Skip to content

By Тодор in Mikrotik

Динамичните ИП адреси са гадни, но са добър начин Интернет доставчиците да пестят средства и ресурси. На стандартния домашен клиент това не се отразява особено. Вероятно повече от 90% от хората нямат и идея какво е ИП адрес.
Та на темата – “прокарването” на VPN тунел между клиенти с динамични адреси е предизвикателство, което може лесно да бъде ликвидирано. Необходимо е все пак обаче да имаме някакъв начин да открием адреса на крайната точка. Удобни са всевъзможните dyndns услуги, предлагани от самите Интернет доставчици или от купища сайтове.
Скрипта може да се ползва и от двете страни на тунела с малки изменения:

:global rip [:resolve kamenitza.ddns.net]
:log info "IP resolved: $rip"
/int gre set gre-to-pst remote-address=$rip
/ip ipsec policy set [/ip ipsec policy find comment="vpn1"] dst-address="$rip/32" sa-dst-address=$myip
/ip ipsec peer set [/ip ipsec peer find comment="vpn1"] address=$rip

В случая се отнася за IPSec криптиран GRE тунел.
След това се прави scheduler задача:
/system scheduler 
add interval=1h name=dyn-vpn on-event="/system script run dyn-vpn" policy=ftp,reboot,read,write,policy,test,password,sniff,

Понеже в конфигурацията на такъв тунел влиза и локалния WAN ИП адрес, може да се наложи и той да бъде автоматично открит и корегиран, където е необходимо на динамичния рутер:

:global myip [/ip address get [find interface=WAN] address]
:global myip [:pick $myip 0 [:find $myip "/"]]
/ip ipsec policy set [/ip ipsec policy find comment="vpn"] src-address="$myip/32" sa-src-address="$myip"

Това също трябва да влезе в scheduler-а по същия начин.

Comment Feed

No Responses (yet)



Some HTML is OK

or, reply to this post via trackback.