Dobrý den všem!
Náhodou jsme v naší společnosti v posledních dvou letech pomalu přecházeli na mikrotiku. Hlavní uzly jsou postaveny na CCR1072 a místní přípojné body pro počítače na zařízeních jsou jednodušší. Samozřejmostí je i kombinace sítí přes IPSEC tunel, v tomto případě je nastavení vcelku jednoduché a nezpůsobuje žádné potíže, jelikož na síti je spousta materiálů. S mobilním připojením klientů jsou ale jisté potíže, wiki výrobce napovídá, jak používat klienta Shrew soft VPN (s tímto nastavením se zdá být vše jasné) a právě tohoto klienta používá 99 % uživatelů vzdáleného přístupu, a 1% jsem já, jen jsem se stal příliš líný každý stačí zadat přihlašovací jméno a heslo v klientovi a chtěl jsem líné místo na gauči a pohodlné připojení k pracovním sítím. Návod na konfiguraci Mikrotiku pro situace, kdy není ani za šedou adresou, ale úplně za černou a možná i několik NATů v síti, jsem nenašel. Proto jsem musel improvizovat, a proto navrhuji podívat se na výsledek.
Dostupný:
- CCR1072 jako hlavní zařízení. verze 6.44.1
- CAP ac jako domácí přípojný bod. verze 6.44.1
Hlavním rysem nastavení je, že PC a Mikrotik musí být ve stejné síti se stejným adresováním, které vydává hlavní 1072.
Pojďme k nastavení:
1. Fasttrack samozřejmě zapneme, ale protože fasttrack není kompatibilní s vpn, musíme jeho provoz omezit.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Přidejte síťové přesměrování z/do domova a do práce
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Vytvořte popis uživatelského připojení
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Vytvořte návrh IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Vytvořte zásady IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Vytvořte profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Vytvořte IPSEC peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Nyní trochu jednoduché magie. Protože se mi moc nechtělo měnit nastavení na všech zařízeních v domácí síti, musel jsem nějak zavěsit DHCP na stejnou síť, ale je rozumné, že Mikrotik neumožňuje zavěsit více než jeden fond adres na jeden most, tak jsem našel řešení, konkrétně pro notebook, právě jsem vytvořil DHCP Lease s manuálními parametry, a protože síťová maska, brána a dns mají v DHCP také čísla možností, zadal jsem je ručně.
1. Možnosti DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.pronájem DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Nastavení 1072 je přitom prakticky základní, pouze při přidělení IP adresy klientovi v nastavení je indikováno, že mu má být dána ručně zadaná IP adresa, nikoli z fondu. Pro běžné PC klienty je podsíť stejná jako konfigurace Wiki 192.168.55.0/24.
Takové nastavení vám umožňuje nepřipojovat se k PC prostřednictvím softwaru třetích stran a samotný tunel je podle potřeby zvednut routerem. Zatížení klienta CAP ac je téměř minimální, 8-11% při rychlosti 9-10MB/s v tunelu.
Všechna nastavení byla provedena přes Winbox, i když se stejným úspěchem to lze provést i přes konzoli.
Zdroj: www.habr.com