Einen guten Tag allerseits!
In den letzten zwei Jahren haben wir in unserem Unternehmen nach und nach auf MikroTik umgestellt. Die Hauptknotenpunkte basieren auf CCR1072, während die lokalen Anschlussstellen für Computer mit einfacheren Geräten ausgestattet sind. Natürlich haben wir auch Netzwerke über IPSEC-Tunnel verbunden, was in diesem Fall recht einfach einzurichten ist und keine großen Schwierigkeiten bereitet, da es viele Materialien online gibt. Allerdings gibt es beim mobilen Anschluss von Clients einige Herausforderungen. Die Herstellerdokumentation gibt Hinweise zur Verwendung von Shrew Soft VPN client (bei dieser Einstellung scheint alles klar zu sein), und genau dieser Client wird von 99 % der Benutzer für den Remote-Zugriff verwendet, während 1 % ich bin. Ich hatte einfach keine Lust mehr, jedes Mal meinen Benutzernamen und mein Passwort im Client einzugeben, und ich wollte mich bequem auf die Couch legen und unkompliziert auf die Arbeitsnetzwerke zugreifen. Anleitungen zur Konfiguration von MikroTik für Situationen, in denen sich das Gerät nicht einmal hinter einer grauen IP-Adresse, sondern hinter einer echten schwarzen IP-Adresse und möglicherweise sogar mehreren NATs im Netzwerk befindet, habe ich nicht gefunden. Deshalb musste ich improvisieren und freue mich, das Ergebnis zu zeigen.
Folgendes habe ich:
- CCR1072 als Hauptgerät, Version 6.44.1
- CAP ac als heimlicher Zugangspunkt. Version 6.44.1
Das Hauptmerkmal der Konfiguration besteht darin, dass der PC und MikroTik im gleichen Netzwerk mit derselben Adressierung sein müssen, die durch die Haupt-1072 vergeben wird.
Gehen wir zur Konfiguration über:
1. Aktivieren Sie natürlich Fasttrack, aber da Fasttrack mit VPN nicht kompatibel ist, müssen wir den Traffic ausschneiden.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Fügen Sie Netzwerkweiterleitungen von/zur Heim- und Arbeitsumgebung hinzu.
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Erstellen Sie eine Beschreibung der Benutzerverbindung.
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Erstellen Sie einen IPSEC-Vorschlag.
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Erstellen Sie eine IPSEC-Richtlinie.
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Erstellen Sie ein IPSEC-Profil.
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Erstellen Sie einen IPSEC-Peer.
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Nun ein wenig einfache Magie. Da ich die Einstellungen auf allen Geräten im Heimnetzwerk nicht ändern wollte, musste ich irgendwie DHCP im gleichen Netzwerk aktivieren. Es ist sinnvoll, dass MikroTik nicht mehr als einen Adresspool auf einem Bridge erlauben kann, also fand ich einen Workaround: Für das Laptop erstellte ich einfach einen DHCP-Lease mit manueller Eingabe der Parameter. Da netmask, gateway und DNS ebenfalls Optionsnummern im DHCP haben, habe ich auch diese manuell angegeben.
1. DHCP-Option
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. DHCP-Lease
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Die Konfiguration des 1072 ist im Grunde genommen standardmäßig, wobei bei der Zuweisung einer IP-Adresse an den Kunden angegeben wird, dass diese manuell eingegeben wird und nicht aus dem Pool stammt. Für normale Kunden, die von personalisierten Computern aus zugreifen, bleibt das Subnetz dasselbe wie in der Konfiguration mit Wiki 192.168.55.0/24.
Eine solche Einstellung ermöglicht es, dass der PC nicht über Drittsoftware verbunden ist, sondern der Tunnel je nach Bedarf vom Router automatisch aufgebaut wird. Die Last für den Client CAP ac ist praktisch minimal, bei 8-11% bei einer Geschwindigkeit von 9-10 MB/s im Tunnel.
Alle Einstellungen wurden über Winbox vorgenommen, obwohl dies ebenso gut über die Konsole erfolgen kann.
Quelle: habr.com
