Chúc mọi người một ngày tốt lành!
Nó chỉ xảy ra như vậy trong công ty của chúng tôi trong hai năm qua, chúng tôi đã dần dần chuyển sang vi mô. Các nút chính được xây dựng trên CCR1072 và các điểm kết nối cục bộ cho máy tính trên thiết bị đơn giản hơn. Tất nhiên, cũng có sự kết hợp giữa các mạng thông qua đường hầm IPSEC, trong trường hợp này, việc thiết lập khá đơn giản và không gây khó khăn gì vì có rất nhiều tài liệu trên mạng. Nhưng có một số khó khăn nhất định với kết nối di động của máy khách, wiki của nhà sản xuất cho bạn biết cách sử dụng ứng dụng khách VPN mềm Shrew (mọi thứ dường như rõ ràng với cài đặt này) và ứng dụng khách này được 99% người dùng truy cập từ xa sử dụng , và 1% là tôi, tôi quá lười chỉ cần nhập thông tin đăng nhập và mật khẩu vào ứng dụng khách và tôi muốn có một vị trí lười biếng trên đi văng và kết nối thuận tiện với các mạng làm việc. Tôi không tìm thấy hướng dẫn định cấu hình Mikrotik cho các tình huống khi nó thậm chí không nằm sau địa chỉ màu xám mà hoàn toàn nằm sau địa chỉ màu đen và thậm chí có thể có một số NAT trên mạng. Vì vậy, tôi phải ứng biến, và do đó tôi đề nghị xem xét kết quả.
Có sẵn:
- CCR1072 làm thiết bị chính. phiên bản 6.44.1
- CAP ac như điểm kết nối nhà. phiên bản 6.44.1
Đặc điểm chính của cài đặt là PC và Mikrotik phải nằm trên cùng một mạng có cùng địa chỉ do 1072 chính cấp.
Hãy chuyển sang cài đặt:
1. Tất nhiên chúng tôi bật Fasttrack, nhưng vì fasttrack không tương thích với vpn nên chúng tôi phải cắt lưu lượng truy cập của nó.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Thêm chuyển tiếp mạng từ/đến nhà và cơ quan
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Tạo mô tả kết nối người dùng
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Tạo Đề xuất IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Tạo Chính sách IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Tạo hồ sơ IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Tạo IPSEC ngang hàng
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Bây giờ cho một số phép thuật đơn giản. Vì tôi không thực sự muốn thay đổi cài đặt trên tất cả các thiết bị trong mạng gia đình của mình, nên bằng cách nào đó tôi đã phải treo DHCP trên cùng một mạng, nhưng cũng hợp lý khi Mikrotik không cho phép bạn treo nhiều nhóm địa chỉ trên một cầu nối , vì vậy tôi đã tìm ra giải pháp thay thế, cụ thể là đối với máy tính xách tay, tôi chỉ tạo DHCP Lease với các tham số thủ công và vì mặt nạ mạng, cổng và dns cũng có các số tùy chọn trong DHCP nên tôi đã chỉ định chúng theo cách thủ công.
1.Tùy chọn DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.Thuê DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Đồng thời, cài đặt 1072 thực tế là cơ bản, chỉ khi cấp địa chỉ IP cho khách hàng trong cài đặt, nó mới chỉ ra rằng địa chỉ IP được nhập thủ công chứ không phải từ nhóm mới được cấp cho anh ta. Đối với các máy khách PC thông thường, mạng con giống như cấu hình Wiki 192.168.55.0/24.
Cài đặt như vậy cho phép bạn không kết nối với PC thông qua phần mềm của bên thứ ba và bản thân đường hầm sẽ được bộ định tuyến nâng lên khi cần. Tải của CAP ac máy khách gần như tối thiểu, 8-11% với tốc độ 9-10MB / s trong đường hầm.
Tất cả các cài đặt được thực hiện thông qua Winbox, mặc dù bạn cũng có thể thực hiện thông qua bảng điều khiển.
Nguồn: www.habr.com