ProHoster > Blog > διαχείριση > μικροικ. IPSEC vpn πίσω από το NAT ως πελάτη

μικροικ. IPSEC vpn πίσω από το NAT ως πελάτη

Καλημέρα σε όλους!

Έτυχε στην εταιρεία μας τα τελευταία δύο χρόνια να στραφούμε σιγά σιγά στα microtics. Οι κύριοι κόμβοι είναι χτισμένοι στο CCR1072 και τα τοπικά σημεία σύνδεσης για υπολογιστές σε συσκευές είναι πιο απλά. Φυσικά, υπάρχει και συνδυασμός δικτύων μέσω της σήραγγας IPSEC, σε αυτήν την περίπτωση, η ρύθμιση είναι αρκετά απλή και δεν προκαλεί δυσκολίες, αφού υπάρχουν πολλά υλικά στο δίκτυο. Ωστόσο, υπάρχουν ορισμένες δυσκολίες με την κινητή σύνδεση των πελατών, το wiki του κατασκευαστή σάς λέει πώς να χρησιμοποιήσετε το πρόγραμμα-πελάτη VPN Shrew soft (όλα φαίνεται να είναι ξεκάθαρα με αυτήν τη ρύθμιση) και είναι αυτός ο πελάτης που χρησιμοποιείται από το 99% των χρηστών απομακρυσμένης πρόσβασης , και το 1% είμαι εγώ, ήμουν πολύ τεμπέλης ο καθένας απλά εισάγετε τα στοιχεία σύνδεσης και τον κωδικό πρόσβασης στον πελάτη και ήθελα μια χαλαρή τοποθεσία στον καναπέ και βολική σύνδεση με τα δίκτυα εργασίας. Δεν βρήκα οδηγίες για τη ρύθμιση παραμέτρων του Mikrotik για καταστάσεις που δεν βρίσκεται καν πίσω από μια γκρίζα διεύθυνση, αλλά εντελώς πίσω από μια μαύρη και ίσως ακόμη και πολλά NAT στο δίκτυο. Ως εκ τούτου, έπρεπε να αυτοσχεδιάσω, και ως εκ τούτου προτείνω να δούμε το αποτέλεσμα.

Διαθέσιμος:

  1. CCR1072 ως κύρια συσκευή. έκδοση 6.44.1
  2. CAP ac ως σημείο σύνδεσης στο σπίτι. έκδοση 6.44.1

Το κύριο χαρακτηριστικό της ρύθμισης είναι ότι το PC και το Mikrotik πρέπει να βρίσκονται στο ίδιο δίκτυο με την ίδια διεύθυνση, η οποία εκδίδεται από το κύριο 1072.

Ας προχωρήσουμε στις ρυθμίσεις:

1. Εννοείται ότι ενεργοποιούμε το Fasttrack, αλλά επειδή το fasttrack δεν είναι συμβατό με το vpn, πρέπει να του κόψουμε την επισκεψιμότητα.

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. Προσθήκη προώθησης δικτύου από / προς το σπίτι και την εργασία

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. Δημιουργήστε μια περιγραφή σύνδεσης χρήστη

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    общий ключ xauth-login=username xauth-password=password

4. Δημιουργήστε μια πρόταση IPSEC

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. Δημιουργήστε μια πολιτική IPSEC

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. Δημιουργήστε ένα προφίλ IPSEC

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. Δημιουργήστε ένα ομότιμο IPSEC

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
    profile_88

Τώρα για λίγη απλή μαγεία. Δεδομένου ότι δεν ήθελα πραγματικά να αλλάξω τις ρυθμίσεις σε όλες τις συσκευές στο οικιακό μου δίκτυο, έπρεπε με κάποιο τρόπο να "κολλήσω" το DHCP στο ίδιο δίκτυο, αλλά είναι λογικό ότι η Mikrotik δεν σας επιτρέπει να κρεμάσετε περισσότερες από μία ομάδες διευθύνσεων σε μία γέφυρα , οπότε βρήκα μια λύση, δηλαδή για φορητό υπολογιστή, μόλις δημιούργησα το DHCP Lease με μη αυτόματες παραμέτρους και επειδή το netmask, η πύλη και το dns έχουν επίσης αριθμούς επιλογών στο DHCP, τους καθόρισα μη αυτόματα.

1.Επιλογές DHCP

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2. Μίσθωση DHCP

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>

Ταυτόχρονα, η ρύθμιση 1072 είναι πρακτικά βασική, μόνο κατά την έκδοση μιας διεύθυνσης IP σε έναν πελάτη στις ρυθμίσεις υποδεικνύεται ότι η διεύθυνση IP που έχει εισαχθεί χειροκίνητα, και όχι από το pool, πρέπει να του δοθεί. Για κανονικούς υπολογιστές-πελάτες, το υποδίκτυο είναι το ίδιο με τη διαμόρφωση του Wiki 192.168.55.0/24.

Μια τέτοια ρύθμιση σάς επιτρέπει να μην συνδέεστε στον υπολογιστή μέσω λογισμικού τρίτων και η ίδια η σήραγγα ανυψώνεται από τον δρομολογητή όπως απαιτείται. Το φορτίο του πελάτη CAP ac είναι σχεδόν ελάχιστο, 8-11% με ταχύτητα 9-10MB/s στη σήραγγα.

Όλες οι ρυθμίσεις έγιναν μέσω Winbox, αν και με την ίδια επιτυχία μπορεί να γίνει και μέσω της κονσόλας.

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο