Guten Tag an alle!
So kam es, dass wir in unserem Unternehmen in den letzten zwei Jahren langsam auf Mikrotik umsteigen. Die Hauptknoten basieren auf CCR1072, und lokale Verbindungspunkte für Computer auf Geräten sind einfacher. Natürlich gibt es eine Vereinigung von Netzwerken über den IPSEC-Tunnel. In diesem Fall ist die Konfiguration recht einfach und verursacht keine Schwierigkeiten, da sich viele Materialien im Netzwerk befinden. Es gibt jedoch gewisse Schwierigkeiten bei der mobilen Verbindung von Clients. Im Wiki des Herstellers erfahren Sie, wie Sie den Shrew-Soft-VPN-Client verwenden (mit dieser Einstellung scheint alles klar zu sein). Dieser Client verwendet 99% der RAS-Benutzer, und 1% bin ich. Ich bin einfach faul geworden Geben Sie einfach den Benutzernamen und das Passwort in den Client ein und ich wollte eine faule Anordnung auf der Couch und eine bequeme Verbindung zu Arbeitsnetzwerken. Anweisungen zum Konfigurieren von Mikrotik für Situationen, in denen es nicht einmal hinter der grauen Adresse, sondern vollständig hinter der schwarzen und möglicherweise sogar mehreren NATs im Netzwerk liegt, habe ich nicht gefunden. Weil ich improvisieren musste und deshalb vorschlage, das Ergebnis zu betrachten.
Es gibt:
- CCR1072 als Hauptgerät. Version 6.44.1
- CAP ac als Heimanschlusspunkt. Version 6.44.1
Das Hauptmerkmal des Setups ist, dass sich PC und Mikrotik im selben Netzwerk mit derselben Adressierung befinden müssen, die vom Haupt-1072 ausgegeben wird.
Gehen Sie zur Einstellung:
1. Aktivieren Sie natürlich Fasttrack, aber da Fasttrack nicht mit VPN kompatibel ist, müssen Sie den Datenverkehr reduzieren.
/ip firewall mangle add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=\ in,ipsec new-connection-mark=ipsec passthrough=yes add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=\ out,ipsec new-connection-mark=ipsec passthrough=yes /ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Fügen Sie die Netzwerkweiterleitung von / nach Hause und zur Arbeit hinzu
/ip firewall raw add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.76.0/24 add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.98.0/24 add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.77.0/24
3. Erstellen Sie eine Beschreibung der Benutzerverbindung
/ip ipsec identity add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=\ xauth-login=username xauth-password=password
4. Erstellen Sie einen IPSEC-Vorschlag
/ip ipsec proposal add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Erstellen Sie eine IPSEC-Richtlinie
/ip ipsec policy add dst-address=10.7.76.0/24 level=unique proposal="prop1" \ sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=\ 192.168.33.0/24 tunnel=yes add dst-address=10.7.77.0/24 level=unique proposal="prop1" \ sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=\ 192.168.33.0/24 tunnel=yes
6. Erstellen Sie ein IPSEC-Profil
/ip ipsec profile set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=\ aes-192,aes-128,3des nat-traversal=no add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1 add name=profile_88 add dh-group=modp1024 lifetime=4h name=profile246
7. Erstellen Sie einen IPSEC-Peer
/ip ipsec peer add address=<white IP 1072>/32 local-address=< > name=CO profile=\ profile_88
Und jetzt ein bisschen einfache Magie. Da ich die Einstellungen nicht wirklich auf allen Geräten im Heimnetzwerk ändern wollte, musste ich DHCP im selben Netzwerk irgendwie auflegen, aber es ist vernünftig, dass Mikrotik nicht zulässt, dass mehr als ein Adresspool auf einer Bridge hängt, also habe ich eine Problemumgehung gefunden, nämlich Ich habe einfach ein DHCP-Lease für den Laptop mit einer manuellen Angabe der Parameter erstellt. Da Netzmaske, Gateway und DNS auch Optionsnummern in DHCP haben, wurde es auch manuell angegeben.
1. DHCP-Option
/ip dhcp-server option add code=3 name=option3-gateway value="'192.168.33.1'" add code=1 name=option1-netmask value="'255.255.255.0'" add code=6 name=option6-dns value="'8.8.8.8'"
2. DHCP-Lease
/ip dhcp-server lease add address=192.168.33.4 dhcp-option=\ option1-netmask,option3-gateway,option6-dns mac-address=<MAC >
Gleichzeitig ist die Einstellung 1072 fast grundlegend. Nur wenn eine IP-Adresse an den Client ausgegeben wird, geben die Einstellungen an, dass die manuell eingegebene IP-Adresse und nicht aus dem Pool angegeben werden soll. Für normale Clients, die PCs verwenden, ist das Subnetz dasselbe wie in der Konfiguration mit Wiki 192.168.55.0/24.
Und ich möchte ein wenig hinzufügen: Auf dem Hauptverbindungsserver 1072 müssen Sie auch Regeln für die symmetrische Netzwerkweiterleitung an IP-Firewall-RAW hinzufügen. Beim Hinzufügen einer neuen Netzwerkweiterleitung müssen Regeln zur IPSEC-Richtlinie auf dem Client, Server sowie auf dem IP-Firewall-RAW-Server und der Liste der NAT-Ausschnitte hinzugefügt werden.
Mit dieser Einstellung können Sie keine Verbindung zum PC über Software von Drittanbietern herstellen, und der Tunnel selbst erhöht den Router nach Bedarf. Die Client-CAP-Wechselstromlast ist mit 8 bis 11% bei einer Geschwindigkeit von 9 bis 10 MB / s im Tunnel nahezu minimal.
Alle Einstellungen wurden über Winbox vorgenommen, obwohl dies mit dem gleichen Erfolg über die Konsole möglich ist.