Bom dia a todos!
Aconteceu que em nossa empresa, nos últimos dois anos, estamos nos movendo lentamente para microtics. Os nós principais são criados no CCR1072 e os pontos de conexão local para computadores em dispositivos são mais simples. Obviamente, existe uma união de redes via túnel IPSEC; nesse caso, a configuração é bastante simples e não causa dificuldades, pois existem muitos materiais na rede. Mas existem algumas dificuldades com a conexão móvel dos clientes, o wiki do fabricante explica como usar o cliente Shrew VPN suave (tudo parece claro com essa configuração) e esse cliente em particular usa 99% dos usuários de acesso remoto e 1% sou eu, apenas me tornei preguiçoso a cada basta digitar o nome de usuário e a senha no cliente e eu queria um acordo preguiçoso no sofá e uma conexão conveniente às redes de trabalho. Instruções para configurar o Mikrotik para situações em que ele não está nem atrás do endereço cinza, mas completamente atrás do preto e talvez até de vários NATs na rede, não encontrei. Porque eu tive que improvisar e, portanto, proponho olhar o resultado.
Existe:
- CCR1072 como o dispositivo principal. versão 6.44.1
- CAP ac como um ponto de conexão doméstico. versão 6.44.1
A principal característica da configuração é que o PC e o Mikrotik devem estar na mesma rede com o mesmo endereço, emitido pelo principal 1072.
Vá para a configuração:
1. Obviamente, ative o Fasttrack, mas como o fasttrack não é compatível com a VPN, você deve reduzir o tráfego.
/ip firewall mangle add action=mark-connection chain=forward comment="ipsec in" ipsec-policy=\ in,ipsec new-connection-mark=ipsec passthrough=yes add action=mark-connection chain=forward comment="ipsec out" ipsec-policy=\ out,ipsec new-connection-mark=ipsec passthrough=yes /ip firewall filter add action=fasttrack-connection chain=forward connection-mark=!ipsec
2. Adicione encaminhamento de rede de / para casa e trabalho
/ip firewall raw add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.76.0/24 add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.98.0/24 add action=accept chain=prerouting dst-address=10.7.76.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=10.7.77.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=10.7.98.0/24 src-address=\ 192.168.33.0/24 add action=accept chain=prerouting dst-address=192.168.33.0/24 src-address=\ 10.7.77.0/24
3. Crie uma descrição da conexão do usuário
/ip ipsec identity add auth-method=pre-shared-key-xauth notrack-chain=prerouting peer=CO secret=\ xauth-login=username xauth-password=password
4. Crie uma proposta IPSEC
/ip ipsec proposal add enc-algorithms=3des lifetime=5m name="prop1" pfs-group=none
5. Crie uma política IPSEC
/ip ipsec policy add dst-address=10.7.76.0/24 level=unique proposal="prop1" \ sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=\ 192.168.33.0/24 tunnel=yes add dst-address=10.7.77.0/24 level=unique proposal="prop1" \ sa-dst-address=<white IP 1072> sa-src-address=0.0.0.0 src-address=\ 192.168.33.0/24 tunnel=yes
6. Crie um perfil IPSEC
/ip ipsec profile set [ find default=yes ] dpd-interval=disable-dpd enc-algorithm=\ aes-192,aes-128,3des nat-traversal=no add dh-group=modp1024 enc-algorithm=aes-192,aes-128,3des name=profile_1 add name=profile_88 add dh-group=modp1024 lifetime=4h name=profile246
7. Crie um par IPSEC
/ip ipsec peer add address=<white IP 1072>/32 local-address=< > name=CO profile=\ profile_88
E agora um pouco de mágica simples. Como eu realmente não queria alterar as configurações de todos os dispositivos da rede doméstica, tive que desligar o DHCP de alguma forma na mesma rede, mas é razoável que o Mikrotik não permita a suspensão de mais de um pool de endereços em uma ponte, então encontrei uma solução alternativa, a saber Eu simplesmente criei uma concessão de DHCP para o laptop com parâmetros manuais e, como netmask, gateway & dns também têm números de opção no DHCP, eles também foram especificados manualmente.
1. Opção DHCP
/ip dhcp-server option add code=3 name=option3-gateway value="'192.168.33.1'" add code=1 name=option1-netmask value="'255.255.255.0'" add code=6 name=option6-dns value="'8.8.8.8'"
2. Concessão de DHCP
/ip dhcp-server lease add address=192.168.33.4 dhcp-option=\ option1-netmask,option3-gateway,option6-dns mac-address=<MAC >
Ao mesmo tempo, a configuração 1072 é quase básica, somente ao emitir um endereço IP para o cliente, as configurações indicam que ele deve receber o endereço IP digitado manualmente, e não do pool. Para clientes comuns que usam computadores pessoais, a sub-rede é a mesma que na configuração do Wiki 192.168.55.0/24.
E acrescentarei um pouco, no servidor de conexão principal 1072, você também precisará adicionar regras para o encaminhamento de rede simétrico ao IP-Firewall-RAW. Ao adicionar um novo encaminhamento de rede, é necessário adicionar regras à diretiva IPSEC no cliente, no servidor, no servidor IP-Firewall-RAW e na lista de cortes NAT.
Essa configuração permite que você não se conecte ao PC através de software de terceiros, e o próprio túnel eleva o roteador conforme necessário. A carga CA do cliente CAP é quase mínima, de 8 a 11% a uma velocidade de 9 a 10 MB / s no túnel.
Todas as configurações foram feitas através do Winbox, embora com o mesmo sucesso isso possa ser feito através do console.