私たちの会社では、過去2年間で、ミクロティクスにゆっくりと移行しつつあります。 メインノードはCCR1072上に構築され、デバイス上のコンピューターのローカル接続ポイントはより単純です。 もちろん、IPSECトンネルを介したネットワークの結合があります。この場合、ネットワーク上には多くの資料があるため、構成は非常に簡単で、問題を引き起こすことはありません。 しかし、クライアントのモバイル接続には特定の困難があり、製造元のwikiにはShrewソフトVPNクライアントの使用方法が記載されています(この設定ではすべてが明らかなようです)。この特定のクライアントは99%のリモートアクセスユーザーを使用し、クライアントにユーザー名とパスワードを入力するだけで、ソファの上でのんびりした配置と職場のネットワークへの便利な接続が必要になりました。 Mikrotikをグレーアドレスの背後でなく、黒アドレスの背後に完全に、場合によってはネットワーク上の複数のNATの背後にも配置する場合のMikrotikの構成手順は見つかりませんでした。 即興で演奏しなければならなかったので、結果を見るよう提案したからです。
あります:
- メインユニットとしてCCR1072。 バージョン6.44.1
- ホーム接続ポイントとしてのCAP ac。 バージョン6.44.1
セットアップの主な機能は、PCとMikrotikがメイン1072によって発行される同じアドレス指定の同じネットワーク上にある必要があることです。
設定に移動します。
1.もちろん、Fasttrackを有効にしますが、fasttrackはVPNと互換性がないため、トラフィックをカットする必要があります。
/ip firewall mangle add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=\ in,ipsec new-connection-mark=ipsec passthrough=yes add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=\ out,ipsec new-connection-mark=ipsec passthrough=yes /ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2.自宅/職場から/へのネットワーク転送を追加します
/ip firewall raw add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.76.0/24 add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.98.0/24 add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.77.0/24
3.ユーザー接続の説明を作成する
/ip ipsec identity add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=\ xauth-login=username xauth-password=password
4. IPSECプロポーザルを作成する
/ip ipsec proposal add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. IPSECポリシーを作成する
/ip ipsec policy add dst-address=10.7.76.0/24 level=unique proposal="prop1" \ sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=\ 192.168.33.0/24 tunnel=yes add dst-address=10.7.77.0/24 level=unique proposal="prop1" \ sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=\ 192.168.33.0/24 tunnel=yes
6. IPSECプロファイルを作成する
/ip ipsec profile set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=\ aes-192,aes-128,3des nat-traversal=no add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1 add name=profile_88 add dh-group=modp1024 lifetime=4h name=profile246
7. IPSECピアを作成する
/ip ipsec peer add address=<white IP 1072>/32 local-address=< > name=CO profile=\ profile_88
そして今、少し簡単な魔法。 ホームネットワーク内のすべてのデバイスの設定を実際に変更したくないので、同じネットワーク上でDHCPを何らかの方法で切断する必要がありましたが、Mikrotikが1つのブリッジで複数のアドレスプールを切断できないようにすることは合理的です。ラップトップ用のDHCPリースを手動パラメータで作成しました。ネットマスク、ゲートウェイ、およびDNSにもDHCPのオプション番号があるため、これらも手動で指定されました。
1. DHCPオプション
/ip dhcp-server option add code=3 name=option3-gateway value="'192.168.33.1'" add code=1 name=option1-netmask value="'255.255.255.0'" add code=6 name=option6-dns value="'8.8.8.8'"
2. DHCPリース
/ip dhcp-server lease add address=192.168.33.4 dhcp-option=\ option1-netmask,option3-gateway,option6-dns mac-address=<MAC >
同時に、1072の設定はほとんど基本的で、クライアントにIPアドレスを発行する場合にのみ、プールからではなく、手動で入力されたIPアドレスを設定する必要があることを示します。 パーソナルコンピューターからの通常のクライアントの場合、サブネットはWiki 192.168.55.0/24を使用した構成と同じです。
また、メイン接続サーバー1072で、IP-Firewall-RAWへの対称ネットワーク転送のルールも追加する必要があります。 新しいネットワーク転送を追加するときは、クライアント、サーバー、IP-Firewall-RAWサーバー、およびNATカットのリストのIPSEC-Policyにルールを追加する必要があります。
この設定により、サードパーティのソフトウェアを介してPCに接続しないようにでき、トンネル自体が必要に応じてルーターを上昇させます。 クライアントCAP acの負荷は、トンネル内の速度9〜10 MB / sで8〜11%の最小です。
すべての設定はWinboxを介して行われましたが、同じ成功を収めることはコンソールを介して行うことができます。