🥇 מייקראָיק. IPSEC vpn הינטער NAT ווי אַ קליענט

גוטע טאָג אַלעמען!

עס טרעפט זיך אז ביי אונדזער פירמע, האבן מיר ביסלעכווייז אריבערגעגאנגען צו מיקראטיק טשיפס איבער די לעצטע צוויי יאר. די הויפט נאָודז זענען געבויט אויף CCR1072, בשעת לאקאלע קאמפיוטער קאנעקשאן פונקטן זענען אויף פשוטערע דעווייסעס. נאטירלעך, מיר פאָרשלאָגן אויך נעץ אינטעגראַציע דורך IPSEC טונעלן; אין דעם פאַל, איז די סעטאַפּ גאַנץ פּשוט און גלייך, דאַנק די גרויסע צאָל רעסורסן וואָס זענען פאַראַן אָנליין. אָבער, מאָביל קליענט קאנעקשאנס שטעלן פאר געוויסע שוועריקייטן; די וויקי פונעם פאַבריקאַנט דערקלערט ווי צו נוצן Shrew ווייכווארג. וופּן קליענט (די סעטאַפּ מיינט זיך זעלבסט-פאַרשטענדלעך), און דאָס איז דער קליענט וואָס ווערט גענוצט דורך 99% פון ווייַט אַקסעס באַניצער, און די איבעריקע 1% בין איך. איך האָב פשוט נישט געהאַט קיין געדולד צו אַרייַנשרייַבן מיין לאָגין און פּאַראָל יעדעס מאָל, און איך האָב געוואָלט אַ מער רילאַקסט, מער באַקוועם קאַוטש פּאָטעיטאָ דערפאַרונג מיט באַקוועמע קאַנעקשאַנז צו אַרבעט נעטוואָרקס. איך קען נישט געפֿינען קיין אינסטרוקציעס פֿאַר קאָנפיגורירן מיקראָטיק פֿאַר סיטואַציעס וווּ עס איז ליגן ניט אַפֿילו הינטער אַ פּריוואַט אַדרעס, אָבער הינטער אַ גאָר שוואַרצליסטעד איינער, און אפֿשר אפילו מיט קייפל NATs אויף די נעטוואָרק. אַזוי איך האָב געדאַרפט ימפּראַוויזירן, און איך פֿאָרשלאָגן איר נעמען אַ קוק אויף די רעזולטאַטן.

בנימצא:

CCR1072 ווי הויפּט מיטל. ווערסיע 6.44.1
CAP ac ווי היים קשר פונט. ווערסיע 6.44.1

דער הויפּט שטריך פון די באַשטעטיקן איז אַז די פּיסי און מיקראָטיק מוזן זיין אויף דער זעלביקער נעץ מיט דער זעלביקער אַדרעסינג, וואָס איז ארויס דורך די הויפּט 1072.

לאָמיר גיין צו די סעטטינגס:

1. פון קורס, מיר ווענדן אויף פאַסטטראַקק, אָבער זינט פאַסטטראַקק איז נישט קאַמפּאַטאַבאַל מיט וופּן, מיר האָבן צו שנייַדן זייַן פאַרקער.

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. אַדינג נעץ פאָרווערדינג פון / צו שטוב און אַרבעט

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. שאַפֿן אַ באַניצער קשר באַשרייַבונג

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    общий ключ xauth-login=username xauth-password=password

4. שאַפֿן אַן IPSEC פאָרשלאָג

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. שאַפֿן אַן IPSEC פּאָליטיק

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. שאַפֿן אַ IPSEC פּראָפיל

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. שאַפֿן אַ IPSEC ייַנקוקנ

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
    profile_88

איצט פֿאַר עטלעכע פּשוט מאַגיש. זינט איך האט נישט טאַקע ווילן צו טוישן די סעטטינגס אויף אַלע דעוויסעס אויף מיין היים נעץ, איך געהאט צו הענגען DHCP אויף דער זעלביקער נעץ, אָבער עס איז גלייַך אַז מיקראָטיק קען נישט לאָזן איר צו הענגען מער ווי איין אַדרעס בעקן אויף איין בריק, אַזוי איך געפֿונען אַ וואָרקאַראָונד, ניימלי פֿאַר אַ לאַפּטאַפּ, איך נאָר באשאפן DHCP דינגען מיט מאַנואַל פּאַראַמעטערס, און זינט נעטמאַסק, גייטוויי & dns אויך האָבן אָפּציע נומערן אין DHCP, איך ספּעציפיצירט זיי מאַניואַלי.

1.DHCP אָפּציעס

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2.DHCP דינגען

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>

אין דער זעלביקער צייט, באַשטעטיקן 1072 איז פּראַקטאַקלי יקערדיק, נאָר ווען איר אַרויסגעבן אַן IP אַדרעס צו אַ קליענט אין די סעטטינגס, עס איז אנגעוויזן אַז די IP אַדרעס אריין מאַניואַלי און נישט פֿון די בעקן זאָל זיין געגעבן צו אים. פֿאַר רעגולער פּיסי קלייאַנץ, די סובנעט איז די זעלבע ווי די וויקי קאַנפיגיעריישאַן 192.168.55.0/24.

אַזאַ אַ באַשטעטיקן אַלאַוז איר נישט צו פאַרבינדן צו די פּיסי דורך דריט-פּאַרטיי ווייכווארג, און דער טונעל זיך איז אויפגעשטאנען דורך די ראַוטער ווי דארף. די מאַסע פון די קליענט CAP ac איז כּמעט מינימאַל, 8-11% אין אַ גיכקייַט פון 9-10 מב / s אין דעם טונעל.

אַלע סעטטינגס זענען געמאכט דורך Winbox, כאָטש מיט דער זעלביקער הצלחה עס קענען זיין געטאן דורך די קאַנסאָול.

מקור: www.habr.com