🥇Mikroik. IPSEC vpn зад NAT като клиент

Добър ден на всички!

Така се случи, че в нашата компания през последните две години бавно преминаваме към Mikrotik. Основните възли са изградени на CCR1072, а локалните точки за свързване на компютри на устройства са по-прости. Разбира се, има и интегриране на мрежи чрез IPSEC тунел, в този случай настройката е доста проста и не създава никакви затруднения, за щастие има много материали в мрежата. Но има определени трудности с мобилната връзка на клиентите, wiki на производителя ви казва как да използвате мекия VPN клиент на Shrew (всичко изглежда ясно въз основа на тази настройка) и именно този клиент се използва от 99% от отдалечения достъп потребители и 1% съм аз, просто съм твърде мързелив всички След като въведох своето име и парола в клиента, исках мързелива позиция на дивана и удобна връзка с работните мрежи. Не намерих инструкции за настройка на Mikrotik за ситуации, в които дори не е зад сив адрес, а напълно черен и може би дори няколко NAT в мрежата. Затова трябваше да импровизирам и затова ви предлагам да погледнете резултата.

На разположение:

CCR1072 като основно устройство. версия 6.44.1
CAP ac като домашна точка за свързване. версия 6.44.1

Основната характеристика на настройката е, че компютърът и Mikrotik трябва да са в една и съща мрежа с едно и също адресиране, което се издава към главния 1072.

Да преминем към настройките:

1. Разбира се, ние активираме Fasttrack, но тъй като fasttrack не е съвместим с VPN, трябва да изключим неговия трафик.

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. Добавете мрежово пренасочване от/до дома и работата

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. Създайте описание на потребителска връзка

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    общий ключ xauth-login=username xauth-password=password

4. Създайте IPSEC предложение

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. Създайте IPSEC политика

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. Създайте IPSEC профил

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. Създайте IPSEC партньор

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
    profile_88

Сега малко проста магия. Тъй като наистина не исках да променя настройките на всички устройства в домашната мрежа, трябваше по някакъв начин да настроя DHCP в същата мрежа, но е разумно Mikrotik да не ви позволява да настройвате повече от един адресен пул в един мост, така че намерих заобиколно решение, а именно за лаптопа просто създадох DHCP Lease с ръчно указване на параметрите и тъй като netmask, gateway & dns също имат номера на опции в DHCP, ги посочих ръчно.

1. DHCP опция

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2.DHCP лизинг

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>

В същото време настройката 1072 е практически основна, само когато се издава IP адрес на клиент, в настройките е посочено, че трябва да му се даде IP адрес, въведен ръчно, а не от пула. За редовни клиенти от персонални компютри подмрежата е същата като при конфигурация с Wiki 192.168.55.0/24.

Тази настройка ви позволява да не се свързвате към вашия компютър чрез софтуер на трета страна, а самият тунел се повдига от рутера, ако е необходимо. Натоварването на клиента CAP ac е почти минимално, 8-11% при скорост 9-10MB/s в тунела.

Всички настройки бяха направени през Winbox, въпреки че може също така да се направи през конзолата.

Източник: www.habr.com

Mikroik. IPSEC vpn зад NAT като клиент

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар