Hari baik untuk semua!
Kebetulan di perusahaan kami selama dua tahun terakhir, kami perlahan-lahan pindah ke microtics. Node utama dibangun pada CCR1072, dan titik koneksi lokal untuk komputer pada perangkat lebih sederhana. Tentu saja, ada penyatuan jaringan melalui terowongan IPSEC, dalam hal ini, konfigurasi cukup sederhana dan tidak menyebabkan kesulitan, karena ada banyak bahan di jaringan. Tetapi ada kesulitan tertentu dengan koneksi seluler klien, wiki produsen memberi tahu Anda cara menggunakan klien VPN lunak Shrew (semuanya tampak jelas dengan pengaturan ini) dan klien khusus ini menggunakan 99% pengguna akses jarak jauh, dan 1% adalah saya, saya hanya menjadi malas setiap cukup masukkan nama pengguna dan kata sandi ke klien dan saya ingin pengaturan malas di sofa dan koneksi yang nyaman ke jaringan kerja. Instruksi untuk mengkonfigurasi Mikrotik untuk situasi ketika tidak bahkan di belakang alamat abu-abu, tetapi benar-benar di belakang yang hitam dan mungkin bahkan beberapa NAT di jaringan, saya tidak menemukan. Karena saya harus berimprovisasi, dan karena itu saya mengusulkan untuk melihat hasilnya.
Ada:
- CCR1072 sebagai perangkat utama. versi 6.44.1
- CAP ac sebagai titik koneksi rumah. versi 6.44.1
Fitur utama pengaturan adalah bahwa PC dan Mikrotik harus berada di jaringan yang sama dengan pengalamatan yang sama, yang dikeluarkan oleh 1072 utama.
Buka pengaturan:
1. Tentu saja, aktifkan Fasttrack, tetapi karena fasttrack tidak kompatibel dengan VPN, Anda harus memotong lalu lintasnya.
/ip firewall mangle add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=\ in,ipsec new-connection-mark=ipsec passthrough=yes add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=\ out,ipsec new-connection-mark=ipsec passthrough=yes /ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Tambahkan penerusan jaringan dari / ke rumah dan kantor
/ip firewall raw add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.76.0/24 add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.98.0/24 add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.77.0/24
3. Buat deskripsi koneksi pengguna
/ip ipsec identity add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=\ xauth-login=username xauth-password=password
4. Buat Proposal IPSEC
/ip ipsec proposal add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Buat Kebijakan IPSEC
/ip ipsec policy add dst-address=10.7.76.0/24 level=unique proposal="prop1" \ sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=\ 192.168.33.0/24 tunnel=yes add dst-address=10.7.77.0/24 level=unique proposal="prop1" \ sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=\ 192.168.33.0/24 tunnel=yes
6. Buat profil IPSEC
/ip ipsec profile set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=\ aes-192,aes-128,3des nat-traversal=no add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1 add name=profile_88 add dh-group=modp1024 lifetime=4h name=profile246
7. Buat rekan IPSEC
/ip ipsec peer add address=<white IP 1072>/32 local-address=< > name=CO profile=\ profile_88
Dan sekarang sedikit sihir sederhana. Karena saya tidak benar-benar ingin mengubah pengaturan pada semua perangkat di jaringan rumah, saya harus menutup DHCP pada jaringan yang sama, tetapi masuk akal bahwa Mikrotik tidak mengizinkan menggantung lebih dari satu kumpulan alamat pada satu jembatan, jadi saya menemukan solusi, yaitu Saya hanya membuat DHCP Lease untuk laptop dengan parameter manual, dan karena netmask, gateway & dns juga memiliki nomor opsi di DHCP, mereka juga ditentukan secara manual.
1. Opsi DHCP
/ip dhcp-server option add code=3 name=option3-gateway value="'192.168.33.1'" add code=1 name=option1-netmask value="'255.255.255.0'" add code=6 name=option6-dns value="'8.8.8.8'"
2. Sewa DHCP
/ip dhcp-server lease add address=192.168.33.4 dhcp-option=\ option1-netmask,option3-gateway,option6-dns mac-address=<MAC >
Pada saat yang sama, pengaturan 1072 hampir dasar, hanya ketika mengeluarkan alamat IP ke klien, pengaturan menunjukkan bahwa itu harus diberikan alamat IP yang dimasukkan secara manual, dan bukan dari kumpulan. Untuk klien biasa yang menggunakan komputer pribadi, subnetnya sama seperti pada konfigurasi dengan Wiki 192.168.55.0/24.
Dan saya akan menambahkan sedikit, pada server koneksi utama 1072, Anda juga perlu menambahkan aturan untuk penerusan jaringan simetris ke IP-Firewall-RAW. Saat menambahkan penerusan jaringan baru, perlu menambahkan aturan ke IPSEC-Policy pada klien, server, serta pada server IP-Firewall-RAW dan daftar stek NAT.
Pengaturan ini memungkinkan Anda untuk tidak terhubung ke PC melalui perangkat lunak pihak ketiga, dan terowongan itu sendiri naik ke router sesuai kebutuhan. Beban ac CAP klien hampir minimal, 8-11% pada kecepatan 9-10MB / s di terowongan.
Semua pengaturan dilakukan melalui Winbox, meskipun dengan keberhasilan yang sama dapat dilakukan melalui konsol.