Guten Tag an alle!
Zufälligerweise haben wir in unserem Unternehmen in den letzten zwei Jahren langsam auf Mikrotik umgestellt. Die Hauptknoten basieren auf CCR1072 und lokale Verbindungspunkte für Computer auf Geräten sind einfacher. Natürlich gibt es auch eine Kombination von Netzwerken über den IPSEC-Tunnel, in diesem Fall ist die Einrichtung recht einfach und bereitet keine Schwierigkeiten, da sich viele Materialien im Netzwerk befinden. Es gibt jedoch gewisse Schwierigkeiten bei der mobilen Verbindung von Clients. Das Wiki des Herstellers schlägt vor, wie man den Shrew-Soft-VPN-Client verwendet (mit dieser Einstellung scheint alles klar zu sein) und dieser Client wird von 99 % der Fernzugriffsbenutzer verwendet. und 1 % bin ich, ich bin einfach zu faul geworden, nur den Benutzernamen und das Passwort in den Client einzugeben, und ich wollte einen bequemen Standort auf der Couch und eine bequeme Verbindung zu Arbeitsnetzwerken. Ich habe keine Anleitung zum Konfigurieren von Mikrotik für Situationen gefunden, in denen es sich nicht einmal hinter einer grauen Adresse, sondern komplett hinter einer schwarzen und vielleicht sogar mehreren NATs im Netzwerk befindet. Deshalb musste ich improvisieren und schlage daher vor, mir das Ergebnis anzusehen.
Es gibt:
- CCR1072 als Hauptgerät. Version 6.44.1
- CAP ac als Hausanschlusspunkt. Version 6.44.1
Das Hauptmerkmal der Einstellung besteht darin, dass sich PC und Mikrotik im selben Netzwerk mit derselben Adressierung befinden müssen, die vom Haupt-1072 ausgegeben wird.
Kommen wir zu den Einstellungen:
1. Natürlich schalten wir Fasttrack ein, aber da Fasttrack nicht mit VPN kompatibel ist, müssen wir den Datenverkehr reduzieren.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Netzwerkweiterleitung von/zu Hause und am Arbeitsplatz hinzufügen
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Erstellen Sie eine Benutzerverbindungsbeschreibung
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Erstellen Sie einen IPSEC-Vorschlag
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Erstellen Sie eine IPSEC-Richtlinie
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Erstellen Sie ein IPSEC-Profil
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Erstellen Sie einen IPSEC-Peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Nun zu etwas einfacher Magie. Da ich nicht wirklich die Einstellungen aller Geräte in meinem Heimnetzwerk ändern wollte, musste ich DHCP irgendwie an dasselbe Netzwerk hängen, aber es ist vernünftig, dass Mikrotik es nicht zulässt, mehr als einen Adresspool an eine Bridge zu hängen. Also habe ich einen Workaround gefunden, nämlich für einen Laptop, ich habe einfach DHCP Lease mit manuellen Parametern erstellt, und da Netzmaske, Gateway & DNS auch Optionsnummern in DHCP haben, habe ich diese manuell angegeben.
1.DHCP-Optionen
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.DHCP-Leasing
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Gleichzeitig ist die Einstellung 1072 praktisch einfach, lediglich bei der Vergabe einer IP-Adresse an einen Client wird in den Einstellungen angegeben, dass ihm die manuell eingegebene IP-Adresse und nicht aus dem Pool gegeben werden soll. Für normale PC-Clients entspricht das Subnetz der Wiki-Konfiguration 192.168.55.0/24.
Eine solche Einstellung ermöglicht es Ihnen, keine Verbindung zum PC über Software von Drittanbietern herzustellen, und der Tunnel selbst wird bei Bedarf vom Router aufgebaut. Die Auslastung des Client CAP ac ist nahezu minimal, 8-11 % bei einer Geschwindigkeit von 9-10 MB/s im Tunnel.
Alle Einstellungen wurden über Winbox vorgenommen, können aber mit dem gleichen Erfolg auch über die Konsole vorgenommen werden.
Source: habr.com