يوم جيد للجميع!
لقد حدث أننا في شركتنا على مدار العامين الماضيين ، نتحرك ببطء نحو ميكروتكس. تم بناء العقد الرئيسية على CCR1072 ، وأسهل نقاط الاتصال المحلية لأجهزة الكمبيوتر على الأجهزة. بالطبع ، هناك اتحاد للشبكات عبر نفق IPSEC ، في هذه الحالة ، التكوين بسيط للغاية ولا يسبب أي صعوبات ، نظرًا لوجود العديد من المواد على الشبكة. ولكن هناك بعض الصعوبات في اتصال الأجهزة المحمولة للعملاء ، فإن ويكي الشركة المصنعة تخبرك بكيفية استخدام عميل Shrew soft VPN (يبدو أن كل شيء واضح مع هذا الإعداد) ويستخدم هذا العميل المحدد 99 ٪ من مستخدمي الوصول عن بعد ، و 1 ٪ مني ، أصبحت للتو كسول فقط أدخل اسم المستخدم وكلمة المرور في العميل وأردت ترتيبًا كسولًا على الأريكة واتصالًا مريحًا بشبكات العمل. تعليمات لتكوين Mikrotik للمواقف عندما لا يكون خلف العنوان الرمادي ، لكن خلف العنوان الأسود بالكامل وربما حتى عدة NAT على الشبكة ، لم أجد. لأنني كنت مضطرًا إلى الارتجال ، وبالتالي أقترح إلقاء نظرة على النتيجة.
هناك:
- CCR1072 كجهاز رئيسي. الإصدار 6.44.1
- CAP ac كنقطة اتصال منزلية. الإصدار 6.44.1
الميزة الرئيسية للإعداد هي أن الكمبيوتر الشخصي و Mikrotik يجب أن يكونا على نفس الشبكة بنفس العنوان ، الذي صدر عن 1072 الرئيسي.
انتقل إلى الإعداد:
1. بالطبع ، قم بتمكين Fasttrack ، ولكن نظرًا لأن fasttrack غير متوافق مع VPN ، يجب عليك قطع حركة المرور الخاصة به.
/ip firewall mangle add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=\ in,ipsec new-connection-mark=ipsec passthrough=yes add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=\ out,ipsec new-connection-mark=ipsec passthrough=yes /ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. أضف إعادة توجيه الشبكة من / إلى المنزل والعمل
/ip firewall raw add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.76.0/24 add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.98.0/24 add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.77.0/24
3. إنشاء وصف اتصال المستخدم
/ip ipsec identity add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=\ xauth-login=username xauth-password=password
4. إنشاء اقتراح IPSEC
/ip ipsec proposal add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. قم بإنشاء سياسة IPSEC
/ip ipsec policy add dst-address=10.7.76.0/24 level=unique proposal="prop1" \ sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=\ 192.168.33.0/24 tunnel=yes add dst-address=10.7.77.0/24 level=unique proposal="prop1" \ sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=\ 192.168.33.0/24 tunnel=yes
6. إنشاء ملف تعريف IPSEC
/ip ipsec profile set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=\ aes-192,aes-128,3des nat-traversal=no add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1 add name=profile_88 add dh-group=modp1024 lifetime=4h name=profile246
7. إنشاء نظير IPSEC
/ip ipsec peer add address=<white IP 1072>/32 local-address=< > name=CO profile=\ profile_88
والآن سحر بسيط قليلا. نظرًا لأنني لم أرغب حقًا في تغيير الإعدادات على جميع الأجهزة على الشبكة المنزلية ، فقد تعين علي إيقاف اتصال DHCP بطريقة أو بأخرى على نفس الشبكة ، ولكن من المعقول أن Mikrotik لا يسمح بتعليق أكثر من تجمع عناوين واحد على جسر واحد ، لذلك وجدت حلاً ، وهو: لقد قمت ببساطة بإنشاء تأجير DHCP للكمبيوتر المحمول مع إشارة يدوية للمعلمات ، وبما أن قناع الشبكة والبوابة ونظام أسماء النطاقات لديهم أيضًا خيارات أرقام في DHCP ، فقد تم تحديده يدويًا أيضًا.
1. خيار DHCP
/ip dhcp-server option add code=3 name=option3-gateway value="'192.168.33.1'" add code=1 name=option1-netmask value="'255.255.255.0'" add code=6 name=option6-dns value="'8.8.8.8'"
2. DHCP الإيجار
/ip dhcp-server lease add address=192.168.33.4 dhcp-option=\ option1-netmask,option3-gateway,option6-dns mac-address=<MAC >
في هذه الحالة ، يكون الإعداد 1072 أساسيًا تقريبًا ، فقط عند إصدار عنوان IP للعميل ، تشير الإعدادات إلى أنه يجب إعطاء عنوان IP تم إدخاله يدويًا وليس من التجمع. بالنسبة للعملاء العاديين الذين يستخدمون أجهزة الكمبيوتر الشخصية ، فإن الشبكة الفرعية هي نفسها كما في التكوين مع Wiki 192.168.55.0/24.
سأضيف قليلاً ، على خادم الاتصال الرئيسي 1072 ، ستحتاج أيضًا إلى إضافة قواعد لإعادة توجيه الشبكة المتماثلة إلى IP-Firewall-RAW. عند إضافة إعادة توجيه جديدة للشبكة ، من الضروري إضافة قواعد إلى IPSEC-Policy على العميل والخادم وكذلك على خادم IP-Firewall-RAW وقائمة عناوين NAT.
يتيح لك هذا الإعداد عدم الاتصال بجهاز الكمبيوتر عبر برنامج تابع لجهة خارجية ، ويقوم النفق نفسه برفع الموجه حسب الحاجة. يبلغ تحميل العميل CAP ac الحد الأدنى تقريبًا ، من 8 إلى 11٪ بسرعة تتراوح من 9 إلى 10 ميغابايت / ثانية في النفق.
تم إجراء جميع الإعدادات من خلال Winbox ، على الرغم من النجاح نفسه الذي يمكن القيام به من خلال وحدة التحكم.