağdaki birkaç NAT'ın arkasında olduğu durumlar için yapılandırma talimatları bulamadım. Bu nedenle doğaçlama yapmak zorunda kaldım ve bu nedenle sonuca bakmayı öneriyorum.
Mevcut:
- Ana cihaz olarak CCR1072. sürüm 6.44.1
- Ev bağlantı noktası olarak CAP ac. sürüm 6.44.1
Ayarın ana özelliği, PC ve Mikrotik'in ana 1072 tarafından verilen aynı adresleme ile aynı ağda olması gerektiğidir.
Ayarlara geçelim:
1. Tabi ki Fasttrack'i açıyoruz ama fasttrack vpn ile uyumlu olmadığı için trafiğini kesmek zorunda kalıyoruz.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Eve ve işe ağ yönlendirme ekleme
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Bir kullanıcı bağlantı açıklaması oluşturun
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Bir IPSEC Teklifi Oluşturun
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Bir IPSEC Politikası Oluşturun
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Bir IPSEC profili oluşturun
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Bir IPSEC eşi oluşturun
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Şimdi biraz basit sihir için. Ev ağımdaki tüm cihazlardaki ayarları gerçekten değiştirmek istemediğim için, bir şekilde aynı ağda DHCP'yi asmak zorunda kaldım, ancak Mikrotik'in bir köprüde birden fazla adres havuzu asmanıza izin vermemesi makul. bu yüzden bir geçici çözüm buldum, yani bir dizüstü bilgisayar için, manuel parametrelerle DHCP Lease'i oluşturdum ve ağ maskesi, ağ geçidi ve dns'de DHCP'de seçenek numaraları da olduğundan, bunları manuel olarak belirledim.
1.DHCP Seçenekleri
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP kiralama
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Aynı zamanda, 1072 ayarı pratik olarak basittir, yalnızca ayarlarda bir istemciye bir IP adresi verilirken, kendisine havuzdan değil manuel olarak girilen IP adresinin verilmesi gerektiği belirtilir. Normal PC istemcileri için alt ağ, Wiki yapılandırması 192.168.55.0/24 ile aynıdır.
Böyle bir ayar, PC'ye üçüncü taraf yazılımlar aracılığıyla bağlanmanıza izin vermez ve tünelin kendisi gerektiğinde yönlendirici tarafından yükseltilir. İstemci CAP ac'nin yükü, tünelde 8-11MB / s hızında neredeyse minimum,% 9-10'dir.
Tüm ayarlar Winbox üzerinden yapılmıştır, ancak aynı başarı ile konsol üzerinden de yapılabilir.
Kaynak: habr.com