Bon dia a tothom!
Va passar que a la nostra empresa durant els últims dos anys hem anat canviant lentament a Mikrotik. Els nodes principals es basen en CCR1072 i els punts de connexió locals per a ordinadors en dispositius són més senzills. Per descomptat, també hi ha la integració de xarxes via túnel IPSEC, en aquest cas la configuració és força senzilla i no causa cap dificultat, afortunadament hi ha molt material a la xarxa. Però hi ha certes dificultats amb la connexió mòbil dels clients, la wiki del fabricant us indica com utilitzar el client VPN suau de Shrew (tot sembla que està clar en funció d'aquesta configuració) i és aquest client el que és utilitzat pel 99% dels accessos remots. usuaris, i l'1% sóc jo, sóc massa mandrós per a tothom. Una vegada que he introduït el meu inici de sessió i la meva contrasenya al client, volia una posició mandrosa al sofà i una connexió còmoda a les xarxes de treball. No he trobat instruccions per configurar Mikrotik per a situacions en què ni tan sols es troba darrere d'una adreça grisa, sinó completament negre i potser fins i tot diversos NAT a la xarxa. Per tant, vaig haver d'improvisar i, per tant, us proposo mirar el resultat.
Disponible:
- CCR1072 com a dispositiu principal. versió 6.44.1
- CAP ac com a punt de connexió domèstic. versió 6.44.1
La característica principal de la configuració és que l'ordinador i el Mikrotik han d'estar a la mateixa xarxa amb el mateix adreçament, que és el que s'emet al 1072 principal.
Passem a la configuració:
1. Per descomptat, habilitem Fasttrack, però com que Fasttrack no és compatible amb VPN, hem de tallar-ne el trànsit.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Afegiu el reenviament de xarxa des de/a casa i a la feina
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Creeu una descripció de la connexió de l'usuari
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Creeu una proposta IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Creeu una política IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Creeu un perfil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Creeu un peer IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Ara per una mica de màgia senzilla. Com que realment no volia canviar la configuració de tots els dispositius de la xarxa domèstica, d'alguna manera vaig haver de configurar DHCP a la mateixa xarxa, però és raonable que Mikrotik no us permeti configurar més d'un grup d'adreces a un pont, així que vaig trobar una solució alternativa, és a dir, per a l'ordinador portàtil, simplement vaig crear DHCP Lease amb l'especificació manual dels paràmetres, i com que la màscara de xarxa, la passarel·la i els dns també tenen números d'opció a DHCP, els vaig especificar manualment.
1. Opció DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. Arrendament DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Al mateix temps, la configuració 1072 és pràcticament bàsica, només quan s'emet una adreça IP a un client, s'indica a la configuració que se li ha de donar una adreça IP introduïda manualment, i no des del grup. Per als clients habituals des d'ordinadors personals, la subxarxa és la mateixa que en la configuració amb Wiki 192.168.55.0/24.
Aquesta configuració us permet no connectar-vos al vostre ordinador mitjançant programari de tercers i l'encaminador augmenta el túnel segons sigui necessari. La càrrega del client CAP ac és gairebé mínima, 8-11% a una velocitat de 9-10MB/s al túnel.
Totes les configuracions es van fer a través de Winbox, encara que també es podria fer a través de la consola.
Font: www.habr.com