پرو ہوسٹر > بلاگ > انتظامیہ > mikroik IPSEC vpn NAT کے پیچھے بطور کلائنٹ

mikroik IPSEC vpn NAT کے پیچھے بطور کلائنٹ

سب کو اچھے دن!

ایسا ہی ہوا کہ ہماری کمپنی میں پچھلے دو سالوں میں ہم آہستہ آہستہ مائیکروٹکس کی طرف جا رہے ہیں۔ مرکزی نوڈس CCR1072 پر بنائے گئے ہیں، اور آلات پر کمپیوٹرز کے لیے مقامی کنکشن پوائنٹس آسان ہیں۔ بلاشبہ، آئی پی ایس ای سی ٹنل کے ذریعے نیٹ ورکس کا ایک مجموعہ بھی ہے، اس صورت میں، سیٹ اپ کافی آسان ہے اور کسی قسم کی مشکلات کا باعث نہیں بنتا، کیونکہ نیٹ ورک پر بہت سارے مواد موجود ہیں۔ لیکن کلائنٹس کے موبائل کنکشن میں کچھ مشکلات ہیں، مینوفیکچرر کا وکی بتاتا ہے کہ کس طرح شریو سافٹ وی پی این کلائنٹ استعمال کیا جائے (اس ترتیب سے سب کچھ واضح نظر آتا ہے) اور یہی کلائنٹ ہے جسے 99 فیصد ریموٹ ایکسیس استعمال کرنے والے استعمال کرتے ہیں، اور 1% میں ہوں، میں ابھی بہت سست ہو گیا ہوں ہر ایک نے کلائنٹ میں لاگ ان اور پاس ورڈ درج کیا اور میں صوفے پر ایک سست مقام اور ورک نیٹ ورکس سے آسان کنکشن چاہتا ہوں۔ مجھے ایسے حالات کے لیے Mikrotik کو ترتیب دینے کے لیے ہدایات نہیں ملیں جب یہ سرمئی پتے کے پیچھے بھی نہیں ہے، بلکہ مکمل طور پر سیاہ کے پیچھے ہے اور شاید نیٹ ورک پر کئی NATs بھی۔ لہذا، مجھے بہتر بنانا پڑا، اور اس وجہ سے میں نتیجہ کو دیکھنے کی تجویز کرتا ہوں.

دستیاب:

  1. CCR1072 بطور مین ڈیوائس۔ ورژن 6.44.1
  2. CAP ac ہوم کنکشن پوائنٹ کے طور پر۔ ورژن 6.44.1

ترتیب کی اہم خصوصیت یہ ہے کہ PC اور Mikrotik ایک ہی نیٹ ورک پر ایک ہی ایڈریس کے ساتھ ہونا چاہیے، جو کہ مین 1072 کے ذریعے جاری کیا جاتا ہے۔

آئیے ترتیبات کی طرف چلتے ہیں:

1. بے شک، ہم فاسٹ ٹریک کو آن کرتے ہیں، لیکن چونکہ فاسٹ ٹریک وی پی این کے ساتھ مطابقت نہیں رکھتا، ہمیں اس کی ٹریفک کو کم کرنا ہوگا۔

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. گھر اور کام سے نیٹ ورک فارورڈنگ شامل کرنا

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. صارف کنکشن کی تفصیل بنائیں

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    общий ключ xauth-login=username xauth-password=password

4. ایک IPSEC تجویز بنائیں

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. ایک IPSEC پالیسی بنائیں

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. ایک IPSEC پروفائل بنائیں

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. ایک IPSEC ہم مرتبہ بنائیں

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
    profile_88

اب کچھ سادہ جادو کے لئے. چونکہ میں واقعی میں اپنے ہوم نیٹ ورک پر موجود تمام ڈیوائسز کی سیٹنگز کو تبدیل نہیں کرنا چاہتا تھا، اس لیے مجھے کسی نہ کسی طرح اسی نیٹ ورک پر DHCP ہینگ کرنا پڑا، لیکن یہ مناسب ہے کہ Mikrotik آپ کو ایک پل پر ایک سے زیادہ ایڈریس پول لٹکانے کی اجازت نہیں دیتا۔ ، لہذا میں نے ایک حل تلاش کیا، یعنی ایک لیپ ٹاپ کے لیے، میں نے ابھی دستی پیرامیٹرز کے ساتھ DHCP لیز بنائی ہے، اور چونکہ نیٹ ماسک، گیٹ وے اور ڈی این ایس کے بھی DHCP میں آپشن نمبرز ہیں، میں نے انہیں دستی طور پر بیان کیا۔

1.DHCP اختیارات

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2.DHCP لیز

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>

ایک ہی وقت میں، 1072 کی ترتیب عملی طور پر بنیادی ہے، صرف سیٹنگز میں کسی کلائنٹ کو IP ایڈریس جاری کرتے وقت یہ اشارہ کیا جاتا ہے کہ IP ایڈریس دستی طور پر درج کیا گیا ہے، پول سے نہیں، اسے دیا جانا چاہیے۔ پی سی کے ریگولر کلائنٹس کے لیے، سب نیٹ ویکی کنفیگریشن 192.168.55.0/24 جیسا ہی ہے۔

اس طرح کی ترتیب آپ کو تھرڈ پارٹی سافٹ ویئر کے ذریعے پی سی سے منسلک ہونے کی اجازت نہیں دیتی ہے، اور ضرورت کے مطابق روٹر خود سرنگ اٹھاتا ہے۔ کلائنٹ CAP ac کا بوجھ تقریباً کم سے کم ہے، سرنگ میں 8-11MB/s کی رفتار سے 9-10%۔

تمام ترتیبات ون باکس کے ذریعے کی گئی تھیں، حالانکہ اسی کامیابی کے ساتھ یہ کنسول کے ذریعے کیا جا سکتا ہے۔

ماخذ: www.habr.com

نیا تبصرہ شامل کریں