Bună ziua tuturor!
Sa întâmplat că în compania noastră în ultimii doi ani am trecut încet la Mikrotik. Nodurile principale sunt construite pe CCR1072, iar punctele locale de conectare pentru computerele de pe dispozitive sunt mai simple. Desigur, există și integrarea rețelelor prin tunel IPSEC, în acest caz setarea este destul de simplă și nu provoacă dificultăți, din fericire există mult material în rețea. Dar există anumite dificultăți cu conexiunea mobilă a clienților, wiki-ul producătorului vă spune cum să utilizați clientul Shrew soft VPN (totul pare să fie clar pe baza acestei setari) și acest client este folosit de 99% din accesul de la distanță. utilizatori, iar 1% sunt eu, sunt prea leneș toată lumea Odată ce mi-am introdus datele de conectare și parola în client, am vrut o poziție leneșă pe canapea și o conexiune convenabilă la rețelele de serviciu. Nu am găsit instrucțiuni pentru configurarea Mikrotik pentru situațiile în care nu este nici măcar în spatele unei adrese gri, ci complet negru și poate chiar mai multe NAT-uri în rețea. Prin urmare, a trebuit să improvizez și, prin urmare, vă sugerez să vă uitați la rezultat.
Disponibil:
- CCR1072 ca dispozitiv principal. versiunea 6.44.1
- CAP ac ca punct de conectare la domiciliu. versiunea 6.44.1
Caracteristica principală a configurației este că PC-ul și Mikrotik trebuie să fie în aceeași rețea cu aceeași adresare, ceea ce este emis către 1072 principal.
Să trecem la setări:
1. Desigur, activăm Fasttrack, dar din moment ce fasttrack nu este compatibil cu VPN, trebuie să-i tăiem traficul.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Adăugați redirecționarea rețelei de la/către acasă și serviciu
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Creați o descriere a conexiunii utilizator
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Creați o propunere IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Creați o politică IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Creați un profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Creați un peer IPSEC
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Acum pentru o magie simplă. Deoarece nu am vrut cu adevărat să schimb setările pe toate dispozitivele din rețeaua de acasă, a trebuit să configurez cumva DHCP pe aceeași rețea, dar este rezonabil că Mikrotik nu vă permite să configurați mai mult de un grup de adrese pe un bridge, așa că am găsit o soluție, și anume pentru laptop am creat pur și simplu DHCP Lease cu specificarea manuală a parametrilor, iar din moment ce netmask, gateway & dns au și numere de opțiuni în DHCP, le-am specificat manual.
1.Opțiune DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2. Închiriere DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
În același timp, setarea 1072 este practic de bază, doar la emiterea unei adrese IP unui client, este indicat în setări că ar trebui să i se dea o adresă IP introdusă manual, și nu din pool. Pentru clienții obișnuiți de pe computere personale, subrețeaua este aceeași ca în configurația cu Wiki 192.168.55.0/24.
Această configurare vă permite să nu vă conectați la computer prin intermediul unui software terță parte, iar tunelul în sine este ridicat de router după cum este necesar. Sarcina pe client CAP ac este aproape minimă, 8-11% la o viteză de 9-10MB/s în tunel.
Toate setările au fost făcute prin Winbox, deși se putea la fel de bine să fie făcut prin consolă.
Sursa: www.habr.com