Buen día a todos!
En nuestra empresa, hemos estado migrando gradualmente a chips Mikrotik durante los últimos dos años. Los nodos principales se basan en CCR1072, mientras que los puntos de conexión de los ordenadores locales se encuentran en dispositivos más sencillos. Por supuesto, también ofrecemos integración de red mediante túneles IPSEC; en este caso, la configuración es bastante sencilla y directa, gracias a la gran cantidad de recursos disponibles en línea. Sin embargo, las conexiones de clientes móviles presentan ciertos desafíos; la wiki del fabricante explica cómo usar el software Shrew. VPN Cliente (esta configuración parece obvia), y este es el cliente que usa el 99% de los usuarios de acceso remoto, y el 1% restante soy yo. Simplemente no me molestaba en ingresar mi nombre de usuario y contraseña cada vez, y quería una experiencia más relajada y cómoda, como si estuviera en el sofá, con conexiones convenientes a las redes del trabajo. No pude encontrar instrucciones para configurar Mikrotik en situaciones donde no se encuentra ni siquiera detrás de una dirección privada, sino detrás de una completamente bloqueada, e incluso con múltiples NAT en la red. Así que tuve que improvisar, y les sugiero que vean los resultados.
Hay:
- CCR1072 como dispositivo principal. versión 6.44.1
- CAP ac como punto de conexión domiciliario. versión 6.44.1
La característica principal de la configuración es que la PC y Mikrotik deben estar en la misma red con el mismo direccionamiento, que es emitido por el 1072 principal.
Pasemos a la configuración:
1. Por supuesto, activamos Fasttrack, pero dado que Fasttrack no es compatible con VPN, tenemos que reducir su tráfico.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Adición de reenvío de red desde/hacia casa y trabajo
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Cree una descripción de conexión de usuario
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Crear una propuesta IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Crear una política IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Crear un perfil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Crear un par IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Ahora un poco de magia simple. Como realmente no quería cambiar la configuración de todos los dispositivos en mi red doméstica, de alguna manera tuve que colgar DHCP en la misma red, pero es razonable que Mikrotik no le permita colgar más de un grupo de direcciones en un puente. , así que encontré una solución alternativa, es decir, para una computadora portátil, acabo de crear DHCP Lease con parámetros manuales, y dado que netmask, gateway y dns también tienen números de opción en DHCP, los especifiqué manualmente.
1.Opciones de DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. Arrendamiento DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Al mismo tiempo, la configuración 1072 es prácticamente básica, solo al emitir una dirección IP a un cliente en la configuración se indica que se le debe proporcionar la dirección IP ingresada manualmente, y no desde el grupo. Para clientes de PC normales, la subred es la misma que la configuración Wiki 192.168.55.0/24.
Tal configuración le permite no conectarse a la PC a través de un software de terceros, y el enrutador eleva el túnel según sea necesario. La carga del cliente CAP ac es casi mínima, 8-11% a una velocidad de 9-10MB/s en el túnel.
Todas las configuraciones se realizaron a través de Winbox, aunque con el mismo éxito se puede realizar a través de la consola.
Fuente: habr.com
