Buona giornata a tutti!
È successo che nella nostra azienda negli ultimi due anni siamo passati lentamente ai microtici. I nodi principali sono basati su CCR1072 e i punti di connessione locale per i computer sui dispositivi sono più semplici. Naturalmente esiste anche una combinazione di reti tramite tunnel IPSEC, in questo caso la configurazione è abbastanza semplice e non causa alcuna difficoltà, poiché sulla rete ci sono molti materiali. Ma ci sono alcune difficoltà con la connessione mobile dei client, la wiki del produttore spiega come utilizzare il client Shrew soft VPN (tutto sembra essere chiaro con questa impostazione) ed è questo client che viene utilizzato dal 99% degli utenti con accesso remoto , e l'1% sono io, ero semplicemente troppo pigro per inserire semplicemente login e password nel client e volevo una posizione pigra sul divano e una comoda connessione alle reti di lavoro. Non ho trovato istruzioni per configurare Mikrotik per situazioni in cui non si trova nemmeno dietro un indirizzo grigio, ma completamente dietro uno nero e forse anche diversi NAT sulla rete. Pertanto, ho dovuto improvvisare e quindi propongo di guardare il risultato.
C'è:
- CCR1072 come dispositivo principale. versione 6.44.1
- CAP ac come punto di connessione domestica. versione 6.44.1
La caratteristica principale dell'impostazione è che il PC e Mikrotik devono trovarsi sulla stessa rete con lo stesso indirizzamento, che viene rilasciato dal 1072 principale.
Passiamo alle impostazioni:
1. Naturalmente attiviamo Fasttrack, ma poiché Fasttrack non è compatibile con VPN, dobbiamo ridurne il traffico.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Aggiungi l'inoltro di rete da/verso casa e lavoro
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Creare una descrizione della connessione utente
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Creare una proposta IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Creare una politica IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Creare un profilo IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Creare un peer IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Ora un po' di semplice magia. Dato che non volevo davvero modificare le impostazioni su tutti i dispositivi della mia rete domestica, ho dovuto in qualche modo appendere DHCP sulla stessa rete, ma è ragionevole che Mikrotik non ti permetta di appendere più di un pool di indirizzi su un bridge, quindi ho trovato una soluzione alternativa, vale a dire per un laptop, ho appena creato DHCP Lease con parametri manuali e poiché netmask, gateway e DNS hanno anche numeri di opzione in DHCP, li ho specificati manualmente.
1.Opzioni DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.Locazione DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Allo stesso tempo, l'impostazione 1072 è praticamente di base, solo quando si emette un indirizzo IP a un client nelle impostazioni è indicato che gli deve essere dato l'indirizzo IP inserito manualmente, e non dal pool. Per i normali client PC, la sottorete è la stessa della configurazione Wiki 192.168.55.0/24.
Tale impostazione consente di non connettersi al PC tramite software di terze parti e il tunnel stesso viene sollevato dal router secondo necessità. Il carico del client CAP ac è quasi minimo, 8-11% ad una velocità di 9-10MB/s nel tunnel.
Tutte le impostazioni sono state effettuate tramite Winbox, anche se con lo stesso successo è possibile farlo tramite la console.
Fonte: habr.com