🥇 מייקראָיק. IPSEC vpn הינטער NAT ווי אַ קליענט

גוטע טאָג אַלעמען!

עס פּונקט אַזוי געטראפן אַז אין אונדזער פירמע אין די לעצטע צוויי יאָר מיר האָבן סלאָולי סוויטשינג צו מיקראָטיקס. די הויפּט נאָודז זענען געבויט אויף CCR1072, און היגע קאַנעקשאַנז פֿאַר קאָמפּיוטערס אויף דעוויסעס זענען סימפּלער. פון קורס, עס איז אויך אַ קאָמבינאַציע פון נעטוואָרקס דורך די IPSEC טונעל, אין דעם פאַל, די סעטאַפּ איז גאַנץ פּשוט און טוט נישט גרונט קיין שוועריקייטן, ווייַל עס זענען אַ פּלאַץ פון מאַטעריאַלס אויף די נעץ. אבער עס זענען זיכער שוועריקייטן מיט די רירעוודיק פֿאַרבינדונג פון קלייאַנץ, דער פאַבריקאַנט ס וויקי דערציילט איר ווי צו נוצן די Shrew soft VPN קליענט (אַלץ מיינט צו זיין קלאָר מיט דעם באַשטעטיקן) און דאָס איז דער קליענט וואָס איז געניצט דורך 99% פון ווייַט אַקסעס ניצערס , און 1% איז מיר, איך איז געווען פּונקט צו פויל יעדער נאָר אַרייַן די לאָגין און פּאַראָל אין דעם קליענט און איך געוואלט אַ פויל אָרט אויף דער קאַנאַפּע און באַקוועם קשר צו אַרבעט נעטוואָרקס. איך האָב ניט געפֿונען אינסטרוקציעס פֿאַר קאַנפיגיערינג מיקראָטיק פֿאַר סיטואַטיאָנס ווען עס איז נישט אַפֿילו הינטער אַ גרוי אַדרעס, אָבער גאָר הינטער אַ שוואַרץ און אפֿשר אפילו עטלעכע NATs אויף די נעץ. דערפאר האב איך געמוזט אימפראוויזירן, און דערפאר לייג איך פאר צו קוקן אויפן רעזולטאט.

בנימצא:

CCR1072 ווי הויפּט מיטל. ווערסיע 6.44.1
CAP ac ווי היים קשר פונט. ווערסיע 6.44.1

דער הויפּט שטריך פון די באַשטעטיקן איז אַז די פּיסי און מיקראָטיק מוזן זיין אויף דער זעלביקער נעץ מיט דער זעלביקער אַדרעסינג, וואָס איז ארויס דורך די הויפּט 1072.

לאָמיר גיין צו די סעטטינגס:

1. פון קורס, מיר ווענדן אויף פאַסטטראַקק, אָבער זינט פאַסטטראַקק איז נישט קאַמפּאַטאַבאַל מיט וופּן, מיר האָבן צו שנייַדן זייַן פאַרקער.

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. אַדינג נעץ פאָרווערדינג פון / צו שטוב און אַרבעט

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. שאַפֿן אַ באַניצער קשר באַשרייַבונג

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    общий ключ xauth-login=username xauth-password=password

4. שאַפֿן אַן IPSEC פאָרשלאָג

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. שאַפֿן אַן IPSEC פּאָליטיק

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. שאַפֿן אַ IPSEC פּראָפיל

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. שאַפֿן אַ IPSEC ייַנקוקנ

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
    profile_88

איצט פֿאַר עטלעכע פּשוט מאַגיש. זינט איך האט נישט טאַקע ווילן צו טוישן די סעטטינגס אויף אַלע דעוויסעס אויף מיין היים נעץ, איך געהאט צו הענגען DHCP אויף דער זעלביקער נעץ, אָבער עס איז גלייַך אַז מיקראָטיק קען נישט לאָזן איר צו הענגען מער ווי איין אַדרעס בעקן אויף איין בריק, אַזוי איך געפֿונען אַ וואָרקאַראָונד, ניימלי פֿאַר אַ לאַפּטאַפּ, איך נאָר באשאפן DHCP דינגען מיט מאַנואַל פּאַראַמעטערס, און זינט נעטמאַסק, גייטוויי & dns אויך האָבן אָפּציע נומערן אין DHCP, איך ספּעציפיצירט זיי מאַניואַלי.

1.DHCP אָפּציעס

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2.DHCP דינגען

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>

אין דער זעלביקער צייט, באַשטעטיקן 1072 איז פּראַקטאַקלי יקערדיק, נאָר ווען איר אַרויסגעבן אַן IP אַדרעס צו אַ קליענט אין די סעטטינגס, עס איז אנגעוויזן אַז די IP אַדרעס אריין מאַניואַלי און נישט פֿון די בעקן זאָל זיין געגעבן צו אים. פֿאַר רעגולער פּיסי קלייאַנץ, די סובנעט איז די זעלבע ווי די וויקי קאַנפיגיעריישאַן 192.168.55.0/24.

אַזאַ אַ באַשטעטיקן אַלאַוז איר נישט צו פאַרבינדן צו די פּיסי דורך דריט-פּאַרטיי ווייכווארג, און דער טונעל זיך איז אויפגעשטאנען דורך די ראַוטער ווי דארף. די מאַסע פון די קליענט CAP ac איז כּמעט מינימאַל, 8-11% אין אַ גיכקייַט פון 9-10 מב / s אין דעם טונעל.

אַלע סעטטינגס זענען געמאכט דורך Winbox, כאָטש מיט דער זעלביקער הצלחה עס קענען זיין געטאן דורך די קאַנסאָול.

מקור: www.habr.com

mikroik. IPSEC vpn הינטער NAT ווי קליענט

לייגן אַ באַמערקונג באָטל מאַכן ענטפער