mikroik. 클라이언트로 NAT 뒤의 IPSEC VPN

모두에게 좋은 날!

마침 저희 회사는 지난 2년간 점진적으로 Mikrotik 칩으로 전환해 왔습니다. 메인 노드는 CCR1072를 기반으로 구축되었고, 로컬 컴퓨터 연결 지점은 더 간단한 장치를 사용합니다. 물론 IPSEC 터널을 통한 네트워크 통합도 제공하고 있으며, 이 경우 온라인에서 이용 가능한 풍부한 자료 덕분에 설정이 매우 간단하고 직관적입니다. 하지만 모바일 클라이언트 연결에는 몇 가지 어려움이 있는데, 제조사 위키에서 Shrew 소프트웨어 사용 방법을 안내하고 있습니다. VPN 클라이언트(이 설정은 설명이 필요 없을 것 같습니다)는 원격 접속 사용자 99%가 사용하는 클라이언트이고, 나머지 1%는 저입니다. 매번 로그인과 비밀번호를 입력하는 게 너무 귀찮아서, 좀 더 편안하고 안락하게 회사 네트워크에 쉽게 접속할 수 있는 환경을 원했습니다. Mikrotik이 사설 IP 주소는 물론이고, 완전히 블랙리스트에 등록된 IP 주소 뒤에 있고, 심지어 네트워크에 여러 개의 NAT가 있는 상황에서 어떻게 설정해야 하는지에 대한 설명서를 찾을 수 없었습니다. 그래서 직접 방법을 찾아냈고, 그 결과를 한번 살펴보시길 바랍니다.

있다 :

1. 주 장치로 CCR1072. 버전 6.44.1
2. 홈 연결 지점으로 CAP ac. 버전 6.44.1

설정의 주요 특징은 PC와 Mikrotik이 메인 1072에서 발급한 동일한 주소 지정으로 동일한 네트워크에 있어야 한다는 것입니다.

설정으로 이동해 보겠습니다.

1. 물론 Fasttrack을 켰지만 fasttrack은 vpn과 호환되지 않기 때문에 트래픽을 줄여야 합니다.

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. 집과 직장에서 네트워크 포워딩 추가

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. 사용자 연결 설명 만들기

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    общий ключ xauth-login=username xauth-password=password

4. IPSEC 제안서 작성

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. IPSEC 정책 만들기

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. IPSEC 프로필 생성

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. IPSEC 피어 생성

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
    profile_88

이제 간단한 마법이 필요합니다. 홈 네트워크의 모든 장치에 대한 설정을 변경하고 싶지 않았기 때문에 같은 네트워크에서 어떻게든 DHCP를 걸어야 했지만 Mikrotik이 하나의 브리지에 둘 이상의 주소 풀을 걸도록 허용하지 않는 것이 합리적입니다. 그래서 해결 방법을 찾았습니다. 즉, 랩톱의 경우 수동 매개 변수로 DHCP 임대를 방금 만들었고 netmask, gateway 및 dns도 DHCP에 옵션 번호가 있으므로 수동으로 지정했습니다.

1.DHCP 옵션

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2.DHCP 임대

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>

동시에 설정 1072는 사실상 기본이며 설정에서 클라이언트에 IP 주소를 발급할 때만 풀에서가 아니라 수동으로 입력한 IP 주소를 그에게 제공해야 함을 나타냅니다. 일반 PC 클라이언트의 경우 서브넷은 Wiki 구성 192.168.55.0/24와 동일합니다.

이러한 설정을 사용하면 타사 소프트웨어를 통해 PC에 연결할 수 없으며 필요에 따라 라우터가 터널 자체를 올립니다. 클라이언트 CAP ac의 부하는 터널에서 8-11MB/s의 속도로 9-10%로 거의 최소입니다.

모든 설정은 Winbox를 통해 이루어졌지만 동일한 성공으로 콘솔을 통해 수행할 수 있습니다.

출처 : habr.com