ProHoster > Š‘Š»Š¾Š³ > Administrācija > mikroik. IPSEC vpn aiz NAT kā klienta

mikroik. IPSEC vpn aiz NAT kā klienta

Laba diena visiem!

SagadÄ«jies, ka pēdējo divu gadu laikā mÅ«su uzņēmumā pakāpeniski pārejam uz Mikrotik mikroshēmām. Galvenie mezgli ir veidoti uz CCR1072, savukārt lokālie datoru pieslēguma punkti atrodas uz vienkārŔākām ierÄ«cēm. Protams, mēs piedāvājam arÄ« tÄ«kla integrāciju, izmantojot IPSEC tuneļus; Å”ajā gadÄ«jumā iestatÄ«Å”ana ir diezgan vienkārÅ”a un saprotama, pateicoties plaÅ”ajiem tieÅ”saistes resursiem. Tomēr mobilo klientu savienojumi rada zināmas problēmas; ražotāja wiki lapā ir paskaidrots, kā lietot Shrew programmatÅ«ru. VPN klients (Ŕī iestatÄ«Å”ana Ŕķiet paÅ”saprotama), un Å”o klientu izmanto 99% attālās piekļuves lietotāju, bet atlikuÅ”o 1% esmu es. Es vienkārÅ”i nevarēju apgrÅ«tināt sevi ar pieteikÅ”anās un paroles ievadÄ«Å”anu katru reizi, un es vēlējos mierÄ«gāku, ērtāku pieredzi ar ērtiem savienojumiem ar darba tÄ«kliem. Es neatradu nekādas instrukcijas par Mikrotik konfigurÄ“Å”anu situācijām, kad tas atrodas nevis aiz privātas adreses, bet gan aiz pilnÄ«gi melnajā sarakstā iekļautas adreses, un varbÅ«t pat ar vairākiem NAT tÄ«klā. Tāpēc man nācās improvizēt, un iesaku jums aplÅ«kot rezultātus.

Pieejams:

  1. CCR1072 kā galvenā ierīce. versija 6.44.1
  2. CAP maiņstrāva kā mājas savienojuma punkts. versija 6.44.1

Iestatījuma galvenā iezīme ir tāda, ka datoram un Mikrotik ir jāatrodas vienā tīklā ar vienādu adresāciju, ko izsniedz galvenais 1072.

Pāriesim pie iestatījumiem:

1. Protams, mēs ieslēdzam Fasttrack, bet tā kā fasttrack nav saderīgs ar vpn, mums ir jāsamazina tā trafika.

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. Tīkla pārsūtīŔanas pievienoŔana no/uz mājām un darbu

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. Izveidojiet lietotāja savienojuma aprakstu

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    Š¾Š±Ń‰ŠøŠ¹ ŠŗŠ»ŃŽŃ‡ xauth-login=username xauth-password=password

4. Izveidojiet IPSEC priekŔlikumu

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. Izveidojiet IPSEC politiku

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. Izveidojiet IPSEC profilu

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. Izveidojiet IPSEC vienādrangu

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<Š²Š°Ńˆ Š°Š“рŠµŃ рŠ¾ŃƒŃ‚ŠµŃ€Š°> name=CO profile=
    profile_88

Tagad par vienkārÅ”u maÄ£iju. Tā kā es ļoti negribēju mainÄ«t iestatÄ«jumus visās mājas tÄ«klā esoÅ”ajās ierÄ«cēs, man nācās kaut kā piekārt DHCP vienā tÄ«klā, bet tas ir saprātÄ«gi, ka Mikrotik neļauj uz viena tilta piekārt vairāk kā vienu adreÅ”u kopu. , tāpēc es atradu risinājumu, proti, klēpjdatoram, es tikko izveidoju DHCP Lease ar manuāliem parametriem, un, tā kā tÄ«kla maskai, vārtejai un dns ir arÄ« opciju numuri DHCP, es tos norādÄ«ju manuāli.

1.DHCP opcijas

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2.DHCP noma

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC Š°Š“рŠµŃ Š½Š¾ŃƒŃ‚Š±ŃƒŠŗŠ°>

Tajā paŔā laikā iestatÄ«jums 1072 ir praktiski pamata, tikai klientam iestatÄ«jumos izsniedzot IP adresi, tiek norādÄ«ts, ka viņam ir jādod manuāli ievadÄ«tā IP adrese, nevis no kopas. Parastajiem datoru klientiem apakÅ”tÄ«kls ir tāds pats kā Wiki konfigurācija 192.168.55.0/24.

Šāds iestatÄ«jums ļauj neizveidot savienojumu ar datoru, izmantojot treŔās puses programmatÅ«ru, un pats tunelis tiek pacelts ar marÅ”rutētāju pēc vajadzÄ«bas. Klienta CAP maiņstrāvas slodze ir gandrÄ«z minimāla, 8-11% ar ātrumu 9-10 MB / s tunelÄ«.

Visi iestatījumi tika veikti, izmantojot Winbox, lai gan ar tādiem paŔiem panākumiem to var izdarīt, izmantojot konsoli.

Avots: www.habr.com

Pievieno komentāru