Chúc mọi người một ngày tốt lành!
Thật trùng hợp là tại công ty chúng tôi, chúng tôi đã dần chuyển sang sử dụng chip Mikrotik trong hai năm qua. Các node chính được xây dựng trên CCR1072, trong khi các điểm kết nối máy tính cục bộ được đặt trên các thiết bị đơn giản hơn. Tất nhiên, chúng tôi cũng cung cấp tích hợp mạng thông qua đường hầm IPSEC; trong trường hợp này, việc thiết lập khá đơn giản và dễ dàng, nhờ vào nguồn tài liệu phong phú có sẵn trực tuyến. Tuy nhiên, kết nối máy khách di động đặt ra một số thách thức; trang wiki của nhà sản xuất giải thích cách sử dụng phần mềm Shrew. VPN Đây là máy khách (cấu hình này có vẻ khá dễ hiểu), và đây là máy khách được 99% người dùng truy cập từ xa sử dụng, 1% còn lại là tôi. Tôi đơn giản là không muốn phải nhập tên đăng nhập và mật khẩu mỗi lần, và tôi muốn có trải nghiệm thoải mái, dễ chịu hơn khi làm việc tại nhà với các kết nối thuận tiện đến mạng công ty. Tôi không tìm thấy bất kỳ hướng dẫn nào để cấu hình Mikrotik trong trường hợp nó không nằm sau địa chỉ IP riêng, mà lại nằm sau một địa chỉ bị đưa vào danh sách đen hoàn toàn, và thậm chí có thể có nhiều NAT trên mạng. Vì vậy, tôi phải tự mày mò, và tôi khuyên bạn nên xem kết quả.
Có sẵn:
- CCR1072 làm thiết bị chính. phiên bản 6.44.1
- CAP ac như điểm kết nối nhà. phiên bản 6.44.1
Đặc điểm chính của cài đặt là PC và Mikrotik phải nằm trên cùng một mạng có cùng địa chỉ do 1072 chính cấp.
Hãy chuyển sang cài đặt:
1. Tất nhiên chúng tôi bật Fasttrack, nhưng vì fasttrack không tương thích với vpn nên chúng tôi phải cắt lưu lượng truy cập của nó.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Thêm chuyển tiếp mạng từ/đến nhà và cơ quan
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Tạo mô tả kết nối người dùng
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Tạo Đề xuất IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Tạo Chính sách IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Tạo hồ sơ IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Tạo IPSEC ngang hàng
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Bây giờ cho một số phép thuật đơn giản. Vì tôi không thực sự muốn thay đổi cài đặt trên tất cả các thiết bị trong mạng gia đình của mình, nên bằng cách nào đó tôi đã phải treo DHCP trên cùng một mạng, nhưng cũng hợp lý khi Mikrotik không cho phép bạn treo nhiều nhóm địa chỉ trên một cầu nối , vì vậy tôi đã tìm ra giải pháp thay thế, cụ thể là đối với máy tính xách tay, tôi chỉ tạo DHCP Lease với các tham số thủ công và vì mặt nạ mạng, cổng và dns cũng có các số tùy chọn trong DHCP nên tôi đã chỉ định chúng theo cách thủ công.
1.Tùy chọn DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.Thuê DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Đồng thời, cài đặt 1072 thực tế là cơ bản, chỉ khi cấp địa chỉ IP cho khách hàng trong cài đặt, nó mới chỉ ra rằng địa chỉ IP được nhập thủ công chứ không phải từ nhóm mới được cấp cho anh ta. Đối với các máy khách PC thông thường, mạng con giống như cấu hình Wiki 192.168.55.0/24.
Cài đặt như vậy cho phép bạn không kết nối với PC thông qua phần mềm của bên thứ ba và bản thân đường hầm sẽ được bộ định tuyến nâng lên khi cần. Tải của CAP ac máy khách gần như tối thiểu, 8-11% với tốc độ 9-10MB / s trong đường hầm.
Tất cả các cài đặt được thực hiện thông qua Winbox, mặc dù bạn cũng có thể thực hiện thông qua bảng điều khiển.
Nguồn: www.habr.com
