祝大家有美好的一天!
碰巧的是,在过去两年中,我们公司正在慢慢转向微技术。 主要节点建立在CCR1072上,设备上计算机的本地连接点更简单。 当然,有一个通过IPSEC隧道的网络联合,在这种情况下,配置非常简单并且不会造成任何困难,因为网络上有很多材料。 但是客户端的移动连接存在一定的困难,制造商的Wiki告诉您如何使用Shrew soft VPN客户端(使用此设置,一切似乎都很清楚),并且该特定的客户端使用了99%的远程访问用户,而1%是我,我变得懒惰了。只需在客户端中输入用户名和密码,我就可以在沙发上懒惰地安排并方便地连接到工作网络。 我没有找到针对Mikrotik进行配置的说明,这种情况甚至不在灰色地址之后,而在黑色地址之后甚至在网络上甚至是几个NAT之后。 因为我必须即兴创作,所以我建议看一下结果。
有:
- 以CCR1072为主要设备。 版本6.44.1
- CAP ac作为本地连接点。 版本6.44.1
该设置的主要特征是PC和Mikrotik必须位于同一网络上,且具有相同的地址,这是由主机1072发出的。
转到设置:
1.当然,请启用Fasttrack,但是由于fasttrack与VPN不兼容,因此您必须减少其流量。
/ip firewall mangle add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=\ in,ipsec new-connection-mark=ipsec passthrough=yes add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=\ out,ipsec new-connection-mark=ipsec passthrough=yes /ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2.添加从/到家庭和工作网络的转发
/ip firewall raw add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.76.0/24 add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.98.0/24 add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.77.0/24
3.创建用户连接描述
/ip ipsec identity add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=\ xauth-login=username xauth-password=password
4.创建IPSEC提案
/ip ipsec proposal add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5.创建IPSEC策略
/ip ipsec policy add dst-address=10.7.76.0/24 level=unique proposal="prop1" \ sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=\ 192.168.33.0/24 tunnel=yes add dst-address=10.7.77.0/24 level=unique proposal="prop1" \ sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=\ 192.168.33.0/24 tunnel=yes
6.创建IPSEC配置文件
/ip ipsec profile set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=\ aes-192,aes-128,3des nat-traversal=no add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1 add name=profile_88 add dh-group=modp1024 lifetime=4h name=profile246
7.创建一个IPSEC对等体
/ip ipsec peer add address=<white IP 1072>/32 local-address=< > name=CO profile=\ profile_88
现在有一个简单的魔术。 由于我并不是真的想更改家庭网络上所有设备的设置,因此我不得不以某种方式在同一网络上挂起DHCP,但是Mikrotik不允许在一个网桥上挂多个地址池是合理的,所以我找到了一种解决方法,即我只是为笔记本电脑创建了DHCP租约,并手动指示了参数,并且由于netmask,网关和dns在DHCP中也有选项号,因此也手动指定了它。
1. DHCP选项
/ip dhcp-server option add code=3 name=option3-gateway value="'192.168.33.1'" add code=1 name=option1-netmask value="'255.255.255.0'" add code=6 name=option6-dns value="'8.8.8.8'"
2. DHCP租约
/ip dhcp-server lease add address=192.168.33.4 dhcp-option=\ option1-netmask,option3-gateway,option6-dns mac-address=<MAC >
同时,设置1072几乎是基本的,仅当向客户端发布IP地址时,设置指示应为它提供手动输入的IP地址,而不是从池中输入的IP地址。 对于使用个人计算机的普通客户端,子网与Wiki 192.168.55.0/24的配置相同。
我要添加一点,在主连接服务器1072上,您还必须添加将对称网络转发到IP-Firewall-RAW的规则。 添加新的网络转发时,有必要在客户端,服务器以及IP-Firewall-RAW服务器上的IPSEC策略和NAT切割列表中添加规则。
此设置允许您不通过第三方软件连接到PC,并且隧道本身会根据需要提升路由器。 客户端CAP交流负载几乎是最小的,隧道中9-10MB / s的速度为8-11%。
所有设置都是通过Winbox进行的,尽管可以通过控制台完成相同的成功。