mikroik. 클라이언트로 NAT 뒤의 IPSEC VPN

모두에게 좋은 날!

지난 1072년 동안 우리 회사에서는 마이크로틱으로 천천히 전환해 왔습니다. 기본 노드는 CCR99에 구축되며 장치의 컴퓨터에 대한 로컬 연결 지점이 더 간단합니다. 물론 IPSEC 터널을 통한 네트워크 조합도 있습니다. 이 경우 네트워크에 많은 자료가 있기 때문에 설정이 매우 간단하고 문제가 발생하지 않습니다. 그러나 클라이언트의 모바일 연결에는 특정 어려움이 있으며 제조업체의 위키는 Shrew 소프트 VPN 클라이언트를 사용하는 방법을 제안하며(이 설정으로 모든 것이 명확해 보입니다) 원격 액세스 사용자의 1%가 사용하는 클라이언트입니다. 그리고 XNUMX%는 저입니다. 클라이언트에 로그인과 암호를 입력하기만 하면 너무 게을러지고 소파에서 게으른 위치와 작업 네트워크에 편리한 연결을 원했습니다. 회색 주소 뒤에 있지 않고 검은색 주소 뒤에 완전히 있고 네트워크의 여러 NAT 뒤에 있는 상황에 대해 Mikrotik을 구성하는 지침을 찾지 못했습니다. 따라서 즉흥적으로해야했기 때문에 결과를 볼 것을 제안합니다.

있다 :

1. 주 장치로 CCR1072. 버전 6.44.1
2. 홈 연결 지점으로 CAP ac. 버전 6.44.1

설정의 주요 특징은 PC와 Mikrotik이 메인 1072에서 발급한 동일한 주소 지정으로 동일한 네트워크에 있어야 한다는 것입니다.

설정으로 이동해 보겠습니다.

1. 물론 Fasttrack을 켰지만 fasttrack은 vpn과 호환되지 않기 때문에 트래픽을 줄여야 합니다.

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. 집과 직장에서 네트워크 포워딩 추가

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. 사용자 연결 설명 만들기

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    общий ключ xauth-login=username xauth-password=password

4. IPSEC 제안서 작성

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. IPSEC 정책 만들기

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. IPSEC 프로필 생성

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. IPSEC 피어 생성

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
    profile_88

이제 간단한 마법이 필요합니다. 홈 네트워크의 모든 장치에 대한 설정을 변경하고 싶지 않았기 때문에 같은 네트워크에서 어떻게든 DHCP를 걸어야 했지만 Mikrotik이 하나의 브리지에 둘 이상의 주소 풀을 걸도록 허용하지 않는 것이 합리적입니다. 그래서 해결 방법을 찾았습니다. 즉, 랩톱의 경우 수동 매개 변수로 DHCP 임대를 방금 만들었고 netmask, gateway 및 dns도 DHCP에 옵션 번호가 있으므로 수동으로 지정했습니다.

1.DHCP 옵션

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2.DHCP 임대

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>

동시에 설정 1072는 사실상 기본이며 설정에서 클라이언트에 IP 주소를 발급할 때만 풀에서가 아니라 수동으로 입력한 IP 주소를 그에게 제공해야 함을 나타냅니다. 일반 PC 클라이언트의 경우 서브넷은 Wiki 구성 192.168.55.0/24와 동일합니다.

이러한 설정을 사용하면 타사 소프트웨어를 통해 PC에 연결할 수 없으며 필요에 따라 라우터가 터널 자체를 올립니다. 클라이언트 CAP ac의 부하는 터널에서 8-11MB/s의 속도로 9-10%로 거의 최소입니다.

모든 설정은 Winbox를 통해 이루어졌지만 동일한 성공으로 콘솔을 통해 수행할 수 있습니다.

출처 : habr.com