Dobrý den všem!
Shodou okolností jsme v naší firmě v posledních dvou letech postupně přecházeli na čipy Mikrotik. Hlavní uzly jsou postaveny na CCR1072, zatímco lokální připojovací body počítačů jsou na jednodušších zařízeních. Samozřejmě nabízíme i síťovou integraci prostřednictvím tunelů IPSEC; v tomto případě je nastavení díky množství dostupných online zdrojů poměrně jednoduché a přímočaré. Připojení mobilních klientů však představuje určité výzvy; wiki stránka výrobce vysvětluje, jak používat software Shrew. VPN klient (toto nastavení se zdá být samozřejmé) a tohoto klienta používá 99 % uživatelů vzdáleného přístupu a zbývající 1 % jsem já. Prostě jsem se nemohl obtěžovat pokaždé zadávat své přihlašovací jméno a heslo a chtěl jsem uvolněnější a pohodlnější zážitek z gauče s pohodlným připojením k pracovním sítím. Nenašel jsem žádný návod, jak nakonfigurovat Mikrotik pro situace, kdy se nenachází ani za soukromou adresou, ale za zcela zakázanou adresou, a možná i s více NATy v síti. Takže jsem musel improvizovat a doporučuji vám podívat se na výsledky.
Dostupný:
- CCR1072 jako hlavní zařízení. verze 6.44.1
- CAP ac jako domácí přípojný bod. verze 6.44.1
Hlavním rysem nastavení je, že PC a Mikrotik musí být ve stejné síti se stejným adresováním, které vydává hlavní 1072.
Pojďme k nastavení:
1. Fasttrack samozřejmě zapneme, ale protože fasttrack není kompatibilní s vpn, musíme jeho provoz omezit.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Přidejte síťové přesměrování z/do domova a do práce
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Vytvořte popis uživatelského připojení
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Vytvořte návrh IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Vytvořte zásady IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Vytvořte profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Vytvořte IPSEC peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Nyní trochu jednoduché magie. Protože se mi moc nechtělo měnit nastavení na všech zařízeních v domácí síti, musel jsem nějak zavěsit DHCP na stejnou síť, ale je rozumné, že Mikrotik neumožňuje zavěsit více než jeden fond adres na jeden most, tak jsem našel řešení, konkrétně pro notebook, právě jsem vytvořil DHCP Lease s manuálními parametry, a protože síťová maska, brána a dns mají v DHCP také čísla možností, zadal jsem je ručně.
1. Možnosti DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.pronájem DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Nastavení 1072 je přitom prakticky základní, pouze při přidělení IP adresy klientovi v nastavení je indikováno, že mu má být dána ručně zadaná IP adresa, nikoli z fondu. Pro běžné PC klienty je podsíť stejná jako konfigurace Wiki 192.168.55.0/24.
Takové nastavení vám umožňuje nepřipojovat se k PC prostřednictvím softwaru třetích stran a samotný tunel je podle potřeby zvednut routerem. Zatížení klienta CAP ac je téměř minimální, 8-11% při rychlosti 9-10MB/s v tunelu.
Všechna nastavení byla provedena přes Winbox, i když se stejným úspěchem to lze provést i přes konzoli.
Zdroj: www.habr.com
