Buona giornata a tutti!
Il caso vuole che nella nostra azienda siamo passati gradualmente ai chip Mikrotik negli ultimi due anni. I nodi principali sono basati su CCR1072, mentre i punti di connessione dei computer locali sono su dispositivi più semplici. Naturalmente, offriamo anche l'integrazione di rete tramite tunnel IPSEC; in questo caso, la configurazione è piuttosto semplice e intuitiva, grazie all'abbondanza di risorse disponibili online. Tuttavia, le connessioni client mobili presentano alcune sfide; la wiki del produttore spiega come utilizzare il software Shrew. VPN client (questa configurazione sembra autoesplicativa), ed è il client utilizzato dal 99% degli utenti di accesso remoto, mentre il restante 1% sono io. Semplicemente non avevo voglia di inserire login e password ogni volta, e volevo un'esperienza più rilassata e comoda, con connessioni comode alle reti aziendali. Non sono riuscito a trovare istruzioni per configurare Mikrotik in situazioni in cui non si trova nemmeno dietro un indirizzo privato, ma dietro uno completamente in blacklist, e magari anche con più NAT sulla rete. Quindi ho dovuto improvvisare, e vi consiglio di dare un'occhiata ai risultati.
C'è:
- CCR1072 come dispositivo principale. versione 6.44.1
- CAP ac come punto di connessione domestica. versione 6.44.1
La caratteristica principale dell'impostazione è che il PC e Mikrotik devono trovarsi sulla stessa rete con lo stesso indirizzamento, che viene rilasciato dal 1072 principale.
Passiamo alle impostazioni:
1. Naturalmente attiviamo Fasttrack, ma poiché Fasttrack non è compatibile con VPN, dobbiamo ridurne il traffico.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Aggiungi l'inoltro di rete da/verso casa e lavoro
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Creare una descrizione della connessione utente
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Creare una proposta IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Creare una politica IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Creare un profilo IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Creare un peer IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Ora un po' di semplice magia. Dato che non volevo davvero modificare le impostazioni su tutti i dispositivi della mia rete domestica, ho dovuto in qualche modo appendere DHCP sulla stessa rete, ma è ragionevole che Mikrotik non ti permetta di appendere più di un pool di indirizzi su un bridge, quindi ho trovato una soluzione alternativa, vale a dire per un laptop, ho appena creato DHCP Lease con parametri manuali e poiché netmask, gateway e DNS hanno anche numeri di opzione in DHCP, li ho specificati manualmente.
1.Opzioni DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.Locazione DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Allo stesso tempo, l'impostazione 1072 è praticamente di base, solo quando si emette un indirizzo IP a un client nelle impostazioni è indicato che gli deve essere dato l'indirizzo IP inserito manualmente, e non dal pool. Per i normali client PC, la sottorete è la stessa della configurazione Wiki 192.168.55.0/24.
Tale impostazione consente di non connettersi al PC tramite software di terze parti e il tunnel stesso viene sollevato dal router secondo necessità. Il carico del client CAP ac è quasi minimo, 8-11% ad una velocità di 9-10MB/s nel tunnel.
Tutte le impostazioni sono state effettuate tramite Winbox, anche se con lo stesso successo è possibile farlo tramite la console.
Fonte: habr.com
