ProHoster > وبلاگ > اداره > میکرویک. IPSEC vpn پشت NAT به عنوان یک مشتری

میکرویک. IPSEC vpn پشت NAT به عنوان یک مشتری

روز همگی بخیر!

این اتفاق افتاد که در شرکت ما طی دو سال گذشته به آرامی به میکروتیک تغییر مکان دادیم. گره های اصلی بر روی CCR1072 ساخته شده اند و نقاط اتصال محلی برای رایانه ها در دستگاه ها ساده تر است. البته یکپارچه سازی شبکه ها از طریق تونل IPSEC نیز وجود دارد، در این مورد راه اندازی بسیار ساده است و هیچ مشکلی ایجاد نمی کند، خوشبختانه مواد زیادی در شبکه وجود دارد. اما مشکلات خاصی در ارتباط با تلفن همراه مشتریان وجود دارد، ویکی سازنده به شما می گوید که چگونه از سرویس گیرنده VPN نرم Shrew استفاده کنید (به نظر می رسد همه چیز بر اساس این تنظیم مشخص است) و این کلاینت است که توسط 99٪ دسترسی از راه دور استفاده می شود. کاربران، و 1٪ من هستم، من فقط برای همه تنبل هستم وقتی نام کاربری و رمز عبور خود را در مشتری وارد کردم، می خواستم یک موقعیت تنبل روی کاناپه و یک اتصال راحت به شبکه های کاری داشته باشم. نمی‌توانم دستورالعمل‌هایی را برای راه‌اندازی Mikrotik برای موقعیت‌هایی که حتی پشت یک آدرس خاکستری نیست، اما کاملاً سیاه و شاید چندین NAT در شبکه است، پیدا کنم. بنابراین، مجبور شدم بداهه بداهه کنم، بنابراین پیشنهاد می کنم نتیجه را ببینید.

در دسترس:

  1. CCR1072 به عنوان دستگاه اصلی. نسخه 6.44.1
  2. CAP ac به عنوان نقطه اتصال خانه. نسخه 6.44.1

ویژگی اصلی راه اندازی این است که رایانه شخصی و میکروتیک باید در یک شبکه با آدرس دهی یکسان باشند که همان چیزی است که برای 1072 اصلی صادر می شود.

بریم سراغ تنظیمات:

1. البته ما Fasttrack را فعال می کنیم، اما چون fasttrack با VPN سازگار نیست، باید ترافیک آن را قطع کنیم.

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. ارسال شبکه از/به خانه و محل کار را اضافه کنید

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. شرحی از اتصال کاربر ایجاد کنید

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    общий ключ xauth-login=username xauth-password=password

4. یک پیشنهاد IPSEC ایجاد کنید

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. یک سیاست IPSEC ایجاد کنید

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. یک نمایه IPSEC ایجاد کنید

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. یک همتا IPSEC ایجاد کنید

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
    profile_88

حالا برای جادوی ساده. از آنجایی که من واقعاً نمی‌خواستم تنظیمات همه دستگاه‌های موجود در شبکه خانگی را تغییر دهم، مجبور شدم به نحوی DHCP را در همان شبکه راه‌اندازی کنم، اما منطقی است که Mikrotik به شما اجازه نمی‌دهد بیش از یک مجموعه آدرس را تنظیم کنید. یک پل، بنابراین یک راه حل پیدا کردم، یعنی برای لپ تاپ من به سادگی DHCP Lease را با تعیین دستی پارامترها ایجاد کردم، و از آنجایی که netmask، gateway و dns نیز شماره گزینه در DHCP دارند، آنها را به صورت دستی مشخص کردم.

1. گزینه DHCP

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2. اجاره DHCP

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>

در عین حال ، تنظیم 1072 عملاً اساسی است ، فقط هنگام صدور یک آدرس IP برای مشتری ، در تنظیمات نشان داده شده است که باید یک آدرس IP وارد شده به صورت دستی و نه از استخر به آن داده شود. برای مشتریان عادی از رایانه های شخصی، زیرشبکه مانند پیکربندی Wiki 192.168.55.0/24 است.

این تنظیمات به شما امکان می دهد از طریق نرم افزار شخص ثالث به رایانه شخصی خود متصل نشوید و خود تونل در صورت نیاز توسط روتر بالا می رود. بار روی کلاینت CAP ac تقریباً حداقل است، 8-11٪ با سرعت 9-10 مگابایت بر ثانیه در تونل.

تمام تنظیمات از طریق Winbox انجام شد، اگرچه می‌توان آن را به خوبی از طریق کنسول انجام داد.

منبع: www.habr.com

اضافه کردن نظر