Bom dia a todos!
Acontece que em nossa empresa, nos últimos dois anos, mudamos lentamente para micróticos. Os nós principais são construídos em CCR1072 e os pontos de conexão local para computadores em dispositivos são mais simples. Claro que também existe uma combinação de redes via túnel IPSEC, neste caso a configuração é bastante simples e não causa nenhuma dificuldade, pois há muitos materiais na rede. Mas existem certas dificuldades com a conexão móvel dos clientes, o wiki do fabricante sugere como usar o cliente Shrew soft VPN (tudo parece ficar claro com essa configuração) e é esse cliente que é usado por 99% dos usuários de acesso remoto, e 1% sou eu, fiquei com preguiça cada um basta digitar o login e a senha no cliente e queria um local preguiçoso no sofá e uma conexão conveniente às redes de trabalho. Não encontrei instruções para configurar o Mikrotik para situações em que não está nem atrás de um endereço cinza, mas totalmente atrás de um preto e talvez até vários NATs na rede. Portanto, tive que improvisar e, portanto, proponho olhar o resultado.
Existe:
- CCR1072 como dispositivo principal. versão 6.44.1
- CAP ac como ponto de conexão inicial. versão 6.44.1
A principal característica da configuração é que o PC e o Mikrotik devem estar na mesma rede com o mesmo endereçamento, que é emitido pelo 1072 principal.
Vamos para as configurações:
1. Claro, ativamos o Fasttrack, mas como o fasttrack não é compatível com vpn, temos que cortar seu tráfego.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Adicionando encaminhamento de rede de/para casa e trabalho
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Crie uma descrição de conexão do usuário
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Crie uma proposta IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Crie uma política IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Crie um perfil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Crie um par IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Agora, para alguma mágica simples. Como eu realmente não queria alterar as configurações em todos os dispositivos da minha rede doméstica, tive que de alguma forma travar o DHCP na mesma rede, mas é razoável que o Mikrotik não permita que você pendure mais de um pool de endereços em uma ponte, então encontrei uma solução alternativa, ou seja, para um laptop, acabei de criar o DHCP Lease com parâmetros manuais e, como a máscara de rede, o gateway e o dns também têm números de opção no DHCP, especifiquei-os manualmente.
1. Opções de DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. Arrendamento DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Ao mesmo tempo, configurar 1072 é praticamente básico, somente ao emitir um endereço IP para um cliente nas configurações é indicado que o endereço IP inserido manualmente, e não do pool, deve ser fornecido a ele. Para clientes PC regulares, a sub-rede é a mesma que a configuração Wiki 192.168.55.0/24.
Essa configuração permite que você não se conecte ao PC por meio de software de terceiros, e o próprio túnel é levantado pelo roteador conforme necessário. A carga do cliente CAP ac é quase mínima, 8-11% a uma velocidade de 9-10MB/s no túnel.
Todas as configurações foram feitas através do Winbox, embora com o mesmo sucesso possam ser feitas através do console.
Fonte: habr.com