Buen dia a todos!
Dio la casualidad de que en nuestra empresa en los últimos dos años, nos estamos moviendo lentamente a microtics. Los nodos principales están construidos en CCR1072, y los puntos de conexión local para computadoras en dispositivos son más simples. Por supuesto, existe una unión de redes a través del túnel IPSEC, en este caso la configuración es bastante simple y no causa ninguna dificultad, ya que hay muchos materiales en la red. Pero hay ciertas dificultades con la conexión móvil de los clientes, el wiki del fabricante le dice cómo usar el cliente VPN suave de Shrew (todo parece estar claro con esta configuración) y este cliente en particular utiliza el 99% de los usuarios de acceso remoto, y el 1% soy yo, me volví flojo cada vez Simplemente ingrese el nombre de usuario y la contraseña en el cliente y quería un arreglo perezoso en el sofá y una conexión conveniente a las redes de trabajo. No encontré instrucciones para configurar Mikrotik para situaciones en las que ni siquiera está detrás de la dirección gris, sino completamente detrás de la negra y tal vez incluso varios NAT en la red. Porque tuve que improvisar y, por lo tanto, me propongo mirar el resultado.
Hay:
- CCR1072 como el dispositivo principal. versión 6.44.1
- CAP ac como punto de conexión a casa. versión 6.44.1
La característica principal de la configuración es que la PC y Mikrotik deben estar en la misma red con el mismo direccionamiento, emitido por el 1072 principal.
Ir a la configuración:
1. Por supuesto, habilite Fasttrack, pero como fasttrack no es compatible con VPN, debe reducir su tráfico.
/ip firewall mangle add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=\ in,ipsec new-connection-mark=ipsec passthrough=yes add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=\ out,ipsec new-connection-mark=ipsec passthrough=yes /ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Agregue el reenvío de red desde / a su hogar y trabajo
/ip firewall raw add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.76.0/24 add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.98.0/24 add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.77.0/24
3. Crear una descripción de conexión de usuario
/ip ipsec identity add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=\ xauth-login=username xauth-password=password
4. Crear propuesta de IPSEC
/ip ipsec proposal add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Crear una política IPSEC
/ip ipsec policy add dst-address=10.7.76.0/24 level=unique proposal="prop1" \ sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=\ 192.168.33.0/24 tunnel=yes add dst-address=10.7.77.0/24 level=unique proposal="prop1" \ sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=\ 192.168.33.0/24 tunnel=yes
6. Crear un perfil IPSEC
/ip ipsec profile set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=\ aes-192,aes-128,3des nat-traversal=no add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1 add name=profile_88 add dh-group=modp1024 lifetime=4h name=profile246
7. Crear un par IPSEC
/ip ipsec peer add address=<white IP 1072>/32 local-address=< > name=CO profile=\ profile_88
Y ahora un poco de magia simple. Como realmente no quería cambiar la configuración de todos los dispositivos en la red doméstica, tuve que colgar de alguna manera DHCP en la misma red, pero es razonable que Mikrotik no le permita colgar más de un grupo de direcciones en un puente, así que encontré una solución, a saber Simplemente creé un contrato de arrendamiento DHCP para la computadora portátil con parámetros manuales, y como netmask, gateway y dns también tienen números de opción en DHCP, también se especificaron manualmente.
1. Opción DHCP
/ip dhcp-server option add code=3 name=option3-gateway value="'192.168.33.1'" add code=1 name=option1-netmask value="'255.255.255.0'" add code=6 name=option6-dns value="'8.8.8.8'"
2. Arrendamiento de DHCP
/ip dhcp-server lease add address=192.168.33.4 dhcp-option=\ option1-netmask,option3-gateway,option6-dns mac-address=<MAC >
Al mismo tiempo, la configuración 1072 es casi básica, solo cuando se emite una dirección IP al cliente, la configuración indica que se le debe dar la dirección IP ingresada manualmente, y no desde el grupo. Para clientes comunes que usan computadoras personales, la subred es la misma que en la configuración con Wiki 192.168.55.0/24.
Y agregaré un poco, en el servidor de conexión principal 1072, también debe agregar reglas para el reenvío simétrico de red a IP-Firewall-RAW. Al agregar un nuevo reenvío de red, es necesario agregar reglas a la Política IPSEC en el cliente, servidor, así como en el servidor IP-Firewall-RAW y la lista de cortes NAT.
Esta configuración le permite no conectarse a la PC a través de un software de terceros, y el túnel mismo eleva el enrutador según sea necesario. La carga de CA del CAP del cliente es casi mínima, 8-11% a una velocidad de 9-10MB / s en el túnel.
Todos los ajustes se realizaron a través de Winbox, aunque con el mismo éxito se puede hacer a través de la consola.