Bonne journée à tous!
Il se trouve que dans notre entreprise au cours des deux dernières années, nous nous sommes lentement tournés vers la microtique. Les nœuds principaux sont construits sur CCR1072 et les points de connexion locaux pour les ordinateurs sur les appareils sont plus simples. Bien sûr, il y a une union de réseaux via le tunnel IPSEC, dans ce cas la configuration est assez simple et ne pose pas de difficultés, car il y a beaucoup de matériaux sur le réseau. Mais il y a certaines difficultés avec la connexion mobile des clients, le wiki du fabricant vous indique comment utiliser le client VPN soft Shrew (tout semble clair avec ce paramètre) et ce client particulier utilise 99% des utilisateurs d'accès à distance, et 1% est moi, je suis juste devenu paresseux tous les entrez simplement le nom d'utilisateur et le mot de passe dans le client et je voulais un arrangement paresseux sur le canapé et une connexion pratique aux réseaux de travail. Instructions pour configurer Mikrotik pour des situations où il n'est même pas derrière l'adresse grise, mais complètement derrière l'adresse noire et peut-être même plusieurs NAT sur le réseau, je n'ai pas trouvé. Parce que j'ai dû improviser, et donc je propose de regarder le résultat.
Il y a:
- CCR1072 comme périphérique principal. version 6.44.1
- CAP ac comme point de connexion domestique. version 6.44.1
La principale caractéristique de la configuration est que le PC et Mikrotik doivent être sur le même réseau avec le même adressage, qui est émis par le 1072 principal.
Accédez au paramètre:
1. Bien sûr, activez Fasttrack, mais comme fasttrack n'est pas compatible avec VPN, vous devez réduire son trafic.
/ip firewall mangle add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=\ in,ipsec new-connection-mark=ipsec passthrough=yes add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=\ out,ipsec new-connection-mark=ipsec passthrough=yes /ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Ajoutez la redirection réseau de / vers la maison et le travail
/ip firewall raw add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.76.0/24 add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.98.0/24 add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.77.0/24
3. Créez une description de connexion utilisateur
/ip ipsec identity add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=\ xauth-login=username xauth-password=password
4. Créer une proposition IPSEC
/ip ipsec proposal add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Créez une stratégie IPSEC
/ip ipsec policy add dst-address=10.7.76.0/24 level=unique proposal="prop1" \ sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=\ 192.168.33.0/24 tunnel=yes add dst-address=10.7.77.0/24 level=unique proposal="prop1" \ sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=\ 192.168.33.0/24 tunnel=yes
6. Créez un profil IPSEC
/ip ipsec profile set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=\ aes-192,aes-128,3des nat-traversal=no add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1 add name=profile_88 add dh-group=modp1024 lifetime=4h name=profile246
7. Créez un homologue IPSEC
/ip ipsec peer add address=<white IP 1072>/32 local-address=< > name=CO profile=\ profile_88
Et maintenant un peu de magie simple. Comme je ne voulais pas vraiment modifier les paramètres sur tous les appareils du réseau domestique, j'ai dû en quelque sorte raccrocher DHCP sur le même réseau, mais il est raisonnable que Mikrotik ne permette pas de suspendre plus d'un pool d'adresses sur un pont, j'ai donc trouvé une solution de contournement, à savoir J'ai simplement créé un bail DHCP pour l'ordinateur portable avec une indication manuelle des paramètres, et comme le masque de réseau, la passerelle et le DNS ont également des numéros d'option dans DHCP, il a également été spécifié manuellement.
1. Option DHCP
/ip dhcp-server option add code=3 name=option3-gateway value="'192.168.33.1'" add code=1 name=option1-netmask value="'255.255.255.0'" add code=6 name=option6-dns value="'8.8.8.8'"
2. Bail DHCP
/ip dhcp-server lease add address=192.168.33.4 dhcp-option=\ option1-netmask,option3-gateway,option6-dns mac-address=<MAC >
Dans le même temps, le réglage 1072 est presque basique, uniquement lors de la délivrance d'une adresse IP au client dans les paramètres, il est indiqué que pour lui donner l'adresse IP saisie manuellement, et non à partir du pool. Pour les clients ordinaires utilisant des ordinateurs personnels, le sous-réseau est le même que dans la configuration avec Wiki 192.168.55.0/24.
Et j'ajouterai un peu, sur le serveur de connexion principal 1072, vous devez également ajouter des règles pour le transfert de réseau symétrique vers IP-Firewall-RAW. Lors de l'ajout d'une nouvelle redirection réseau, il est nécessaire d'ajouter des règles à la politique IPSEC sur le client, le serveur, ainsi que sur le serveur IP-Firewall-RAW et la liste des coupures NAT.
Ce paramètre vous permet de ne pas vous connecter au PC via un logiciel tiers et le tunnel lui-même soulève le routeur selon les besoins. La charge ca du client CAP est presque minimale, 8-11% à une vitesse de 9-10MB / s dans le tunnel.
Tous les paramètres ont été définis via Winbox, mais avec le même succès, cela peut être fait via la console.