Guten Tag an alle!
Es hat sich so ergeben, dass wir in unserem Unternehmen in den letzten zwei Jahren schrittweise auf Mikrotik-Chips umgestiegen sind. Die Hauptknoten basieren auf dem CCR1072, während die lokalen Computeranschlüsse auf einfacheren Geräten laufen. Selbstverständlich bieten wir auch die Netzwerkintegration über IPsec-Tunnel an; die Einrichtung ist in diesem Fall dank der zahlreichen online verfügbaren Ressourcen recht einfach und unkompliziert. Mobile Client-Verbindungen stellen jedoch gewisse Herausforderungen dar; die Hersteller-Wiki erklärt die Verwendung der Shrew-Software. VPN Ich nutze diesen Client (die Konfiguration ist selbsterklärend) – er wird von 99 % aller Remote-Zugriffsnutzer verwendet, die restlichen 1 % sind ich. Ich hatte einfach keine Lust, jedes Mal Benutzername und Passwort einzugeben, und wollte eine entspanntere, komfortablere Verbindung zum Firmennetzwerk. Ich fand keine Anleitung zur Konfiguration von Mikrotik für Situationen, in denen sich das Gerät nicht einmal hinter einer privaten, sondern hinter einer komplett gesperrten IP-Adresse befindet, und womöglich sogar mit mehreren NATs im Netzwerk. Daher musste ich improvisieren, und ich empfehle Ihnen, sich die Ergebnisse anzusehen.
Es gibt:
- CCR1072 als Hauptgerät. Version 6.44.1
- CAP ac als Hausanschlusspunkt. Version 6.44.1
Das Hauptmerkmal der Einstellung besteht darin, dass sich PC und Mikrotik im selben Netzwerk mit derselben Adressierung befinden müssen, die vom Haupt-1072 ausgegeben wird.
Kommen wir zu den Einstellungen:
1. Natürlich schalten wir Fasttrack ein, aber da Fasttrack nicht mit VPN kompatibel ist, müssen wir den Datenverkehr reduzieren.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Netzwerkweiterleitung von/zu Hause und am Arbeitsplatz hinzufügen
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Erstellen Sie eine Benutzerverbindungsbeschreibung
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Erstellen Sie einen IPSEC-Vorschlag
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Erstellen Sie eine IPSEC-Richtlinie
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Erstellen Sie ein IPSEC-Profil
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Erstellen Sie einen IPSEC-Peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Nun zu etwas einfacher Magie. Da ich nicht wirklich die Einstellungen aller Geräte in meinem Heimnetzwerk ändern wollte, musste ich DHCP irgendwie an dasselbe Netzwerk hängen, aber es ist vernünftig, dass Mikrotik es nicht zulässt, mehr als einen Adresspool an eine Bridge zu hängen. Also habe ich einen Workaround gefunden, nämlich für einen Laptop, ich habe einfach DHCP Lease mit manuellen Parametern erstellt, und da Netzmaske, Gateway & DNS auch Optionsnummern in DHCP haben, habe ich diese manuell angegeben.
1.DHCP-Optionen
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP-Leasing
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Gleichzeitig ist die Einstellung 1072 praktisch einfach, lediglich bei der Vergabe einer IP-Adresse an einen Client wird in den Einstellungen angegeben, dass ihm die manuell eingegebene IP-Adresse und nicht aus dem Pool gegeben werden soll. Für normale PC-Clients entspricht das Subnetz der Wiki-Konfiguration 192.168.55.0/24.
Eine solche Einstellung ermöglicht es Ihnen, keine Verbindung zum PC über Software von Drittanbietern herzustellen, und der Tunnel selbst wird bei Bedarf vom Router aufgebaut. Die Auslastung des Client CAP ac ist nahezu minimal, 8-11 % bei einer Geschwindigkeit von 9-10 MB/s im Tunnel.
Alle Einstellungen wurden über Winbox vorgenommen, können aber mit dem gleichen Erfolg auch über die Konsole vorgenommen werden.
Source: habr.com
