Bo día a todos!
Aconteceu que na nosa empresa nos últimos dous anos fomos cambiando aos micróticas. Os nodos principais están construídos en CCR1072 e os puntos de conexión locais para ordenadores en dispositivos son máis sinxelos. Por suposto, tamén hai unha combinación de redes a través do túnel IPSEC, neste caso, a configuración é bastante sinxela e non causa ningunha dificultade, xa que hai moitos materiais na rede. Pero hai certas dificultades coa conexión móbil dos clientes, a wiki do fabricante suxire como usar o cliente Soft VPN de Shrew (todo parece estar claro con esta configuración) e é este cliente o que usa o 99% dos usuarios de acceso remoto, e o 1% son eu, acabo de facerme moi preguiceiro cada un só tes que introducir o inicio de sesión e o contrasinal no cliente e quería un lugar preguiceiro no sofá e unha conexión cómoda ás redes de traballo. Non atopei instrucións para configurar Mikrotik para situacións nas que nin sequera está detrás dun enderezo gris, senón completamente detrás dun negro e quizais ata varios NAT na rede. Por iso, tiven que improvisar, e por iso propoño mirar o resultado.
Dispoñible:
- CCR1072 como dispositivo principal. versión 6.44.1
- CAP ac como punto de conexión doméstica. versión 6.44.1
A característica principal da configuración é que o PC e o Mikrotik deben estar na mesma rede co mesmo enderezo, que é emitido polo 1072 principal.
Pasemos á configuración:
1. Por suposto que activamos Fasttrack, pero como fasttrack non é compatible con vpn, temos que cortar o seu tráfico.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Engadindo o reenvío de rede desde / para a casa e o traballo
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Cree unha descrición de conexión de usuario
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Crea unha proposta IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Crea unha política IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Cree un perfil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Crear un par IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Agora para algo de maxia sinxela. Como realmente non quería cambiar a configuración de todos os dispositivos da miña rede doméstica, tiven que colgar dalgunha maneira DHCP na mesma rede, pero é razoable que Mikrotik non che permita colgar máis dun grupo de enderezos nunha ponte. entón atopei unha solución alternativa, é dicir, para un portátil, acabo de crear DHCP Lease con parámetros manuais, e dado que a máscara de rede, a pasarela e os dns tamén teñen números de opción en DHCP, especifiqueinos manualmente.
1.Opcións DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. Arrendamento DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Ao mesmo tempo, a configuración 1072 é practicamente básica, só ao emitir un enderezo IP a un cliente na configuración indícase que se lle debe dar o enderezo IP introducido manualmente e non desde o pool. Para os clientes de PC habituais, a subrede é a mesma que a configuración Wiki 192.168.55.0/24.
Tal configuración permítelle non conectarse ao PC a través de software de terceiros e o propio túnel é levantado polo enrutador segundo sexa necesario. A carga do cliente CAP ac é case mínima, 8-11% a unha velocidade de 9-10MB/s no túnel.
Todos os axustes fixéronse a través de Winbox, aínda que co mesmo éxito pódese facer a través da consola.
Fonte: www.habr.com