Buen día a todos!
Dio la casualidad de que en nuestra empresa durante los últimos dos años hemos estado cambiando lentamente a microtics. Los nodos principales se basan en CCR1072 y los puntos de conexión locales para computadoras en dispositivos son más simples. Por supuesto, también existe una combinación de redes a través del túnel IPSEC, en este caso, la configuración es bastante simple y no presenta ninguna dificultad, ya que hay muchos materiales en la red. Pero hay ciertas dificultades con la conexión móvil de los clientes, la wiki del fabricante le dice cómo usar el cliente VPN suave de Shrew (todo parece estar claro con esta configuración) y es este cliente el que usa el 99% de los usuarios de acceso remoto , y el 1% soy yo, era demasiado perezoso cada uno solo ingresaba el nombre de usuario y la contraseña en el cliente y quería una ubicación perezosa en el sofá y una conexión conveniente a las redes de trabajo. No encontré instrucciones para configurar Mikrotik para situaciones en las que ni siquiera está detrás de una dirección gris, sino completamente detrás de una negra y tal vez incluso varios NAT en la red. Por lo tanto, tuve que improvisar, y por eso propongo mirar el resultado.
Hay:
- CCR1072 como dispositivo principal. versión 6.44.1
- CAP ac como punto de conexión domiciliario. versión 6.44.1
La característica principal de la configuración es que la PC y Mikrotik deben estar en la misma red con el mismo direccionamiento, que es emitido por el 1072 principal.
Pasemos a la configuración:
1. Por supuesto, activamos Fasttrack, pero dado que Fasttrack no es compatible con VPN, tenemos que reducir su tráfico.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Adición de reenvío de red desde/hacia casa y trabajo
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Cree una descripción de conexión de usuario
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Crear una propuesta IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Crear una política IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Crear un perfil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Crear un par IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Ahora un poco de magia simple. Como realmente no quería cambiar la configuración de todos los dispositivos en mi red doméstica, de alguna manera tuve que colgar DHCP en la misma red, pero es razonable que Mikrotik no le permita colgar más de un grupo de direcciones en un puente. , así que encontré una solución alternativa, es decir, para una computadora portátil, acabo de crear DHCP Lease con parámetros manuales, y dado que netmask, gateway y dns también tienen números de opción en DHCP, los especifiqué manualmente.
1.Opciones de DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. Arrendamiento DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Al mismo tiempo, la configuración 1072 es prácticamente básica, solo al emitir una dirección IP a un cliente en la configuración se indica que se le debe proporcionar la dirección IP ingresada manualmente, y no desde el grupo. Para clientes de PC normales, la subred es la misma que la configuración Wiki 192.168.55.0/24.
Tal configuración le permite no conectarse a la PC a través de un software de terceros, y el enrutador eleva el túnel según sea necesario. La carga del cliente CAP ac es casi mínima, 8-11% a una velocidad de 9-10MB/s en el túnel.
Todas las configuraciones se realizaron a través de Winbox, aunque con el mismo éxito se puede realizar a través de la consola.
Fuente: habr.com