Bună ziua tuturor!
Se întâmplă ca în compania noastră să trecem treptat la cipuri Mikrotik în ultimii doi ani. Nodurile principale sunt construite pe CCR1072, în timp ce punctele locale de conectare la computer se află pe dispozitive mai simple. Desigur, oferim și integrare în rețea prin tuneluri IPSEC; în acest caz, configurarea este destul de simplă și directă, datorită abundenței de resurse disponibile online. Cu toate acestea, conexiunile clienților mobili prezintă anumite provocări; wiki-ul producătorului explică cum se utilizează software-ul Shrew. VPN client (această configurație pare evidentă), iar acesta este clientul folosit de 99% dintre utilizatorii de acces la distanță, iar restul de 1% sunt eu. Pur și simplu nu mă puteam obosi să introduc numele de utilizator și parola de fiecare dată și îmi doream o experiență mai relaxată, mai confortabilă, cu conexiuni convenabile la rețelele de lucru. Nu am găsit nicio instrucțiune pentru configurarea Mikrotik pentru situațiile în care nu se află nici măcar în spatele unei adrese private, ci în spatele uneia complet ascunse și poate chiar cu mai multe NAT-uri în rețea. Așa că a trebuit să improvizez și vă sugerez să aruncați o privire la rezultate.
Disponibil:
- CCR1072 ca dispozitiv principal. versiunea 6.44.1
- CAP ac ca punct de conectare la domiciliu. versiunea 6.44.1
Caracteristica principală a configurației este că PC-ul și Mikrotik trebuie să fie în aceeași rețea cu aceeași adresare, ceea ce este emis către 1072 principal.
Să trecem la setări:
1. Desigur, activăm Fasttrack, dar din moment ce fasttrack nu este compatibil cu VPN, trebuie să-i tăiem traficul.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Adăugați redirecționarea rețelei de la/către acasă și serviciu
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Creați o descriere a conexiunii utilizator
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Creați o propunere IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Creați o politică IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Creați un profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Creați un peer IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Acum pentru o magie simplă. Deoarece nu am vrut cu adevărat să schimb setările pe toate dispozitivele din rețeaua de acasă, a trebuit să configurez cumva DHCP pe aceeași rețea, dar este rezonabil că Mikrotik nu vă permite să configurați mai mult de un grup de adrese pe un bridge, așa că am găsit o soluție, și anume pentru laptop am creat pur și simplu DHCP Lease cu specificarea manuală a parametrilor, iar din moment ce netmask, gateway & dns au și numere de opțiuni în DHCP, le-am specificat manual.
1.Opțiune DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. Închiriere DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
În același timp, setarea 1072 este practic de bază, doar la emiterea unei adrese IP unui client, este indicat în setări că ar trebui să i se dea o adresă IP introdusă manual, și nu din pool. Pentru clienții obișnuiți de pe computere personale, subrețeaua este aceeași ca în configurația cu Wiki 192.168.55.0/24.
Această configurare vă permite să nu vă conectați la computer prin intermediul unui software terță parte, iar tunelul în sine este ridicat de router după cum este necesar. Sarcina pe client CAP ac este aproape minimă, 8-11% la o viteză de 9-10MB/s în tunel.
Toate setările au fost făcute prin Winbox, deși se putea la fel de bine să fie făcut prin consolă.
Sursa: www.habr.com
