Goedendag iedereen!
Het gebeurde zo dat we in ons bedrijf de afgelopen twee jaar langzaam zijn overgestapt op Mikrotik. De hoofdknooppunten zijn gebouwd op CCR1072 en de lokale verbindingspunten voor computers op apparaten zijn eenvoudiger. Uiteraard is er ook de integratie van netwerken via IPSEC-tunnel, in dit geval is de opzet vrij eenvoudig en levert geen problemen op, gelukkig staat er veel materiaal op het netwerk. Maar er zijn bepaalde problemen met de mobiele verbinding van clients, de wiki van de fabrikant vertelt je hoe je de Shrew zachte VPN-client moet gebruiken (alles lijkt duidelijk op basis van deze instelling) en het is deze client die wordt gebruikt door 99% van de externe toegang gebruikers, en 1% ben ik, ik ben gewoon te lui allemaal. Nadat ik mijn login en wachtwoord in de client had ingevoerd, wilde ik een luie positie op de bank en een gemakkelijke verbinding met werknetwerken. Ik heb geen instructies gevonden voor het instellen van Mikrotik voor situaties waarin het niet eens achter een grijs adres staat, maar volledig zwart en misschien zelfs meerdere NAT's op het netwerk. Daarom moest ik improviseren, en daarom stel ik voor dat je naar het resultaat kijkt.
Verkrijgbaar:
- CCR1072 als hoofdapparaat. versie 6.44.1
- CAP ac als huisaansluitpunt. versie 6.44.1
Het belangrijkste kenmerk van de installatie is dat de pc en Mikrotik zich op hetzelfde netwerk moeten bevinden met dezelfde adressering, wat wordt doorgegeven aan de hoofd-1072.
Laten we verder gaan met de instellingen:
1. Natuurlijk schakelen we Fasttrack in, maar aangezien fasttrack niet compatibel is met VPN, moeten we het verkeer ervan beperken.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Voeg netwerkdoorschakeling van/naar thuis en werk toe
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Maak een gebruikersverbindingsbeschrijving
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Maak een IPSEC-voorstel
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Maak een IPSEC-beleid
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Maak een IPSEC-profiel aan
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Maak een IPSEC-peer
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Nu wat simpele magie. Omdat ik niet echt de instellingen op alle apparaten in het thuisnetwerk wilde wijzigen, moest ik op de een of andere manier DHCP op hetzelfde netwerk instellen, maar het is redelijk dat Mikrotik niet toestaat dat je meer dan één adrespool instelt op één bridge, dus ik heb een oplossing gevonden, namelijk voor de laptop heb ik eenvoudigweg DHCP Lease gemaakt door de parameters handmatig op te geven, en aangezien netmask, gateway en dns ook optienummers hebben in DHCP, heb ik ze handmatig opgegeven.
1.DHCP-optie
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. DHCP-lease
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Tegelijkertijd is instelling 1072 praktisch eenvoudig, alleen bij het verstrekken van een IP-adres aan een client wordt in de instellingen aangegeven dat deze een handmatig ingevoerd IP-adres moet krijgen, en niet vanuit de pool. Voor gewone clients van personal computers is het subnet hetzelfde als in de configuratie met Wiki 192.168.55.0/24.
Met deze opstelling kunt u geen verbinding maken met uw pc via software van derden, en wordt de tunnel zelf indien nodig door de router verhoogd. De belasting van de client CAP ac is vrijwel minimaal, 8-11% bij een snelheid van 9-10MB/s in de tunnel.
Alle instellingen werden via Winbox gedaan, maar het kon net zo goed via de console worden gedaan.
Bron: www.habr.com