大家好!
恰巧我们公司这两年一直在慢慢转向microtics。 主要节点基于CCR1072构建,设备上计算机的本地连接点更简单。 当然,也有通过IPSEC隧道的网络组合,在这种情况下,设置非常简单并且不会造成任何困难,因为网络上有很多材料。 但是客户端的移动连接有一定的困难,厂商的wiki告诉你如何使用Shrew Soft VPN客户端(通过这个设置一切似乎都清楚了)并且99%的远程访问用户都使用这个客户端,而 1% 是我,我只是太懒了,每次只需在客户端中输入用户名和密码,我想要一个懒惰的位置在沙发上并方便地连接到工作网络。 我没有找到任何配置 Mikrotik 的说明,以应对它甚至不在灰色地址后面,而是完全在黑色地址后面,甚至可能在网络上的多个 NAT 后面的情况。 因此,我不得不即兴发挥,因此我建议看看结果。
有:
- CCR1072作为主要器件。 版本6.44.1
- CAP ac 作为家庭连接点。 版本6.44.1
该设置的主要特点是PC和Mikrotik必须位于同一网络,具有相同的寻址,由主1072发出。
让我们继续进行设置:
1.我们当然打开Fasttrack,但是由于Fasttrack不兼容VPN,所以我们必须削减它的流量。
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. 添加往返家庭和工作的网络转发
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. 创建用户连接描述
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. 创建 IPSEC 提案
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. 创建 IPSEC 策略
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. 创建 IPSEC 配置文件
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. 创建IPSEC对等体
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
现在来一些简单的魔法。 由于我并不想更改家庭网络上所有设备的设置,因此我不得不以某种方式将 DHCP 挂在同一网络上,但 Mikrotik 不允许您在一台网桥上挂起多个地址池是合理的,所以我找到了一个解决方法,即对于笔记本电脑,我只是使用手动参数创建了 DHCP Lease,并且由于网络掩码、网关和 dns 在 DHCP 中也有选项号,所以我手动指定它们。
1.DHCP选项
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP租约
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
同时,设置1072实际上是基本的,仅当在设置中向客户端分配IP地址时,才指示应将手动输入的IP地址而不是从池中提供给他。 对于常规 PC 客户端,子网与 Wiki 配置 192.168.55.0/24 相同。
这样的设置可以让你不通过第三方软件连接到PC,隧道本身由路由器根据需要提出。 客户端 CAP ac 的负载几乎是最小的,在隧道中的速度为 8-11MB/s 时为 9-10%。
所有设置都是通过 Winbox 进行的,尽管通过控制台也可以取得同样的成功。
来源: habr.com