🥇Микроик. IPSEC vpn зад NAT како клиент

Добар ден на сите!

Случајно, во нашата компанија постепено преминуваме на чипови на Mikrotik во текот на изминатите две години. Главните јазли се изградени на CCR1072, додека точките за поврзување на локалните компјутери се на поедноставни уреди. Секако, нудиме и мрежна интеграција преку IPSEC тунели; во овој случај, поставувањето е доста едноставно и јасно, благодарение на изобилството на ресурси достапни онлајн. Сепак, мобилните врски со клиенти претставуваат одредени предизвици; викито на производителот објаснува како да се користи софтверот Shrew. VPN клиент (ова поставување изгледа самообјаснувачко), и ова е клиентот што го користат 99% од корисниците со далечински пристап, а преостанатите 1% сум јас. Едноставно не можев да се мачам да ги внесувам моите кориснички налог и лозинка секој пат и сакав порелаксирано, поудобно искуство како да седам на каучот со практични врски со работни мрежи. Не можев да најдам никакви упатства за конфигурирање на Mikrotik за ситуации каде што не се наоѓа дури ни зад приватна адреса, туку зад целосно црна листа, а можеби дури и со повеќе NAT-адреси на мрежата. Затоа морав да импровизирам и ви предлагам да ги погледнете резултатите.

Достапно:

CCR1072 како главен уред. верзија 6.44.1
CAP ac како домашна точка за поврзување. верзија 6.44.1

Главната карактеристика на поставката е дека компјутерот и Mikrotik мора да бидат на иста мрежа со исто адресирање, кое го издава главниот 1072.

Ајде да преминеме на поставките:

1. Секако дека го вклучуваме Fasttrack, но бидејќи fasttrack не е компатибилен со vpn, мораме да му го скратиме сообраќајот.

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. Додајте мрежно препраќање од / до дома и работа

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. Направете опис на корисничка врска

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    общий ключ xauth-login=username xauth-password=password

4. Креирајте предлог IPSEC

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. Креирајте политика на IPSEC

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. Направете IPSEC профил

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. Креирајте врсник на IPSEC

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
    profile_88

Сега за некоја едноставна магија. Бидејќи навистина не сакав да ги менувам поставките на сите уреди на мојата домашна мрежа, морав некако да го закачам DHCP на истата мрежа, но разумно е Mikrotik да не дозволува да закачите повеќе од еден базен со адреси на еден мост. , па најдов решение, имено за лаптоп, едноставно креирав DHCP Lease со рачни параметри, а бидејќи и netmask, gateway & dns имаат броеви на опции во DHCP, ги наведов рачно.

1.Опции за DHCP

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2. DHCP закуп

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>

Во исто време, поставувањето 1072 е практично основно, само кога се издава IP адреса на клиент во поставките се означува дека IP адресата внесена рачно, а не од базенот, треба да му се даде. За редовните компјутерски клиенти, подмрежата е иста како и конфигурацијата на Вики 192.168.55.0/24.

Таквата поставка ви овозможува да не се поврзувате со компјутерот преку софтвер од трета страна, а самиот тунел е подигнат од рутерот по потреба. Оптоварувањето на клиентот CAP ac е речиси минимално, 8-11% со брзина од 9-10MB / s во тунелот.

Сите поставки се направени преку Winbox, иако со истиот успех тоа може да се направи и преку конзолата.

Извор: www.habr.com