ProHoster > بلوق > إدارة > ميكرويك. IPSEC vpn خلف NAT كعميل

ميكرويك. IPSEC vpn خلف NAT كعميل

يوم جيد للجميع!

لقد حدث فقط أننا في شركتنا على مدار العامين الماضيين كنا نتحول ببطء إلى الميكروتيك. تم بناء العقد الرئيسية على CCR1072 ، ونقاط الاتصال المحلية لأجهزة الكمبيوتر على الأجهزة أبسط. بالطبع ، هناك أيضًا مجموعة من الشبكات عبر نفق IPSEC ، في هذه الحالة ، الإعداد بسيط للغاية ولا يسبب أي صعوبات ، نظرًا لوجود الكثير من المواد على الشبكة. ولكن هناك بعض الصعوبات المتعلقة باتصال الأجهزة المحمولة للعملاء ، يخبرك ويكي الشركة المصنعة بكيفية استخدام عميل Shrew soft VPN (يبدو أن كل شيء واضحًا مع هذا الإعداد) وهذا العميل يستخدمه 99٪ من مستخدمي الوصول عن بُعد ، و 1 ٪ أنا ، كنت كسولًا جدًا ، كل ما عليك هو إدخال اسم المستخدم وكلمة المرور في العميل وأردت موقعًا كسولًا على الأريكة واتصالًا مناسبًا بشبكات العمل. لم أجد تعليمات لتكوين Mikrotik للمواقف التي لا يكون فيها حتى خلف عنوان رمادي ، ولكن خلف عنوان أسود تمامًا وربما حتى عدة NATs على الشبكة. لذلك كان علي أن أرتجل ، ولذلك أقترح أن أنظر إلى النتيجة.

متاح:

  1. CCR1072 كجهاز رئيسي. الإصدار 6.44.1
  2. CAP ac كنقطة اتصال بالمنزل. الإصدار 6.44.1

الميزة الرئيسية للإعداد هي أن الكمبيوتر الشخصي و Mikrotik يجب أن يكونا على نفس الشبكة بنفس العنوان ، والذي تم إصداره بواسطة 1072 الرئيسي.

دعنا ننتقل إلى الإعدادات:

1. بالطبع ، نقوم بتشغيل Fasttrack ، ولكن نظرًا لأن fasttrack غير متوافق مع vpn ، يتعين علينا خفض حركة المرور الخاصة به.

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. إضافة شبكة إعادة توجيه من / إلى المنزل والعمل

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. إنشاء وصف اتصال المستخدم

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    общий ключ xauth-login=username xauth-password=password

4. إنشاء اقتراح IPSEC

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. إنشاء سياسة IPSEC

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. إنشاء ملف تعريف IPSEC

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. إنشاء نظير IPSEC

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
    profile_88

الآن لبعض السحر البسيط. نظرًا لأنني لم أرغب حقًا في تغيير الإعدادات على جميع الأجهزة على شبكتي المنزلية ، فقد اضطررت إلى تعليق DHCP بطريقة ما على نفس الشبكة ، ولكن من المعقول أن Mikrotik لا يسمح لك بتعليق أكثر من تجمع عناوين واحد على جسر واحد ، لذلك وجدت حلاً بديلاً ، أي لجهاز كمبيوتر محمول ، لقد قمت للتو بإنشاء DHCP Lease باستخدام معلمات يدوية ، وبما أن قناع الشبكة والبوابة ونظام أسماء النطاقات لها أيضًا أرقام خيارات في DHCP ، فقد حددتها يدويًا.

1. خيارات DHCP

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2-إيجار DHCP

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>

في الوقت نفسه ، يعد الإعداد 1072 أساسيًا عمليًا ، فقط عند إصدار عنوان IP للعميل في الإعدادات ، يُشار إلى أنه يجب إعطاء عنوان IP الذي تم إدخاله يدويًا ، وليس من المجمع. بالنسبة لعملاء أجهزة الكمبيوتر العادية ، تكون الشبكة الفرعية هي نفس تكوين Wiki 192.168.55.0/24.

يسمح لك هذا الإعداد بعدم الاتصال بجهاز الكمبيوتر من خلال برنامج تابع لجهة خارجية ، ويتم رفع النفق نفسه بواسطة جهاز التوجيه حسب الحاجة. يكون حمل العميل CAP في حده الأدنى تقريبًا ، 8-11٪ بسرعة 9-10 ميجابايت / ثانية في النفق.

تم إجراء جميع الإعدادات من خلال Winbox ، على الرغم من نفس النجاح الذي يمكن إجراؤه من خلال وحدة التحكم.

المصدر: www.habr.com

إضافة تعليق