Dzień dobry wszystkim!
Tak się składa, że w naszej firmie od dwóch lat stopniowo przechodzimy na układy Mikrotik. Główne węzły zbudowane są na CCR1072, a lokalne punkty połączeń komputerowych na prostszych urządzeniach. Oczywiście oferujemy również integrację sieciową poprzez tunele IPSEC; w tym przypadku konfiguracja jest dość prosta i przejrzysta, dzięki bogatej bazie zasobów dostępnych online. Połączenia mobilne z klientami wiążą się jednak z pewnymi wyzwaniami; wiki producenta wyjaśnia, jak korzystać z oprogramowania Shrew. VPN Klient (ta konfiguracja wydaje się oczywista), a to właśnie z tego klienta korzysta 99% użytkowników zdalnego dostępu, a pozostały 1% to ja. Po prostu nie chciało mi się wpisywać loginu i hasła za każdym razem, a zależało mi na bardziej swobodnym, komfortowym środowisku kanapowym z wygodnym połączeniem z sieciami firmowymi. Nie mogłem znaleźć żadnych instrukcji dotyczących konfiguracji Mikrotika w sytuacjach, gdy nie znajduje się on nawet za adresem prywatnym, ale za adresem całkowicie zaciemnionym, a może nawet z wieloma NAT-ami w sieci. Musiałem więc improwizować i sugeruję, abyście przyjrzeli się wynikom.
Do dyspozycji:
- CCR1072 jako urządzenie główne. wersja 6.44.1
- CAP ac jako domowy punkt połączenia. wersja 6.44.1
Główną cechą tego ustawienia jest to, że komputer PC i Mikrotik muszą znajdować się w tej samej sieci z tym samym adresowaniem, które jest przydzielane przez główny 1072.
Przejdźmy do ustawień:
1. Oczywiście włączamy Fasttrack, ale ponieważ fasttrack nie jest kompatybilny z vpn, musimy odciąć jego ruch.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Dodanie przekierowania sieciowego z/do domu i pracy
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Utwórz opis połączenia użytkownika
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Utwórz propozycję IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Utwórz zasady IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Utwórz profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Utwórz peera IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
A teraz trochę prostej magii. Ponieważ nie bardzo chciałem zmieniać ustawienia na wszystkich urządzeniach w mojej sieci domowej, musiałem jakoś zawiesić DHCP w tej samej sieci, ale to rozsądne, że Mikrotik nie pozwala zawiesić więcej niż jednej puli adresów na jednym moście , więc znalazłem obejście, a mianowicie dla laptopa, właśnie utworzyłem dzierżawę DHCP z parametrami ręcznymi, a ponieważ maska sieci, brama i dns mają również numery opcji w DHCP, określiłem je ręcznie.
1. Opcje DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. Dzierżawa DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Jednocześnie ustawienie 1072 jest praktycznie podstawowe, jedynie przy nadawaniu klientowi adresu IP w ustawieniach wskazano, że należy mu podać adres IP wprowadzony ręcznie, a nie z puli. W przypadku zwykłych klientów PC podsieć jest taka sama jak konfiguracja Wiki 192.168.55.0/24.
Takie ustawienie pozwala nie łączyć się z komputerem za pomocą oprogramowania innych firm, a sam tunel jest podnoszony przez router w razie potrzeby. Obciążenie klienta CAP ac jest prawie minimalne, 8-11% przy prędkości 9-10MB/sw tunelu.
Wszystkie ustawienia zostały wykonane przez Winbox, chociaż z takim samym powodzeniem można to zrobić za pomocą konsoli.
Źródło: www.habr.com
