Bonne journée à tous!
Il se trouve que dans notre entreprise, nous sommes passés progressivement aux puces Mikrotik ces deux dernières années. Les nœuds principaux sont basés sur le CCR1072, tandis que les points de connexion aux ordinateurs locaux utilisent des appareils plus simples. Bien entendu, nous proposons également l'intégration réseau via des tunnels IPsec ; dans ce cas, la configuration est relativement simple et rapide grâce à l'abondance de ressources disponibles en ligne. Cependant, les connexions des clients mobiles présentent certains défis ; le wiki du fabricant explique comment utiliser le logiciel Shrew. VPN Le client (cette configuration semble explicite) est celui utilisé par 99 % des utilisateurs d'accès à distance, le 1 % restant étant moi. Je n'avais tout simplement pas envie de saisir mon identifiant et mon mot de passe à chaque fois, et je souhaitais une expérience plus détendue, plus confortable, avec une connexion aisée aux réseaux professionnels. Je n'ai trouvé aucune instruction pour configurer Mikrotik dans des situations où il se trouve non pas derrière une adresse IP privée, mais derrière une adresse complètement blacklistée, et peut-être même avec plusieurs NAT sur le réseau. J'ai donc dû improviser, et je vous suggère de jeter un œil au résultat.
Il y a:
- CCR1072 comme appareil principal. version 6.44.1
- CAP ac comme point de raccordement à domicile. version 6.44.1
La principale caractéristique du paramètre est que le PC et Mikrotik doivent être sur le même réseau avec le même adressage, qui est émis par le 1072 principal.
Passons aux paramètres :
1. Bien sûr, nous activons Fasttrack, mais comme fasttrack n'est pas compatible avec VPN, nous devons réduire son trafic.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Ajout du transfert réseau depuis/vers la maison et le travail
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Créez une description de connexion utilisateur
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Créer une proposition IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Créez une politique IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Créez un profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Créez un homologue IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Passons maintenant à un peu de magie simple. Comme je ne voulais pas vraiment modifier les paramètres de tous les appareils de mon réseau domestique, j'ai dû d'une manière ou d'une autre suspendre DHCP sur le même réseau, mais il est raisonnable que Mikrotik ne vous permette pas de suspendre plus d'un pool d'adresses sur un même pont. , j'ai donc trouvé une solution de contournement, à savoir pour un ordinateur portable, je viens de créer un bail DHCP avec des paramètres manuels, et comme le masque de réseau, la passerelle et le DNS ont également des numéros d'option dans DHCP, je les ai spécifiés manuellement.
1.Options DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.Bail DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Dans le même temps, le paramètre 1072 est pratiquement basique, ce n'est que lors de l'attribution d'une adresse IP à un client dans les paramètres qu'il est indiqué que l'adresse IP saisie manuellement, et non depuis le pool, doit lui être donnée. Pour les clients PC classiques, le sous-réseau est le même que la configuration Wiki 192.168.55.0/24.
Un tel paramètre vous permet de ne pas vous connecter au PC via un logiciel tiers, et le tunnel lui-même est surélevé par le routeur selon les besoins. La charge du client CAP ac est quasiment minime, 8-11% à une vitesse de 9-10MB/s dans le tunnel.
Tous les réglages ont été effectués via Winbox, même si avec le même succès, cela peut être effectué via la console.
Source: habr.com
