今天是個好日子!
恰好,我們公司在過去兩年一直在逐步過渡到使用 Mikrotik 晶片。主節點採用 CCR1072,而本地電腦連接點則使用較簡單的設備。當然,我們也提供透過 IPsec 隧道進行網路整合的服務;在這種情況下,由於網路資源豐富,設定非常簡單直接。然而,行動用戶端連線會帶來一些挑戰;製造商的 Wiki 文件解釋如何使用 Shrew 軟體。 VPN 客戶端(這個設定應該不言自明),99% 的遠端存取用戶都使用這個客戶端,剩下的 1% 就是我。我實在懶得每次都輸入使用者名稱和密碼,我想要更輕鬆、更舒適的「沙發馬鈴薯」體驗,並且能方便地連接到工作網絡。我找不到任何關於如何在 Mikrotik 上配置的說明,尤其是在它不在私人地址之後,而是在一個完全被列入黑名單的地址之後,甚至可能還有多個 NAT 網路的情況下。所以我只能自己摸索,建議你看看最終結果。
可用的:
- CCR1072作為主裝置。版本 6.44.1
- CAP ac 作為家庭連結點。版本 6.44.1
此設定的主要特點是 PC 和 Mikrotik 必須位於同一網路中,並具有相同的位址,這是主 1072 提供的。
讓我們繼續設定:
1.當然是開啟Fasttrack,但由於Fasttrack不相容VPN,所以我們要切斷它的流量。
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. 新增從/到家和公司網路轉發
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3.建立用戶連線描述
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. 建立 IPSEC 提案
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5.建立IPSEC策略
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6.建立 IPSEC 設定文件
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7.創建IPSEC對等體
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
現在來看看簡單的小魔術。由於我並不想真正更改家庭網路中所有設備的設置,因此我不得不以某種方式將 DHCP 掛在同一個網路上,但 Mikrotik 不允許在一個橋上掛多個地址池,這是合理的,因此我找到了一種解決方法,即,對於筆記型電腦,我只需創建 DHCP 租約並指定了一個系統,並且由於網路掩碼參數和 DNS 選項
1. DHCP選項
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. DHCP租約
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
在這種情況下,設定 1072 實際上是基本的,僅在向客戶端發出 IP 位址時,設定才表示應該為其提供手動輸入的 IP 位址,而不是來自池中的 IP 位址。對於個人電腦的常規用戶端,子網路與 Wiki 配置 192.168.55.0/24 中的相同。
此設定可讓您不透過第三方軟體連接到您的 PC,隧道會根據需要由路由器自動升起。客戶端 CAP ac 的負載實際上很小,隧道速度為 8-11 MB/s 時為 9-10%。
所有設定都是透過 Winbox 進行的,儘管也可以透過控制台輕鬆完成。
來源: www.habr.com
