Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.

RIP, OSFP, BGP, MPLS/VPLS
Ответить
Аватара пользователя
Sweik
Сообщения: 7
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.

Сообщение Sweik » 14 июн 2018, 11:11

Добрый день.
Настраиваю удаленный доступ извне к ресурсам офиса. Использую IPSec VPN with IKEv2 и аутентификацию по сертификатам.
Работаю с RB3011UiAS версия 6.41

Экспорт настроек приведен ниже.

Код: Выделить всё

/ip pool
add name=DHCP ranges=192.168.60.1-192.168.60.62
add name=VPN ranges=192.168.10.1-192.168.10.62

/ip ipsec mode-config
add address-pool=VPN address-prefix-length=26 name=vpn_cfg1 \
    split-include=192.168.60.0/26

/ip ipsec proposal
add auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-128-cbc name=\
    ikev2-proposal pfs-group=none

/ip ipsec peer
add address=0.0.0.0/0 auth-method=rsa-signature certificate=vpn.server \
    dh-group=modp1024 enc-algorithm=aes-256,aes-128 exchange-mode=ike2 \
    generate-policy=port-strict mode-config=vpn_cfg1 passive=yes \
    remote-certificate=vpn.client01 send-initial-contact=no

/ip firewall filter
add action=accept chain=input comment="Allow establish VPN" disabled=yes \
    in-interface=WAN log=yes log-prefix=ipsec port=500,1701,4500 \
    protocol=udp

add action=accept chain=input disabled=yes in-interface=eth1-WAN log=yes \
    log-prefix=ipsec protocol=ipsec-esp
Возник вопрос о настройке правильной маршрутизации трафика.
Надо сделать так, чтобы в канал заворачивался только трафик, адресованный офисной сети (192.168.60.1-192.168.60.62), например, доступ к рабочим станциям по RDP. При этом весь прочий трафик (Web, почтовый клиент, торренты и пр.) должен ходить напрямую.

В данный момент VPN устанавливается (проверяю на встроенной клиенте в Windows 10, канал устанавливается, адрес из диапазона VPN присваевается), но весь трафик пытается уйти в него.
Маршрутизацию проверяю командой

Код: Выделить всё

tracert -d remote_host_name
В Wiki нашел упоминание о параметре

Код: Выделить всё

split-include=192.168.60.0/26
но он, похоже, не работает.
Отдельно скажу, что в экспорте настроек упомянул только сервисные правила для FW.

Заранее благодарен.
С уважением

Аватара пользователя
Chupaka
Сообщения: 898
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.

Сообщение Chupaka » 14 июн 2018, 13:33

Добрый.

А route print что говорит?

Центр управления сетями и общим доступом - Изменение параметров адаптера - Интерфейс - Свойства - Сеть - IPv4 - Дополнительно - в каком положении галка "Использовать основной шлюз в удалённой сети"?

Аватара пользователя
Sweik
Сообщения: 7
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.

Сообщение Sweik » 14 июн 2018, 15:15

Да, действительно, галка <<Use default gateway on remote network>> включена.
Значит, весь трафик будет уходить туда. Большое спасибо.

Скажите, а есть ли возможность настроить все параметры марштуртизации на стороне Микротика, чтобы они передовались на клиента при подключении?

Спасибо
С уважением

Аватара пользователя
Chupaka
Сообщения: 898
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.

Сообщение Chupaka » 14 июн 2018, 15:56

Нет, так не получится.

Но я когда вопрос задавал - сомневался, потому что создал IKEv2-соединение в Windows 10 - и там эта галка была снята по умолчанию. Версия винды - последняя актуальная :)

Аватара пользователя
Sweik
Сообщения: 7
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.

Сообщение Sweik » 14 июн 2018, 16:13

У меня в качестве подопытного "компьютера" Windows 7 Pro. Там эта галка по умолчанию включена. В продакте будет и Win7, и Win10.
Нет, так не получится.
что же, значит будем тюнинговать VPN-соединение и менять таблицу маршрутизации. Спасибо за помощь. Если позволите, то я продолжу спрашивать :D
Диапазон адресов, выделенный для Remote Access - 192.168.10.1-192.168.10.62
он у меня создан и просто использован в конфиграции IPSEC

Код: Выделить всё

/ip pool
add name=VPN ranges=192.168.10.1-192.168.10.62

/ip ipsec mode-config
add address-pool=VPN address-prefix-length=26 name=vpn_cfg1 \
    split-include=192.168.60.0/26
Вопрос - нужно ли куда-то (на сетевой интефейс) вешать гейт этого диапазона?

Спасибо
С уважением

Аватара пользователя
Chupaka
Сообщения: 898
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.

Сообщение Chupaka » 14 июн 2018, 16:22

Менять таблицу маршрутизации будет mode-config, подозреваю, а адрес из этого диапазона никуда вешать нет необходимости.

Аватара пользователя
Sweik
Сообщения: 7
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.

Сообщение Sweik » 14 июн 2018, 16:25

Менять таблицу маршрутизации будет mode-config
увы, не меняет. Приходится вручную.
а адрес из этого диапазона никуда вешать нет необходимости.
спасибо.
С уважением

Аватара пользователя
Chupaka
Сообщения: 898
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.

Сообщение Chupaka » 14 июн 2018, 16:39

Встретил такое:
It appears that the “split-include” Cisco Unity extensions attribute (which correctly used Phase 2 settings) in only used for IKEv1 and not IKEv2.
А в настройках есть ещё галка про добавление маршрута, основанное на классе - оно не поможет? Тогда при получении, например, адреса 192.168.10.2 винда должна добавлять маршрут через VPN к 192.168.10.0/24.

Аватара пользователя
Sweik
Сообщения: 7
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.

Сообщение Sweik » 14 июн 2018, 16:57

Удалено из-за ненадобности

С уважением
Последний раз редактировалось Sweik 21 июн 2018, 09:54, всего редактировалось 4 раза.
С уважением

Аватара пользователя
Sweik
Сообщения: 7
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.

Сообщение Sweik » 21 июн 2018, 09:50

Ну, по сути, данный вопрос можно считать закрытым.
Настройка маршрутизации возможна только на стороне клиента, испольуем команду route add -p xxxxxx. Также, отключаем Default Gateway.
Все остальное зависит от изощренности правил FW :)

Такой подход для меня страннен, т.к. в конфигурации Miktrotik-a есть и split-include и упоминания о SA, но ничего из этого не работает :(
Пока используем описанное выше решение и ждем новых релизов RouterOS, возможно, что-то исправится :)

Большое спасибо за помощь.
С уважением

Ответить