今天是個好日子!
恰巧我們公司這兩年一直在慢慢轉向microtics。 主要節點基於CCR1072構建,設備上計算機的本地連接點更簡單。 當然,也有通過IPSEC隧道的網絡組合,在這種情況下,設置非常簡單並且不會造成任何困難,因為網絡上有很多材料。 但是客戶端的移動連接有一定的困難,廠商的wiki告訴你如何使用Shrew Soft VPN客戶端(通過這個設置一切似乎都清楚了)並且99%的遠程訪問用戶都使用這個客戶端,而1% 是我,我只是太懶了,每次只需在客戶端中輸入登錄名和密碼,我想要一個懶惰的位置在沙發上並方便地連接到工作網絡。 我沒有找到有關配置 Mikrotik 的說明,以應對以下情況:它甚至不在灰色地址後面,而是完全位於黑色地址後面,甚至可能位於網絡上的多個 NAT 後面。 因此,我不得不即興發揮,因此我建議看看結果。
可用的:
- CCR1072作為主要器件。 版本6.44.1
- CAP ac 作為家庭連接點。 版本6.44.1
該設置的主要特點是PC和Mikrotik必須位於同一網絡,具有相同的尋址,由主1072發出。
讓我們繼續進行設置:
1.當然,我們打開Fasttrack,但是由於Fasttrack不兼容VPN,所以我們必須削減它的流量。
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. 添加往返家庭和工作的網絡轉發
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. 創建用戶連接描述
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. 創建 IPSEC 提案
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. 創建 IPSEC 策略
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. 創建 IPSEC 配置文件
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. 創建IPSEC對等體
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
現在來一些簡單的魔法。 由於我並不想更改家庭網絡上所有設備的設置,因此我不得不以某種方式將DHCP 掛在同一網絡上,但Mikrotik 不允許您在一台網橋上掛起多個地址池,這是合理的,所以我找到了一個解決方法,即對於筆記本電腦,我只是使用手動參數創建了 DHCP Lease,並且由於網絡掩碼、網關和 dns 在 DHCP 中也有選項號,所以我手動指定它們。
1.DHCP選項
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP租約
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
同時,設置1072實際上是基本的,僅當在設置中向客戶端分配IP地址時,才指示應將手動輸入的IP地址而不是從池中提供給他。 對於常規 PC 客戶端,子網與 Wiki 配置 192.168.55.0/24 相同。
這樣的設置可以讓你不通過第三方軟件連接到PC,隧道本身由路由器根據需要提出。 客戶端 CAP ac 的負載幾乎是最小的,在隧道中的速度為 8-11MB/s 時為 9-10%。
所有設置都是通過 Winbox 進行的,儘管通過控制台也可以取得同樣的成功。
來源: www.habr.com