ProHoster > บล็อก > การบริหาร > มิโครอิค. IPSEC vpn ที่อยู่เบื้องหลัง NAT ในฐานะไคลเอนต์

มิโครอิค. IPSEC vpn ที่อยู่เบื้องหลัง NAT ในฐานะไคลเอนต์

ขอให้เป็นวันที่ดีทุกคน!

บังเอิญว่าที่บริษัทของเรา เราทยอยเปลี่ยนมาใช้ชิป Mikrotik ในช่วงสองปีที่ผ่านมา โหนดหลักสร้างขึ้นบน CCR1072 ในขณะที่จุดเชื่อมต่อคอมพิวเตอร์ในพื้นที่ใช้ชิปที่เรียบง่ายกว่า แน่นอนว่าเรายังให้บริการการเชื่อมต่อเครือข่ายผ่านอุโมงค์ IPSEC ด้วย ในกรณีนี้ การตั้งค่าค่อนข้างง่ายและตรงไปตรงมา ต้องขอบคุณแหล่งข้อมูลมากมายที่มีอยู่บนอินเทอร์เน็ต อย่างไรก็ตาม การเชื่อมต่อไคลเอ็นต์มือถือมีข้อท้าทายบางอย่าง วิกิของผู้ผลิตอธิบายวิธีการใช้ซอฟต์แวร์ Shrew VPN ผมใช้ไคลเอ็นต์ (การตั้งค่านี้ดูเหมือนจะเข้าใจได้ง่าย) และนี่คือไคลเอ็นต์ที่ผู้ใช้การเข้าถึงระยะไกล 99% ใช้ ส่วนอีก 1% ที่เหลือก็คือตัวผมเอง ผมไม่อยากเสียเวลาป้อนชื่อผู้ใช้และรหัสผ่านทุกครั้ง และผมต้องการประสบการณ์การใช้งานที่ผ่อนคลายและสะดวกสบายมากขึ้น พร้อมกับการเชื่อมต่อกับเครือข่ายที่ทำงานได้อย่างสะดวก ผมไม่พบคำแนะนำใดๆ เกี่ยวกับการตั้งค่า Mikrotik สำหรับสถานการณ์ที่มันไม่ได้อยู่หลังที่อยู่ IP ส่วนตัว แต่อยู่หลังที่อยู่ IP ที่ถูกบล็อกอย่างสมบูรณ์ และอาจมี NAT หลายตัวในเครือข่าย ดังนั้นผมจึงต้องดัดแปลง และผมขอแนะนำให้คุณดูผลลัพธ์ที่ได้ครับ

มีอยู่:

  1. CCR1072 เป็นอุปกรณ์หลัก เวอร์ชัน 6.44.1
  2. CAP ac เป็นจุดเชื่อมต่อภายในบ้าน เวอร์ชัน 6.44.1

คุณสมบัติหลักของการตั้งค่าคือพีซีและ Mikrotik ต้องอยู่ในเครือข่ายเดียวกันโดยมีที่อยู่เดียวกันซึ่งออกโดย main 1072

ไปที่การตั้งค่ากันดีกว่า:

1. แน่นอน เราเปิด Fasttrack แต่เนื่องจาก fasttrack เข้ากันไม่ได้กับ VPN เราจึงต้องลดการรับส่งข้อมูล

/ip firewall mangle
add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=
    in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=
    out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec

2. เพิ่มการส่งต่อเครือข่ายจาก/ถึงบ้านและที่ทำงาน

/ip firewall raw
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.76.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.98.0/24
add action=accept chain=prerouting disabled=yes dst-address=192.168.55.0/24 
    src-address=10.7.78.0/24
add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=
    192.168.33.0/24
add action=accept chain=prerouting disabled=yes dst-address=10.7.78.0/24 
    src-address=192.168.55.0/24
add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=
    10.7.77.0/24

3. สร้างคำอธิบายการเชื่อมต่อของผู้ใช้

/ip ipsec identity
add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=
    общий ключ xauth-login=username xauth-password=password

4. สร้างข้อเสนอ IPSEC

/ip ipsec proposal
add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none

5. สร้างนโยบาย IPSEC

/ip ipsec policy
add dst-address=10.7.76.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes
add dst-address=10.7.77.0/24 level=unique proposal="prop1" 
    sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=
    192.168.33.0/24 tunnel=yes

6. สร้างโปรไฟล์ IPSEC

/ip ipsec profile
set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=
    aes-192,aes-128,3des nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1
add name=profile_88
add dh-group=modp1024 lifetime=4h name=profile246

7. สร้างเพียร์ IPSEC

/ip ipsec peer
add address=<white IP 1072>/32 local-address=<ваш адрес роутера> name=CO profile=
    profile_88

ตอนนี้สำหรับเวทมนตร์ง่ายๆ เนื่องจากฉันไม่ต้องการเปลี่ยนการตั้งค่าบนอุปกรณ์ทั้งหมดในเครือข่ายในบ้าน ฉันจึงต้องตั้งค่า DHCP บนเครือข่ายเดียวกัน แต่ก็สมเหตุสมผลที่ Mikrotik ไม่อนุญาตให้คุณตั้งค่ากลุ่มที่อยู่มากกว่าหนึ่งรายการ บริดจ์ตัวหนึ่ง ดังนั้นฉันจึงพบวิธีแก้ปัญหา กล่าวคือ สำหรับแล็ปท็อปที่ฉันเพิ่งสร้าง DHCP Lease โดยระบุพารามิเตอร์ด้วยตนเอง และเนื่องจาก netmask เกตเวย์ & DNS มีหมายเลขตัวเลือกใน DHCP ฉันจึงระบุด้วยตนเอง

1.ตัวเลือก DHCP

/ip dhcp-server option
add code=3 name=option3-gateway value="'192.168.33.1'"
add code=1 name=option1-netmask value="'255.255.255.0'"
add code=6 name=option6-dns value="'8.8.8.8'"

2.สัญญาเช่า DHCP

/ip dhcp-server lease
add address=192.168.33.4 dhcp-option=
    option1-netmask,option3-gateway,option6-dns mac-address=<MAC адрес ноутбука>

ในเวลาเดียวกันการตั้งค่า 1072 นั้นเป็นพื้นฐานในทางปฏิบัติเฉพาะเมื่อมีการออกที่อยู่ IP ให้กับลูกค้าในการตั้งค่าเท่านั้นที่จะระบุว่าควรให้ที่อยู่ IP ที่ป้อนด้วยตนเองไม่ใช่จากพูล สำหรับไคลเอนต์พีซีทั่วไป ซับเน็ตจะเหมือนกับการกำหนดค่า Wiki 192.168.55.0/24

การตั้งค่านี้ช่วยให้คุณไม่ต้องเชื่อมต่อกับพีซีของคุณผ่านซอฟต์แวร์บุคคลที่สาม และเราเตอร์จะยกอุโมงค์เองตามความจำเป็น โหลดบน CAP ac ไคลเอนต์เกือบจะน้อยที่สุด 8-11% ที่ความเร็ว 9-10MB/s ในทันเนล

การตั้งค่าทั้งหมดทำผ่าน Winbox แม้ว่าจะสามารถทำได้ผ่านคอนโซลเช่นกัน

ที่มา: will.com

เพิ่มความคิดเห็น