Bonne journée à tous!
Il se trouve que dans notre entreprise, au cours des deux dernières années, nous sommes progressivement passés à la microtique. Les nœuds principaux sont construits sur CCR1072 et les points de connexion locaux pour les ordinateurs sur les appareils sont plus simples. Bien entendu, il existe également une combinaison de réseaux via le tunnel IPSEC, dans ce cas, la mise en place est assez simple et ne pose aucune difficulté, puisqu'il y a beaucoup de matériel sur le réseau. Mais il y a certaines difficultés avec la connexion mobile des clients, le wiki du constructeur vous explique comment utiliser le client VPN logiciel Shrew (tout semble clair avec ce paramétrage) et c'est ce client qui est utilisé par 99% des utilisateurs d'accès à distance , et 1% c'est moi, j'étais tout simplement trop paresseux, il suffit de saisir le login et le mot de passe dans le client et je voulais un endroit paresseux sur le canapé et une connexion pratique aux réseaux de travail. Je n'ai pas trouvé d'instructions pour configurer Mikrotik pour des situations où il n'est même pas derrière une adresse grise, mais complètement derrière une adresse noire et peut-être même plusieurs NAT sur le réseau. J'ai donc dû improviser, et je propose donc de regarder le résultat.
Il y a:
- CCR1072 comme appareil principal. version 6.44.1
- CAP ac comme point de raccordement à domicile. version 6.44.1
La principale caractéristique du paramètre est que le PC et Mikrotik doivent être sur le même réseau avec le même adressage, qui est émis par le 1072 principal.
Passons aux paramètres :
1. Bien sûr, nous activons Fasttrack, mais comme fasttrack n'est pas compatible avec VPN, nous devons réduire son trafic.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Ajout du transfert réseau depuis/vers la maison et le travail
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Créez une description de connexion utilisateur
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Créer une proposition IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Créez une politique IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Créez un profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Créez un homologue IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Passons maintenant à un peu de magie simple. Comme je ne voulais pas vraiment modifier les paramètres de tous les appareils de mon réseau domestique, j'ai dû d'une manière ou d'une autre suspendre DHCP sur le même réseau, mais il est raisonnable que Mikrotik ne vous permette pas de suspendre plus d'un pool d'adresses sur un même pont. , j'ai donc trouvé une solution de contournement, à savoir pour un ordinateur portable, je viens de créer un bail DHCP avec des paramètres manuels, et comme le masque de réseau, la passerelle et le DNS ont également des numéros d'option dans DHCP, je les ai spécifiés manuellement.
1.Options DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.Bail DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Dans le même temps, le paramètre 1072 est pratiquement basique, ce n'est que lors de l'attribution d'une adresse IP à un client dans les paramètres qu'il est indiqué que l'adresse IP saisie manuellement, et non depuis le pool, doit lui être donnée. Pour les clients PC classiques, le sous-réseau est le même que la configuration Wiki 192.168.55.0/24.
Un tel paramètre vous permet de ne pas vous connecter au PC via un logiciel tiers, et le tunnel lui-même est surélevé par le routeur selon les besoins. La charge du client CAP ac est quasiment minime, 8-11% à une vitesse de 9-10MB/s dans le tunnel.
Tous les réglages ont été effectués via Winbox, même si avec le même succès, cela peut être effectué via la console.
Source: habr.com