大家好!
恰好,我们公司在过去两年里一直在逐步过渡到使用 Mikrotik 芯片。主节点采用 CCR1072,而本地计算机连接点则使用更简单的设备。当然,我们也提供通过 IPsec 隧道进行网络集成的服务;在这种情况下,由于网上资源丰富,设置非常简单直接。然而,移动客户端连接会带来一些挑战;制造商的 Wiki 文档解释了如何使用 Shrew 软件。 VPN 客户端(这个设置应该不言自明),99% 的远程访问用户都使用这个客户端,剩下的 1% 就是我。我实在懒得每次都输入用户名和密码,我想要更轻松、更舒适的“沙发土豆”体验,并且能方便地连接到工作网络。我找不到任何关于如何在 Mikrotik 上配置的说明,尤其是在它不在私有地址之后,而是在一个完全被列入黑名单的地址之后,甚至可能还有多个 NAT 网络的情况下。所以我只能自己摸索,建议你看看最终结果。
有:
- CCR1072作为主要器件。 版本6.44.1
- CAP ac 作为家庭连接点。 版本6.44.1
该设置的主要特点是PC和Mikrotik必须位于同一网络,具有相同的寻址,由主1072发出。
让我们继续进行设置:
1.我们当然打开Fasttrack,但是由于Fasttrack不兼容VPN,所以我们必须削减它的流量。
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. 添加往返家庭和工作的网络转发
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. 创建用户连接描述
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. 创建 IPSEC 提案
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. 创建 IPSEC 策略
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. 创建 IPSEC 配置文件
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. 创建IPSEC对等体
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
现在来一些简单的魔法。 由于我并不想更改家庭网络上所有设备的设置,因此我不得不以某种方式将 DHCP 挂在同一网络上,但 Mikrotik 不允许您在一台网桥上挂起多个地址池是合理的,所以我找到了一个解决方法,即对于笔记本电脑,我只是使用手动参数创建了 DHCP Lease,并且由于网络掩码、网关和 dns 在 DHCP 中也有选项号,所以我手动指定它们。
1.DHCP选项
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP租约
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
同时,设置1072实际上是基本的,仅当在设置中向客户端分配IP地址时,才指示应将手动输入的IP地址而不是从池中提供给他。 对于常规 PC 客户端,子网与 Wiki 配置 192.168.55.0/24 相同。
这样的设置可以让你不通过第三方软件连接到PC,隧道本身由路由器根据需要提出。 客户端 CAP ac 的负载几乎是最小的,在隧道中的速度为 8-11MB/s 时为 9-10%。
所有设置都是通过 Winbox 进行的,尽管通过控制台也可以取得同样的成功。
来源: habr.com
