ProHoster > وبلاگ > اداره > میکرویک. IPSEC vpn پشت NAT به عنوان یک مشتری

میکرویک. IPSEC vpn پشت NAT به عنوان یک مشتری

روز همگی بخیر!

اتفاقاً در شرکت ما، طی دو سال گذشته به تدریج به تراشه‌های میکروتیک روی آورده‌ایم. گره‌های اصلی بر روی CCR1072 ساخته شده‌اند، در حالی که نقاط اتصال کامپیوتر محلی روی دستگاه‌های ساده‌تری قرار دارند. البته، ما ادغام شبکه را از طریق تونل‌های IPSEC نیز ارائه می‌دهیم؛ در این مورد، راه‌اندازی به لطف فراوانی منابع آنلاین موجود، بسیار ساده و سرراست است. با این حال، اتصالات کلاینت موبایل چالش‌های خاصی را ایجاد می‌کنند؛ ویکی سازنده نحوه استفاده از نرم‌افزار Shrew را توضیح می‌دهد. VPN کلاینت (این تنظیمات به نظر بدیهی می‌آید) و این کلاینتی است که ۹۹٪ کاربران دسترسی از راه دور از آن استفاده می‌کنند و ۱٪ باقی‌مانده هم من هستم. من اصلاً حوصله وارد کردن نام کاربری و رمز عبورم را هر بار نداشتم و می‌خواستم یک تجربه راحت‌تر و بی‌دردسرتر با اتصالات راحت به شبکه‌های کاری داشته باشم. هیچ دستورالعملی برای پیکربندی میکروتیک برای موقعیت‌هایی که حتی پشت یک آدرس خصوصی قرار ندارد، بلکه پشت یک آدرس کاملاً در لیست سیاه است و شاید حتی چندین NAT در شبکه دارد، پیدا نکردم. بنابراین مجبور شدم بداهه‌سازی کنم و پیشنهاد می‌کنم نگاهی به نتایج بیندازید.

در دسترس:

  1. CCR1072 به عنوان دستگاه اصلی. نسخه 6.44.1
  2. CAP ac به عنوان نقطه اتصال خانه. نسخه 6.44.1

ویژگی اصلی راه اندازی این است که رایانه شخصی و میکروتیک باید در یک شبکه با آدرس دهی یکسان باشند که همان چیزی است که برای 1072 اصلی صادر می شود.

بریم سراغ تنظیمات:

1. البته ما Fasttrack را فعال می کنیم، اما چون fasttrack با VPN سازگار نیست، باید ترافیک آن را قطع کنیم.

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. ارسال شبکه از/به خانه و محل کار را اضافه کنید

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. شرحی از اتصال کاربر ایجاد کنید

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    общий ключ xauth-login=username xauth-password=password

4. یک پیشنهاد IPSEC ایجاد کنید

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. یک سیاست IPSEC ایجاد کنید

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. یک نمایه IPSEC ایجاد کنید

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. یک همتا IPSEC ایجاد کنید

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
    profile_88

حالا برای جادوی ساده. از آنجایی که من واقعاً نمی‌خواستم تنظیمات همه دستگاه‌های موجود در شبکه خانگی را تغییر دهم، مجبور شدم به نحوی DHCP را در همان شبکه راه‌اندازی کنم، اما منطقی است که Mikrotik به شما اجازه نمی‌دهد بیش از یک مجموعه آدرس را تنظیم کنید. یک پل، بنابراین یک راه حل پیدا کردم، یعنی برای لپ تاپ من به سادگی DHCP Lease را با تعیین دستی پارامترها ایجاد کردم، و از آنجایی که netmask، gateway و dns نیز شماره گزینه در DHCP دارند، آنها را به صورت دستی مشخص کردم.

1. گزینه DHCP

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2. اجاره DHCP

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>

در عین حال ، تنظیم 1072 عملاً اساسی است ، فقط هنگام صدور یک آدرس IP برای مشتری ، در تنظیمات نشان داده شده است که باید یک آدرس IP وارد شده به صورت دستی و نه از استخر به آن داده شود. برای مشتریان عادی از رایانه های شخصی، زیرشبکه مانند پیکربندی Wiki 192.168.55.0/24 است.

این تنظیمات به شما امکان می دهد از طریق نرم افزار شخص ثالث به رایانه شخصی خود متصل نشوید و خود تونل در صورت نیاز توسط روتر بالا می رود. بار روی کلاینت CAP ac تقریباً حداقل است، 8-11٪ با سرعت 9-10 مگابایت بر ثانیه در تونل.

تمام تنظیمات از طریق Winbox انجام شد، اگرچه می‌توان آن را به خوبی از طریق کنسول انجام داد.

منبع: www.habr.com

اضافه کردن نظر