Geekly articles weekly

Mikrotikред рдПрдХ рдЧреНрд░рд╛рд╣рдХ рдХреЗ рд░реВрдк рдореЗрдВ NAT рдХреЗ рд▓рд┐рдП IPSEC vpn

рд╕рднреА рдХреЛ рд╢реБрдн рджрд┐рди!

рдРрд╕рд╛ рд╣реБрдЖ рдХрд┐ рдкрд┐рдЫрд▓реЗ рджреЛ рд╡рд░реНрд╖реЛрдВ рдореЗрдВ рд╣рдорд╛рд░реА рдХрдВрдкрдиреА рдореЗрдВ, рд╣рдо рдзреАрд░реЗ-рдзреАрд░реЗ рдорд╛рдЗрдХреНрд░реЛрдЯрд┐рдХреНрд╕ рдХреА рдУрд░ рдмрдврд╝ рд░рд╣реЗ рд╣реИрдВред рдореБрдЦреНрдп рдиреЛрдб CCR1072 рдкрд░ рдмрдирд╛рдП рдЧрдП рд╣реИрдВ, рдФрд░ рдЙрдкрдХрд░рдгреЛрдВ рдкрд░ рдХрдВрдкреНрдпреВрдЯрд░ рдХреЗ рд▓рд┐рдП рд╕реНрдерд╛рдиреАрдп рдХрдиреЗрдХреНрд╢рди рдмрд┐рдВрджреБ рд╕рд░рд▓ рд╣реИрдВред рдмреЗрд╢рдХ, IPSEC рд╕реБрд░рдВрдЧ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдиреЗрдЯрд╡рд░реНрдХ рдХрд╛ рдПрдХ рд╕рдВрдШ рд╣реИ, рдЗрд╕ рдорд╛рдорд▓реЗ рдореЗрдВ, рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХрд╛рдлреА рд╕рд░рд▓ рд╣реИ рдФрд░ рдХрд┐рд╕реА рднреА рдХрдард┐рдирд╛рдЗрдпреЛрдВ рдХрд╛ рдХрд╛рд░рдг рдирд╣реАрдВ рд╣реИ, рдХреНрдпреЛрдВрдХрд┐ рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рдХрдИ рд╕рд╛рдордЧреНрд░рд┐рдпрд╛рдВ рд╣реИрдВред рд▓реЗрдХрд┐рди рдЧреНрд░рд╛рд╣рдХреЛрдВ рдХреЗ рдореЛрдмрд╛рдЗрд▓ рдХрдиреЗрдХреНрд╢рди рдХреЗ рд╕рд╛рде рдХреБрдЫ рдХрдард┐рдирд╛рдЗрдпрд╛рдБ рд╣реИрдВ, рдирд┐рд░реНрдорд╛рддрд╛ рдХреА рд╡рд┐рдХрд┐ рдЖрдкрдХреЛ рдмрддрд╛рддреА рд╣реИ рдХрд┐ рдХреНрд░реВ рд╕реЙрдлреНрдЯ рд╡реАрдкреАрдПрди рдХреНрд▓рд╛рдЗрдВрдЯ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХреИрд╕реЗ рдХрд░реЗрдВ (рдЗрд╕ рд╕реЗрдЯрд┐рдВрдЧ рдХреЗ рд╕рд╛рде рд╕рдм рдХреБрдЫ рд╕реНрдкрд╖реНрдЯ рд▓рдЧ рд░рд╣рд╛ рд╣реИ) рдФрд░ рдпрд╣ рд╡рд┐рд╢реЗрд╖ рдХреНрд▓рд╛рдЗрдВрдЯ 99% рд░рд┐рдореЛрдЯ рдПрдХреНрд╕реЗрд╕ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддрд╛ рд╣реИ, рдФрд░ 1% рдореИрдВ, рдореИрдВ рдмрд╕ рдЖрд▓рд╕реА рд╣реЛ рдЧрдпрд╛ рд╣реВрдВ рдмрд╕ рдХреНрд▓рд╛рдЗрдВрдЯ рдореЗрдВ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдирд╛рдо рдФрд░ рдкрд╛рд╕рд╡рд░реНрдб рджрд░реНрдЬ рдХрд░реЗрдВ рдФрд░ рдореИрдВ рд╕реЛрдлреЗ рдкрд░ рдПрдХ рдЖрд▓рд╕реА рд╡реНрдпрд╡рд╕реНрдерд╛ рдФрд░ рдХрд╛рд░реНрдп рдиреЗрдЯрд╡рд░реНрдХ рдХреЗ рд▓рд┐рдП рд╕реБрд╡рд┐рдзрд╛рдЬрдирдХ рдХрдиреЗрдХреНрд╢рди рдЪрд╛рд╣рддрд╛ рдерд╛ред рдкрд░рд┐рд╕реНрдерд┐рддрд┐рдпреЛрдВ рдХреЗ рд▓рд┐рдП рдорд┐рдХрд░реЛрдЯрд┐рдХ рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдиреЗ рдХреЗ рдирд┐рд░реНрджреЗрд╢ рдЬрдм рдпрд╣ рдЧреНрд░реЗ рдкрддреЗ рдХреЗ рдкреАрдЫреЗ рднреА рдирд╣реАрдВ рд╣реИ, рд▓реЗрдХрд┐рди рдкреВрд░реА рддрд░рд╣ рд╕реЗ рдХрд╛рд▓реЗ рдПрдХ рдХреЗ рдкреАрдЫреЗ рд╣реИ рдФрд░ рд╢рд╛рдпрдж рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рдХрдИ рдиреЗрдЯ рднреА рд╣реИрдВ, рдореБрдЭреЗ рдирд╣реАрдВ рдорд┐рд▓рд╛ред рдХреНрдпреЛрдВрдХрд┐ рдореБрдЭреЗ рд╕реБрдзрд╛рд░ рдХрд░рдирд╛ рдерд╛, рдФрд░ рдЗрд╕рд▓рд┐рдП рдореИрдВ рдкрд░рд┐рдгрд╛рдо рдХреЛ рджреЗрдЦрдиреЗ рдХрд╛ рдкреНрд░рд╕реНрддрд╛рд╡ рдХрд░рддрд╛ рд╣реВрдВред

рд╡рд╣рд╛рдБ рд╣реИ:

  1. CCR1072 рдореБрдЦреНрдп рдЙрдкрдХрд░рдг рдХреЗ рд░реВрдк рдореЗрдВред рд╕рдВрд╕реНрдХрд░рдг 6.44.1
  2. рдШрд░ рдХрдиреЗрдХреНрд╢рди рдмрд┐рдВрджреБ рдХреЗ рд░реВрдк рдореЗрдВ рд╕реАрдПрдкреА рдПрд╕реАред рд╕рдВрд╕реНрдХрд░рдг 6.44.1

рд╕реЗрдЯрдЕрдк рдХреА рдореБрдЦреНрдп рд╡рд┐рд╢реЗрд╖рддрд╛ рдпрд╣ рд╣реИ рдХрд┐ рдкреАрд╕реА рдФрд░ рдорд┐рдХреНрд░реЛрдЯрд┐рдХ рдПрдХ рд╣реА рдкрддреЗ рдХреЗ рд╕рд╛рде рдПрдХ рд╣реА рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рд╣реЛрдирд╛ рдЪрд╛рд╣рд┐рдП, рдЬреЛ рдХрд┐ рдореБрдЦреНрдп 1072 рджреНрд╡рд╛рд░рд╛ рдЬрд╛рд░реА рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред

рд╕реЗрдЯрд┐рдВрдЧ рдкрд░ рдЬрд╛рдПрдВ:

1. рдмреЗрд╢рдХ, рдлрд╛рд╕реНрдЯрдЯреНрд░реИрдХ рдХреЛ рд╕рдХреНрд╖рдо рдХрд░реЗрдВ, рд▓реЗрдХрд┐рди рдЪреВрдВрдХрд┐ рдлрд╛рд╕реНрдЯрдЯреНрд░реИрдХ рд╡реАрдкреАрдПрди рдХреЗ рд╕рд╛рде рд╕рдВрдЧрдд рдирд╣реАрдВ рд╣реИ, рдЗрд╕рд▓рд┐рдП рдЖрдкрдХреЛ рдЗрд╕рдХреЗ рдЯреНрд░реИрдлрд╝рд┐рдХ рдореЗрдВ рдХрдЯреМрддреА рдХрд░рдиреА рд╣реЛрдЧреАред

/ip firewall mangle add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=\ in,ipsec new-connection-mark=ipsec passthrough=yes add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=\ out,ipsec new-connection-mark=ipsec passthrough=yes /ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. рдШрд░ рд╕реЗ рдФрд░ рдХрд╛рдо рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП / рд╕реЗ рдиреЗрдЯрд╡рд░реНрдХ рдЕрдЧреНрд░реЗрд╖рдг рдЬреЛрдбрд╝реЗрдВ

 /ip firewall raw add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.76.0/24 add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.98.0/24 add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.77.0/24

3. рдПрдХ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХрдиреЗрдХреНрд╢рди рд╡рд┐рд╡рд░рдг рдмрдирд╛рдПрдВ

 /ip ipsec identity add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=\   xauth-login=username xauth-password=password

4. IPSEC рдкреНрд░рд╕реНрддрд╛рд╡ рдмрдирд╛рдПрдВ

 /ip ipsec proposal add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. IPSEC рдкреЙрд▓рд┐рд╕реА рдмрдирд╛рдПрдВ

 /ip ipsec policy add dst-address=10.7.76.0/24 level=unique proposal="prop1" \ sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=\ 192.168.33.0/24 tunnel=yes add dst-address=10.7.77.0/24 level=unique proposal="prop1" \ sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=\ 192.168.33.0/24 tunnel=yes

6. рдПрдХ IPSEC рдкреНрд░реЛрдлрд╛рдЗрд▓ рдмрдирд╛рдПрдВ

 /ip ipsec profile set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=\ aes-192,aes-128,3des nat-traversal=no add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1 add name=profile_88 add dh-group=modp1024 lifetime=4h name=profile246

7. рдПрдХ IPSEC рд╕рд╣рдХрд░реНрдореА рдмрдирд╛рдПрдБ

 /ip ipsec peer add address=<white IP 1072>/32 local-address=<  > name=CO profile=\ profile_88

рдФрд░ рдЕрдм рдереЛрдбрд╝рд╛ рд╕рд░рд▓ рдЬрд╛рджреВред рдЪреВрдВрдХрд┐ рдореИрдВ рд╡рд╛рд╕реНрддрд╡ рдореЗрдВ рд╣реЛрдо рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рд╕рднреА рдЙрдкрдХрд░рдгреЛрдВ рдкрд░ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдмрджрд▓рдирд╛ рдирд╣реАрдВ рдЪрд╛рд╣рддрд╛ рд╣реВрдВ, рдЗрд╕рд▓рд┐рдП рдореБрдЭреЗ рдХрд┐рд╕реА рддрд░рд╣ рдПрдХ рд╣реА рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рдбреАрдПрдЪрд╕реАрдкреА рдХреЛ рд▓рдЯрдХрд╛ рджреЗрдирд╛ рдерд╛, рд▓реЗрдХрд┐рди рдпрд╣ рдЙрдЪрд┐рдд рд╣реИ рдХрд┐ рдорд┐рдХрд░реЛрдЯрд┐рдХ рдПрдХ рдкреБрд▓ рдкрд░ рдПрдХ рд╕реЗ рдЕрдзрд┐рдХ рдПрдбреНрд░реЗрд╕ рдкреВрд▓ рдХреЛ рд▓рдЯрдХрд╛рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рдирд╣реАрдВ рджреЗрддрд╛ рд╣реИ, рдЗрд╕рд▓рд┐рдП рдореБрдЭреЗ рдПрдХ рд╡рд░реНрдХрдЕрд░рд╛рдЙрдВрдб рдорд┐рд▓ рдЧрдпрд╛ рд╣реИ, рдЕрд░реНрдерд╛рддреН рдореИрдВрдиреЗ рдмрд╕ рдореИрдиреБрдЕрд▓ рдорд╛рдкрджрдВрдбреЛрдВ рдХреЗ рд╕рд╛рде рд▓реИрдкрдЯреЙрдк рдХреЗ рд▓рд┐рдП рдПрдХ рдбреАрдПрдЪрд╕реАрдкреА рд▓реАрдЬ рдмрдирд╛рдпрд╛ рд╣реИ, рдФрд░ рдЪреВрдВрдХрд┐ рдиреЗрдЯрдореИрд╕реНрдХ, рдЧреЗрдЯрд╡реЗ рдФрд░ рдбреАрдПрдирдПрд╕ рдореЗрдВ рдбреАрдПрдЪрд╕реАрдкреА рдореЗрдВ рд╡рд┐рдХрд▓реНрдк рдирдВрдмрд░ рднреА рд╣реИрдВ, рд╡реЗ рдореИрдиреНрдпреБрдЕрд▓ рд░реВрдк рд╕реЗ рднреА рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдХрд┐рдП рдЧрдП рдереЗред

1. рдбреАрдПрдЪрд╕реАрдкреА рд╡рд┐рдХрд▓реНрдк

 /ip dhcp-server option add code=3 name=option3-gateway value="'192.168.33.1'" add code=1 name=option1-netmask value="'255.255.255.0'" add code=6 name=option6-dns value="'8.8.8.8'"

2. рдбреАрдПрдЪрд╕реАрдкреА рд▓реАрдЬ

 /ip dhcp-server lease add address=192.168.33.4 dhcp-option=\ option1-netmask,option3-gateway,option6-dns mac-address=<MAC  >

рдЙрд╕реА рд╕рдордп, 1072 рдХреА рд╕реНрдерд╛рдкрдирд╛ рд▓рдЧрднрдЧ рдмреБрдирд┐рдпрд╛рджреА рд╣реИ, рдХреЗрд╡рд▓ рдЬрдм рдЧреНрд░рд╛рд╣рдХ рдХреЛ рдПрдХ рдЖрдИрдкреА рдкрддрд╛ рдЬрд╛рд░реА рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ, рддреЛ рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдЗрдВрдЧрд┐рдд рдХрд░рддреА рд╣реИ рдХрд┐ рдЗрд╕реЗ рдЖрдИрдкреА рдкрддреЗ рдХреЛ рдореИрдиреНрдпреБрдЕрд▓ рд░реВрдк рд╕реЗ рджрд░реНрдЬ рдХрд┐рдпрд╛ рдЬрд╛рдирд╛ рдЪрд╛рд╣рд┐рдП, рдФрд░ рдкреВрд▓ рд╕реЗ рдирд╣реАрдВред рд╡реНрдпрдХреНрддрд┐рдЧрдд рдХрдВрдкреНрдпреВрдЯрд░ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдиреЗ рд╡рд╛рд▓реЗ рд╕рд╛рдорд╛рдиреНрдп рдЧреНрд░рд╛рд╣рдХреЛрдВ рдХреЗ рд▓рд┐рдП, рд╕рдмрдиреЗрдЯ рд╡рд╣реА рд╣реИ рдЬреЛ рдХрд┐ рд╡рд┐рдХреА 192.168.55.0/24 рдХреЗ рд╕рд╛рде рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдореЗрдВ рд╣реИред

рдФрд░ рдореИрдВ рдереЛрдбрд╝рд╛ рдЬреЛрдбрд╝реВрдВрдЧрд╛, рдореБрдЦреНрдп рдХрдиреЗрдХреНрд╢рди рд╕рд░реНрд╡рд░ 1072 рдкрд░, рдЖрдкрдХреЛ рдЖрдИрдкреА-рдлрд╝рд╛рдпрд░рд╡реЙрд▓-рд░реЙ рдХреЛ рдЕрдЧреНрд░реЗрд╖рд┐рдд рдХрд░рдиреЗ рд╡рд╛рд▓реЗ рд╕рдордорд┐рдд рдиреЗрдЯрд╡рд░реНрдХ рдХреЗ рд▓рд┐рдП рднреА рдирд┐рдпрдо рдЬреЛрдбрд╝рдиреЗ рд╣реЛрдВрдЧреЗред рдПрдХ рдирдпрд╛ рдиреЗрдЯрд╡рд░реНрдХ рдЕрдЧреНрд░реЗрд╖рдг рдЬреЛрдбрд╝рддреЗ рд╕рдордп, рдХреНрд▓рд╛рдЗрдВрдЯ, рд╕рд░реНрд╡рд░, рд╕рд╛рде рд╣реА рдЖрдИрдкреА-рдлрд╝рд╛рдпрд░рд╡реЙрд▓-рд░реЙ рд╕рд░реНрд╡рд░ рдФрд░ NAT рдХрдЯрд┐рдВрдЧ рдХреА рд╕реВрдЪреА рдкрд░ IPSEC-Policy рдХреЗ рдирд┐рдпрдореЛрдВ рдХреЛ рдЬреЛрдбрд╝рдирд╛ рдЖрд╡рд╢реНрдпрдХ рд╣реИред

рдпрд╣ рд╕реЗрдЯрд┐рдВрдЧ рдЖрдкрдХреЛ рддреГрддреАрдп-рдкрдХреНрд╖ рд╕реЙрдлрд╝реНрдЯрд╡реЗрдпрд░ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдкреАрд╕реА рд╕реЗ рдХрдиреЗрдХреНрдЯ рдирд╣реАрдВ рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИ, рдФрд░ рд╕реБрд░рдВрдЧ рд╕реНрд╡рдпрдВ рд░рд╛рдЙрдЯрд░ рдХреЛ рдЖрд╡рд╢реНрдпрдХрддрд╛рдиреБрд╕рд╛рд░ рдмрдврд╝рд╛рддреА рд╣реИред рд╕реБрд░рдВрдЧ рдореЗрдВ 9-10MB / s рдХреА рдЧрддрд┐ рд╕реЗ рдЧреНрд░рд╛рд╣рдХ CAP рдПрд╕реА рд▓реЛрдб рд▓рдЧрднрдЧ рдиреНрдпреВрдирддрдо, 8-11% рд╣реИред

рд╕рднреА рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рд╡рд┐рдирдмреЙрдХреНрд╕ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдмрдирд╛рдИ рдЧрдИ рдереАрдВ, рд╣рд╛рд▓рд╛рдВрдХрд┐ рдЙрд╕реА рд╕рдлрд▓рддрд╛ рдХреЗ рд╕рд╛рде рдпрд╣ рдХрдВрд╕реЛрд▓ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред

Source: https://habr.com/ru/post/hi448052/

More articles:


All Articles