Dobrý deň všetkým!
Stalo sa, že v našej spoločnosti sme za posledné dva roky pomaly prešli na mikrotiku. Hlavné uzly sú postavené na CCR1072 a miestne body pripojenia pre počítače na zariadeniach sú jednoduchšie. Samozrejmosťou je aj kombinácia sietí cez IPSEC tunel, v tomto prípade je nastavenie celkom jednoduché a nespôsobuje žiadne ťažkosti, keďže na sieti je množstvo materiálov. Existujú však určité ťažkosti s mobilným pripojením klientov, wiki výrobcu vám povie, ako používať klienta Shrew soft VPN (s týmto nastavením sa zdá byť všetko jasné) a práve tohto klienta používa 99% používateľov vzdialeného prístupu , a 1% som ja, proste som bol lenivý každý stačí zadať meno a heslo v klientovi a chcel som lenivé miesto na gauči a pohodlné pripojenie k pracovným sieťam. Nenašiel som žiadny návod na konfiguráciu Mikrotiku pre situácie, keď nie je ani za šedou adresou, ale úplne za čiernou a možno aj niekoľkými NATmi v sieti. Preto som musel improvizovať, a preto navrhujem pozrieť sa na výsledok.
K dispozícii:
- CCR1072 ako hlavné zariadenie. verzia 6.44.1
- CAP ac ako bod domáceho pripojenia. verzia 6.44.1
Hlavnou črtou nastavenia je, že PC a Mikrotik musia byť v rovnakej sieti s rovnakým adresovaním, ktoré vydáva hlavný 1072.
Prejdime k nastaveniam:
1. Samozrejme, že zapneme Fasttrack, ale keďže fasttrack nie je kompatibilný s vpn, musíme znížiť jeho návštevnosť.
/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Pridanie sieťového presmerovania z/do domova a do práce
/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24
src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24
src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
10.7.77.0/24
3. Vytvorte popis používateľského pripojenia
/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
общий ключ xauth-login=username xauth-password=password
4. Vytvorte návrh IPSEC
/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Vytvorte politiku IPSEC
/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1"
sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
192.168.33.0/24 tunnel=yes
6. Vytvorte profil IPSEC
/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246
7. Vytvorte IPSEC partnera
/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
profile_88
Teraz trochu jednoduchej mágie. Keďže sa mi naozaj nechcelo meniť nastavenia na všetkých zariadeniach v domácej sieti, musel som nejako zavesiť DHCP na rovnakú sieť, ale je rozumné, že Mikrotik neumožňuje zavesiť viac ako jednu oblasť adries na jeden most. , tak som našiel riešenie, konkrétne pre notebook, práve som vytvoril DHCP Lease s manuálnymi parametrami a keďže sieťová maska, brána a dns majú aj čísla možností v DHCP, špecifikoval som ich ručne.
1. Možnosti DHCP
/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"
2.Prenájom DHCP
/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>
Nastavenie 1072 je zároveň prakticky základné, iba pri prideľovaní IP adresy klientovi v nastaveniach je uvedené, že mu má byť poskytnutá ručne zadaná IP adresa, nie z fondu. Pre bežných PC klientov je podsieť rovnaká ako konfigurácia Wiki 192.168.55.0/24.
Takéto nastavenie vám umožňuje nepripájať sa k počítaču prostredníctvom softvéru tretích strán a samotný tunel je podľa potreby zdvíhaný smerovačom. Zaťaženie klienta CAP ac je takmer minimálne, 8-11% pri rýchlosti 9-10MB/s v tuneli.
Všetky nastavenia boli vykonané cez Winbox, aj keď s rovnakým úspechom sa to dá urobiť aj cez konzolu.
Zdroj: hab.com