Bo día a todos!
Dáse a casualidade de que na nosa empresa levamos dous anos cambiando gradualmente aos chips Mikrotik. Os nodos principais están construídos con CCR1072, mentres que os puntos de conexión locais dos ordenadores están en dispositivos máis sinxelos. Por suposto, tamén ofrecemos integración de rede a través de túneles IPSEC; neste caso, a configuración é bastante sinxela e directa, grazas á abundancia de recursos dispoñibles en liña. Non obstante, as conexións de clientes móbiles presentan certos desafíos; a wiki do fabricante explica como usar o software Shrew. VPN cliente (esta configuración parece autoexplicativa) e este é o cliente que usan o 99 % dos usuarios de acceso remoto e o 1 % restante son eu. Simplemente non me molestaba en introducir o meu nome de usuario e contrasinal cada vez, e quería unha experiencia máis relaxada e cómoda desde o sofá con conexións cómodas ás redes de traballo. Non atopei ningunha instrución para configurar Mikrotik para situacións nas que non se atopa detrás dun enderezo privado, senón detrás dun completamente na lista negra e quizais mesmo con varios NAT na rede. Así que tiven que improvisar e suxíroche que botes unha ollada aos resultados.
Dispoñible:
- CCR1072 como dispositivo principal. versión 6.44.1
- CAP ac como punto de conexión doméstica. versión 6.44.1
A característica principal da configuración é que o PC e o Mikrotik deben estar na mesma rede co mesmo enderezo, que é emitido polo 1072 principal.
Pasemos á configuración:
1. Por suposto que activamos Fasttrack, pero como fasttrack non é compatible con vpn, temos que cortar o seu tráfico.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Engadindo o reenvío de rede desde / para a casa e o traballo
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Cree unha descrición de conexión de usuario
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Crea unha proposta IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Crea unha política IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Cree un perfil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Crear un par IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Agora para algo de maxia sinxela. Como realmente non quería cambiar a configuración de todos os dispositivos da miña rede doméstica, tiven que colgar dalgunha maneira DHCP na mesma rede, pero é razoable que Mikrotik non che permita colgar máis dun grupo de enderezos nunha ponte. entón atopei unha solución alternativa, é dicir, para un portátil, acabo de crear DHCP Lease con parámetros manuais, e dado que a máscara de rede, a pasarela e os dns tamén teñen números de opción en DHCP, especifiqueinos manualmente.
1.Opcións DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. Arrendamento DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Ao mesmo tempo, a configuración 1072 é practicamente básica, só ao emitir un enderezo IP a un cliente na configuración indícase que se lle debe dar o enderezo IP introducido manualmente e non desde o pool. Para os clientes de PC habituais, a subrede é a mesma que a configuración Wiki 192.168.55.0/24.
Tal configuración permítelle non conectarse ao PC a través de software de terceiros e o propio túnel é levantado polo enrutador segundo sexa necesario. A carga do cliente CAP ac é case mínima, 8-11% a unha velocidade de 9-10MB/s no túnel.
Todos os axustes fixéronse a través de Winbox, aínda que co mesmo éxito pódese facer a través da consola.
Fonte: www.habr.com
