Goedendag iedereen!
Het toeval wil dat we bij ons bedrijf de afgelopen twee jaar geleidelijk zijn overgestapt op Mikrotik-chips. De belangrijkste nodes zijn gebouwd met de CCR1072, terwijl de lokale computerverbindingen gebruikmaken van eenvoudigere apparaten. Uiteraard bieden we ook netwerkintegratie via IPSEC-tunnels aan; in dat geval is de configuratie vrij eenvoudig en rechttoe rechtaan, dankzij de vele online beschikbare bronnen. Verbindingen met mobiele clients brengen echter wel bepaalde uitdagingen met zich mee; de wiki van de fabrikant legt uit hoe je Shrew-software kunt gebruiken. VPN De client (deze configuratie spreekt voor zich), en dit is de client die door 99% van de gebruikers met toegang op afstand wordt gebruikt, en de overige 1% ben ik. Ik had er gewoon geen zin in om elke keer mijn login en wachtwoord in te voeren, en ik wilde een meer ontspannen, comfortabele ervaring vanuit huis met gemakkelijke verbindingen met bedrijfsnetwerken. Ik kon geen instructies vinden voor het configureren van Mikrotik in situaties waarin het apparaat zich niet eens achter een privé-IP-adres bevindt, maar achter een volledig geblokkeerd IP-adres, en mogelijk zelfs met meerdere NAT's op het netwerk. Dus moest ik improviseren, en ik raad u aan het resultaat te bekijken.
Verkrijgbaar:
- CCR1072 als hoofdapparaat. versie 6.44.1
- CAP ac als huisaansluitpunt. versie 6.44.1
Het belangrijkste kenmerk van de installatie is dat de pc en Mikrotik zich op hetzelfde netwerk moeten bevinden met dezelfde adressering, wat wordt doorgegeven aan de hoofd-1072.
Laten we verder gaan met de instellingen:
1. Natuurlijk schakelen we Fasttrack in, maar aangezien fasttrack niet compatibel is met VPN, moeten we het verkeer ervan beperken.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Voeg netwerkdoorschakeling van/naar thuis en werk toe
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Maak een gebruikersverbindingsbeschrijving
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Maak een IPSEC-voorstel
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Maak een IPSEC-beleid
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Maak een IPSEC-profiel aan
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Maak een IPSEC-peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Nu wat simpele magie. Omdat ik niet echt de instellingen op alle apparaten in het thuisnetwerk wilde wijzigen, moest ik op de een of andere manier DHCP op hetzelfde netwerk instellen, maar het is redelijk dat Mikrotik niet toestaat dat je meer dan één adrespool instelt op één bridge, dus ik heb een oplossing gevonden, namelijk voor de laptop heb ik eenvoudigweg DHCP Lease gemaakt door de parameters handmatig op te geven, en aangezien netmask, gateway en dns ook optienummers hebben in DHCP, heb ik ze handmatig opgegeven.
1.DHCP-optie
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. DHCP-lease
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Tegelijkertijd is instelling 1072 praktisch eenvoudig, alleen bij het verstrekken van een IP-adres aan een client wordt in de instellingen aangegeven dat deze een handmatig ingevoerd IP-adres moet krijgen, en niet vanuit de pool. Voor gewone clients van personal computers is het subnet hetzelfde als in de configuratie met Wiki 192.168.55.0/24.
Met deze opstelling kunt u geen verbinding maken met uw pc via software van derden, en wordt de tunnel zelf indien nodig door de router verhoogd. De belasting van de client CAP ac is vrijwel minimaal, 8-11% bij een snelheid van 9-10MB/s in de tunnel.
Alle instellingen werden via Winbox gedaan, maar het kon net zo goed via de console worden gedaan.
Bron: www.habr.com
