🥇Микроик. IPSEC vpn зад NAT како клиент

Добар ден на сите!

Едноставно, во нашата компанија во последните две години полека се префрламе на микротики. Главните јазли се изградени на CCR1072, а локалните точки за поврзување за компјутерите на уредите се поедноставни. Се разбира, постои и комбинација на мрежи преку тунелот IPSEC, во овој случај, поставувањето е прилично едноставно и не предизвикува никакви тешкотии, бидејќи има многу материјали на мрежата. Но, има одредени потешкотии со мобилното поврзување на клиентите, викито на производителот ви кажува како да го користите мекиот VPN клиент Shrew (се чини дека е јасно со оваа поставка) и токму овој клиент го користат 99% од корисниците на далечински пристап , а 1% сум јас, едноставно бев премногу мрзлив секој само внесете ги најавата и лозинката во клиентот и сакав мрзлива локација на каучот и удобна врска со работните мрежи. Не најдов инструкции за конфигурирање на Mikrotik за ситуации кога не е ни зад сива адреса, туку целосно зад црна и можеби дури и неколку NAT на мрежата. Затоа, морав да импровизирам, и затоа предлагам да го погледнам резултатот.

Достапно:

CCR1072 како главен уред. верзија 6.44.1
CAP ac како домашна точка за поврзување. верзија 6.44.1

Главната карактеристика на поставката е дека компјутерот и Mikrotik мора да бидат на иста мрежа со исто адресирање, кое го издава главниот 1072.

Ајде да преминеме на поставките:

1. Секако дека го вклучуваме Fasttrack, но бидејќи fasttrack не е компатибилен со vpn, мораме да му го скратиме сообраќајот.

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. Додајте мрежно препраќање од / до дома и работа

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. Направете опис на корисничка врска

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    общий ключ xauth-login=username xauth-password=password

4. Креирајте предлог IPSEC

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. Креирајте политика на IPSEC

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. Направете IPSEC профил

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. Креирајте врсник на IPSEC

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
    profile_88

Сега за некоја едноставна магија. Бидејќи навистина не сакав да ги менувам поставките на сите уреди на мојата домашна мрежа, морав некако да го закачам DHCP на истата мрежа, но разумно е Mikrotik да не дозволува да закачите повеќе од еден базен со адреси на еден мост. , па најдов решение, имено за лаптоп, едноставно креирав DHCP Lease со рачни параметри, а бидејќи и netmask, gateway & dns имаат броеви на опции во DHCP, ги наведов рачно.

1.Опции за DHCP

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2. DHCP закуп

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>

Во исто време, поставувањето 1072 е практично основно, само кога се издава IP адреса на клиент во поставките се означува дека IP адресата внесена рачно, а не од базенот, треба да му се даде. За редовните компјутерски клиенти, подмрежата е иста како и конфигурацијата на Вики 192.168.55.0/24.

Таквата поставка ви овозможува да не се поврзувате со компјутерот преку софтвер од трета страна, а самиот тунел е подигнат од рутерот по потреба. Оптоварувањето на клиентот CAP ac е речиси минимално, 8-11% со брзина од 9-10MB / s во тунелот.

Сите поставки се направени преку Winbox, иако со истиот успех тоа може да се направи и преку конзолата.

Извор: www.habr.com

микрок. IPSEC vpn зад NAT како клиент

Додадете коментар Откажи одговор