ProHoster > بلوق > إدارة > ميكرويك. IPSEC vpn خلف NAT كعميل

ميكرويك. IPSEC vpn خلف NAT كعميل

يوم جيد للجميع!

صدفةً، بدأنا في شركتنا بالتحول تدريجياً إلى رقائق Mikrotik على مدار العامين الماضيين. تعتمد العُقد الرئيسية على شريحة CCR1072، بينما تعتمد نقاط اتصال أجهزة الكمبيوتر المحلية على أجهزة أبسط. بالطبع، نوفر أيضاً تكامل الشبكة عبر أنفاق IPsec؛ وفي هذه الحالة، يكون الإعداد بسيطاً وسهلاً للغاية، بفضل وفرة الموارد المتاحة عبر الإنترنت. مع ذلك، تُشكّل اتصالات عملاء الأجهزة المحمولة بعض التحديات؛ يشرح موقع ويكي الخاص بالشركة المصنّعة كيفية استخدام برنامج Shrew. VPN هذا هو برنامج العميل (يبدو هذا الإعداد واضحًا بذاته)، وهو البرنامج الذي يستخدمه 99% من مستخدمي الوصول عن بُعد، أما النسبة المتبقية 1% فهي أنا. ببساطة، لم أكن أرغب في إدخال اسم المستخدم وكلمة المرور في كل مرة، وأردت تجربة استخدام أكثر راحة وسهولة مع اتصالات سلسة بشبكات العمل. لم أجد أي تعليمات لتكوين جهاز Mikrotik في حالات يكون فيها ليس فقط خلف عنوان خاص، بل خلف عنوان محظور تمامًا، وربما حتى مع وجود عدة أجهزة NAT على الشبكة. لذلك اضطررت إلى الارتجال، وأقترح عليك إلقاء نظرة على النتائج.

متاح:

  1. CCR1072 كجهاز رئيسي. الإصدار 6.44.1
  2. CAP ac كنقطة اتصال بالمنزل. الإصدار 6.44.1

الميزة الرئيسية للإعداد هي أن الكمبيوتر الشخصي و Mikrotik يجب أن يكونا على نفس الشبكة بنفس العنوان ، والذي تم إصداره بواسطة 1072 الرئيسي.

دعنا ننتقل إلى الإعدادات:

1. بالطبع ، نقوم بتشغيل Fasttrack ، ولكن نظرًا لأن fasttrack غير متوافق مع vpn ، يتعين علينا خفض حركة المرور الخاصة به.

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. إضافة شبكة إعادة توجيه من / إلى المنزل والعمل

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. إنشاء وصف اتصال المستخدم

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    общий ключ xauth-login=username xauth-password=password

4. إنشاء اقتراح IPSEC

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. إنشاء سياسة IPSEC

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. إنشاء ملف تعريف IPSEC

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. إنشاء نظير IPSEC

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
    profile_88

الآن لبعض السحر البسيط. نظرًا لأنني لم أرغب حقًا في تغيير الإعدادات على جميع الأجهزة على شبكتي المنزلية ، فقد اضطررت إلى تعليق DHCP بطريقة ما على نفس الشبكة ، ولكن من المعقول أن Mikrotik لا يسمح لك بتعليق أكثر من تجمع عناوين واحد على جسر واحد ، لذلك وجدت حلاً بديلاً ، أي لجهاز كمبيوتر محمول ، لقد قمت للتو بإنشاء DHCP Lease باستخدام معلمات يدوية ، وبما أن قناع الشبكة والبوابة ونظام أسماء النطاقات لها أيضًا أرقام خيارات في DHCP ، فقد حددتها يدويًا.

1. خيارات DHCP

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2-إيجار DHCP

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>

في الوقت نفسه ، يعد الإعداد 1072 أساسيًا عمليًا ، فقط عند إصدار عنوان IP للعميل في الإعدادات ، يُشار إلى أنه يجب إعطاء عنوان IP الذي تم إدخاله يدويًا ، وليس من المجمع. بالنسبة لعملاء أجهزة الكمبيوتر العادية ، تكون الشبكة الفرعية هي نفس تكوين Wiki 192.168.55.0/24.

يسمح لك هذا الإعداد بعدم الاتصال بجهاز الكمبيوتر من خلال برنامج تابع لجهة خارجية ، ويتم رفع النفق نفسه بواسطة جهاز التوجيه حسب الحاجة. يكون حمل العميل CAP في حده الأدنى تقريبًا ، 8-11٪ بسرعة 9-10 ميجابايت / ثانية في النفق.

تم إجراء جميع الإعدادات من خلال Winbox ، على الرغم من نفس النجاح الذي يمكن إجراؤه من خلال وحدة التحكم.

المصدر: www.habr.com

إضافة تعليق