Bon dia a tothom!
Dona la casualitat que a la nostra empresa hem anat canviant gradualment a xips Mikrotik durant els darrers dos anys. Els nodes principals estan construïts sobre CCR1072, mentre que els punts de connexió informàtica local es troben en dispositius més senzills. Per descomptat, també oferim integració de xarxa mitjançant túnels IPSEC; en aquest cas, la configuració és força senzilla i directa, gràcies a l'abundància de recursos disponibles en línia. Tanmateix, les connexions de clients mòbils presenten certs reptes; el wiki del fabricant explica com utilitzar el programari Shrew. VPN client (aquesta configuració sembla autoexplicativa), i aquest és el client que utilitzen el 99% dels usuaris d'accés remot, i l'1% restant sóc jo. Simplement no em podia molestar a introduir el meu nom d'usuari i contrasenya cada vegada, i volia una experiència més relaxada i còmoda des de casa amb connexions pràctiques a les xarxes de treball. No vaig poder trobar cap instrucció per configurar Mikrotik per a situacions en què no es troba darrere d'una adreça privada, sinó darrere d'una completament a la llista negra, i potser fins i tot amb múltiples NAT a la xarxa. Així que vaig haver d'improvisar, i us suggereixo que feu una ullada als resultats.
Disponible:
- CCR1072 com a dispositiu principal. versió 6.44.1
- CAP ac com a punt de connexió domèstic. versió 6.44.1
La característica principal de la configuració és que l'ordinador i el Mikrotik han d'estar a la mateixa xarxa amb el mateix adreçament, que és el que s'emet al 1072 principal.
Passem a la configuració:
1. Per descomptat, habilitem Fasttrack, però com que Fasttrack no és compatible amb VPN, hem de tallar-ne el trànsit.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Afegiu el reenviament de xarxa des de/a casa i a la feina
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Creeu una descripció de la connexió de l'usuari
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Creeu una proposta IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Creeu una política IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Creeu un perfil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Creeu un peer IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Ara per una mica de màgia senzilla. Com que realment no volia canviar la configuració de tots els dispositius de la xarxa domèstica, d'alguna manera vaig haver de configurar DHCP a la mateixa xarxa, però és raonable que Mikrotik no us permeti configurar més d'un grup d'adreces a un pont, així que vaig trobar una solució alternativa, és a dir, per a l'ordinador portàtil, simplement vaig crear DHCP Lease amb l'especificació manual dels paràmetres, i com que la màscara de xarxa, la passarel·la i els dns també tenen números d'opció a DHCP, els vaig especificar manualment.
1. Opció DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. Arrendament DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Al mateix temps, la configuració 1072 és pràcticament bàsica, només quan s'emet una adreça IP a un client, s'indica a la configuració que se li ha de donar una adreça IP introduïda manualment, i no des del grup. Per als clients habituals des d'ordinadors personals, la subxarxa és la mateixa que en la configuració amb Wiki 192.168.55.0/24.
Aquesta configuració us permet no connectar-vos al vostre ordinador mitjançant programari de tercers i l'encaminador augmenta el túnel segons sigui necessari. La càrrega del client CAP ac és gairebé mínima, 8-11% a una velocitat de 9-10MB/s al túnel.
Totes les configuracions es van fer a través de Winbox, encara que també es podria fer a través de la consola.
Font: www.habr.com
