Доброго всем дня!
Так ужо склалася, што ў нашай кампаніі на працягу апошніх двух гадоў мы паволі пераходзім на мікратыкі. Асноўныя вузлы пабудаваны на CCR1072, а лакальныя кропкі падлучэння кампутараў на прыладах прасцей. Само сабой існуе і аб'яднанне сетак па IPSEC tunnel, у дадзеным выпадку налада досыць простая і не выклікае ніякіх цяжкасцяў, балазе ёсць мноства матэрыялаў у сетцы. А вось з мабільным падключэннем кліентаў ёсць пэўныя цяжкасці, вікі вытворцы падказвае, як выкарыстоўваць Shrew soft VPN client (па гэтай наладзе ўсё накшталт зразумела) і менавіта гэты кліент выкарыстоўвае 99% карыстачоў выдаленага доступу, а 1% гэта я, мне стала проста лянота кожны раз уводзіць лагін і пароль у кліент і захацелася лянівага размяшчэння на канапе і зручнага падлучэння да працоўных сетак. Інструкцый па наладкі Мікратыка для сітуацый, калі ён знаходзіцца нават не за шэрым адрасам, а зусім за чорным і можа быць нават некалькімі NAT у сетцы я не знайшоў. Таму прыйшлося імправізаваць, а таму прапаную паглядзець на вынік.
Маецца:
- CCR1072 як асноўная прылада. версія 6.44.1
- CAP ac як хатняя кропка падключэння. версія 6.44.1
Галоўная асаблівасць наладкі ў тым, што ПК і мікрацік павінны знаходзіцца ў адной сетцы з адным адрасаваннем, што і выдаецца асноўным 1072.
Пераходзім да налады:
1. Вядома ўключаем Fasttrack, але бо з впн fasttrack не сумяшчальны, тое прыходзіцца выразаць яго трафік.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Дадаем пракіды сетак з/у хатнюю і працоўную
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Ствараем апісанне падлучэння карыстальніка
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Ствараем IPSEC Proposal
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Ствараем IPSEC Policy
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Ствараем IPSEC profile
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Ствараем IPSEC peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
А цяпер крыху простай магіі. Бо мне не вельмі жадалася змяняць налады на ўсіх прыладах у хатняй сетцы, то трэба было неяк павесіць DHCP на тую ж сетку, але разумна, што Мікрацік не дазваляе павесіць больш аднаго адраснага пула на адзін bridge, таму знайшоў абыходны варыянт, а менавіта для наўтбука проста стварыў DHCP Lease з ручным указаннем параметраў, а бо netmask, gateway & dns таксама маюць нумары опцый у DHCP, то і іх паказаў уручную.
1. DHCP Option
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. DHCP Lease
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Пры гэтым настройка 1072 з'яўляецца практычна базавай, толькі пры выдачы IP адраса кліенту ў наладах паказваецца, што выдаваць яму IP адрас уведзены ўручную, а не з пула. Для звычайных кліентаў з персанальных кампутараў падсетка такая ж, як у канфігурацыі з Wiki 192.168.55.0/24.
Падобная налада дазваляе на ПК не падлучацца праз іншы софт, а тунэль сам паднімаецца роўтарам па меры неабходнасці. Нагрузка кліенцкага CAP ac практычна мінімальная, 8-11% пры хуткасці 9-10МБ/з у тунэлі.
Усе наладкі рабіліся праз Winbox, хоць з тым жа поспехам можна праводзіць і праз кансоль.
Крыніца: habr.com