Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.
-
- Сообщения: 6
- Зарегистрирован: 28 дек 2018, 03:09
Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.
Добрый день, уважаемые форумчане.
Для меня очень актуальна информация из этой темы.
Я тоже настраиваю Remote Access - доступ для людей в полях для подключения к Офису.
Само подключение L2TP я настроил и проблем с ним нет( использовал вот эту статью https://bozza.ru/art-248.html ).
Галочку "Использовать основной шлюз в удаленной сети" я убрал и моя сеть стала работать хорошо, но вот в офисную локалку-то маршрута нет.
Пока я так и не понял как добавить нужный мне маршрут для доступа к офисной сети, ну то есть сам я вручную маршрут на MS Win могу добавить, но пользователи точно не будут этого делать.
Помогите, пожалуйста, советом как прокинуть нужный мне маршрут на удаленных хостах, которые цепляются к этому VPN.
P.S. Решил вывернуться так сделал пул адресов из той же сети что и локальная сеть и включил proxy-arp на бридже.
И да смог зайти на серваки в офисе.
Всем спасибо и с наступающими праздниками!
Для меня очень актуальна информация из этой темы.
Я тоже настраиваю Remote Access - доступ для людей в полях для подключения к Офису.
Само подключение L2TP я настроил и проблем с ним нет( использовал вот эту статью https://bozza.ru/art-248.html ).
Галочку "Использовать основной шлюз в удаленной сети" я убрал и моя сеть стала работать хорошо, но вот в офисную локалку-то маршрута нет.
Пока я так и не понял как добавить нужный мне маршрут для доступа к офисной сети, ну то есть сам я вручную маршрут на MS Win могу добавить, но пользователи точно не будут этого делать.
Помогите, пожалуйста, советом как прокинуть нужный мне маршрут на удаленных хостах, которые цепляются к этому VPN.
P.S. Решил вывернуться так сделал пул адресов из той же сети что и локальная сеть и включил proxy-arp на бридже.
И да смог зайти на серваки в офисе.
Всем спасибо и с наступающими праздниками!
-
- Сообщения: 3914
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.
К сожалению, "та же сеть" ничего не объясняет, ибо нужна конкретика. Вот я месяц назад в одном чатике писал, сохраню и тут для истории:
Т.е. маска подсети для добавляемого маршрута выбирается на основании получаемого адреса; у 192.168.1.2 и 10.168.1.2 совершенно разные результатыВ общем, подытоживая тему Windows-клиентов PPP и их маршрутов на локальные сети.
- Если раздавать PPTP, L2TP и прочий SSTP - то винда при подключении может добавлять себе маршрут на классовую подсеть. Если remote address (получаемый клиентом) из диапазона 1.0.0.0-126.255.255.255 - добавляется маршрут /8, если 128.1.0.0-191.255.255.255 - /16, если 192.0.0.0-223.255.254.255 - /24. Т.е. можно выбрать сеть нужной ширины, побить её на подсети для локальных юзеров и впн - и спокойно пользоваться без ручного прописывания маршрутов.
- Можно раздавать маршруты через IPSec IKEv2 Mode Config, но Венда умеет его только с сертификатами, в pre-shared key она не умеет, поэтому для реализации надо будет генерить ключики на роутере и устанавливать сертификат на клиента.
Ну и всегда остаётся костыль в виде выдачи клиентам VPN адресов из подсети локалки и использования Proxy-ARP на локалку.
-
- Сообщения: 6
- Зарегистрирован: 28 дек 2018, 03:09
Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.
Уважаемый Chupaka, спасибо за полезную инфу.
Мой вариант это сеть с маской 24. У меня в локалке с серверами сеть 192.168.10.0/24. Поскольку там всего 20 хостов, я нарезал пул на 30 адресов из этой сети, планируемый для remote-юзеров. И да заработало это всё только после включения Proxy-ARP на бридже с этой сетью.
И сейчас еще хочу наковырять костыль какой нибудь, чтобы после поднятия VPN соединения можно было добавить маршрут через него в локалку. Проверить правда не успел CMAK в винде там вроде есть этап когда можно маршрутную инфу вставить.
Мой вариант это сеть с маской 24. У меня в локалке с серверами сеть 192.168.10.0/24. Поскольку там всего 20 хостов, я нарезал пул на 30 адресов из этой сети, планируемый для remote-юзеров. И да заработало это всё только после включения Proxy-ARP на бридже с этой сетью.
И сейчас еще хочу наковырять костыль какой нибудь, чтобы после поднятия VPN соединения можно было добавить маршрут через него в локалку. Проверить правда не успел CMAK в винде там вроде есть этап когда можно маршрутную инфу вставить.
-
- Сообщения: 3914
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.
Так я же написал, что он автоматом должен добавляться, если не снимать соответствующую галку в подключении.
Т.е. клиент подключается, получает 192.168.10.123 - и автоматом добавляет маршрут на 192.168.10.0/24 через VPN.
-
- Сообщения: 6
- Зарегистрирован: 28 дек 2018, 03:09
Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.
Что-то не пойму про какую галку идет речь.
Про галочку, которая в свойствах соединения - Использовать в качестве основного шлюза шлюз в удаленной сети ?
Так даже если ее снять хост все равно получит маршрут в сеть 192.168.10.0/24, только уже через временный шлюз.
Вот как сейчас у меня дома с включенным L2TP на win7:
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.13.1 192.168.13.243 25
95.154.66.127 255.255.255.255 192.168.13.1 192.168.13.243 26
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.10.0 255.255.255.0 192.168.10.80 192.168.10.79 26
192.168.10.79 255.255.255.255 On-link 192.168.10.79 281
А чтобы я сразу из дома смог пойти скажем в сеть 192.168.0.0/16 то есть не только в мой офис но и в локальные сети соседних филиалов, нужно прописать маршрут типа такого:
route add 192.168.0.0 netmask 255.255.0.0 gw 192.168.10.79
При этом 192.168.10.79 это я так понимаю адрес временного туннеля на стороне микротика ?
Правда, дома у меня используется уже сеть 192.168.13.0/24, но это частности.
Про галочку, которая в свойствах соединения - Использовать в качестве основного шлюза шлюз в удаленной сети ?
Так даже если ее снять хост все равно получит маршрут в сеть 192.168.10.0/24, только уже через временный шлюз.
Вот как сейчас у меня дома с включенным L2TP на win7:
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.13.1 192.168.13.243 25
95.154.66.127 255.255.255.255 192.168.13.1 192.168.13.243 26
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.10.0 255.255.255.0 192.168.10.80 192.168.10.79 26
192.168.10.79 255.255.255.255 On-link 192.168.10.79 281
А чтобы я сразу из дома смог пойти скажем в сеть 192.168.0.0/16 то есть не только в мой офис но и в локальные сети соседних филиалов, нужно прописать маршрут типа такого:
route add 192.168.0.0 netmask 255.255.0.0 gw 192.168.10.79
При этом 192.168.10.79 это я так понимаю адрес временного туннеля на стороне микротика ?
Правда, дома у меня используется уже сеть 192.168.13.0/24, но это частности.
-
- Сообщения: 3914
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.
Там вторая галка ещё должна быть рядом с использованием основного шлюза в удалённой сети. Что-то про классовый маршрут.
А про добавление нужного маршрута я написал выше. Т.е. если сеть 192.168.10.0/24 заменить на 172.16.10.0/24 - то при подключении клиент получит, например, адрес 172.16.10.79 - и добавит маршрут к подсети 172.16.0.0/16 (а не /24, как с сетью 192.168). Так что в компьютерных сетях тоже желательно планировать заранее, какие маршруты будут нужны, и выбирать адресацию соответственно. Если вы выбрали 192.168.13.0/24 и сейчас хотите автоматический маршрут /16 - вы ССЗБ, используйте какие-нибудь костыли в виде ручного добавления маршрута
А про добавление нужного маршрута я написал выше. Т.е. если сеть 192.168.10.0/24 заменить на 172.16.10.0/24 - то при подключении клиент получит, например, адрес 172.16.10.79 - и добавит маршрут к подсети 172.16.0.0/16 (а не /24, как с сетью 192.168). Так что в компьютерных сетях тоже желательно планировать заранее, какие маршруты будут нужны, и выбирать адресацию соответственно. Если вы выбрали 192.168.13.0/24 и сейчас хотите автоматический маршрут /16 - вы ССЗБ, используйте какие-нибудь костыли в виде ручного добавления маршрута
-
- Сообщения: 77
- Зарегистрирован: 14 июн 2018, 11:05
- Откуда: Оттуда
Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.
Добрый день.
Возникла необходимость вернуться к своему же вопросу полугодовой давности. На тот момент был вынужден переключиться на более актуальные темы, а сейчас оно снова выстрелило.
Новую тему не открываю, но многое с того времени понял и осознал
Итак, настраиваю Remote Access IPSec VPN IKEv2
За основу брал вот это:
http://mikrotik.vetriks.ru/wiki/VPN:IPs ... %BB%D1%8F)
https://wiki.mikrotik.com/wiki/Manual:I ... de_configs
Вот экспорт политики.
В настройках FW создал и расположил максимально высоко следующие правила
Сам RemoteAccess устанавливается:
но не работает
Вопросов будет несколько.
Первый из них.
При установленном соединении есть возможность пинговать только сам рутер. Никакие другие ресурсы, будь то внешние сервера или рабочие станции локальной сети, недоступны.
При этом, если убрать Split Include из Mode Config, то внешние ресурсы становятся доступны (трафик идет через тунель, к этому вопросу я еще вернусь), но рабочие станции локальной сети, по-прежнему, недоступны.
При этом в логах Miktorik-a видно, что трафик проходит (т.е. разрешен). Правило FW, специально, сделано таким обширным.
Скажите, пожалуйста, где у меня ошибка?
Заранее и с уважением
Возникла необходимость вернуться к своему же вопросу полугодовой давности. На тот момент был вынужден переключиться на более актуальные темы, а сейчас оно снова выстрелило.
Новую тему не открываю, но многое с того времени понял и осознал
Итак, настраиваю Remote Access IPSec VPN IKEv2
За основу брал вот это:
http://mikrotik.vetriks.ru/wiki/VPN:IPs ... %BB%D1%8F)
https://wiki.mikrotik.com/wiki/Manual:I ... de_configs
Вот экспорт политики.
Код: Выделить всё
# jan/17/2019 16:29:12 by RouterOS 6.43.4
# software id = CWH4-5M0Q
#
# model = RouterBOARD 3011UiAS
/ip ipsec peer profile
add dh-group=modp1024 enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=8h \
name=phase1_ra_win10
/ip ipsec policy group
add name=remote_access
/ip ipsec proposal
add enc-algorithms=aes-256-cbc name=phase2_ra_win10 pfs-group=none
/ip pool
add name=Adv-RemoteAccess ranges=192.168.20.2-192.168.20.62
/ip ipsec mode-config
add address-pool=Adv-RemoteAccess address-prefix-length=26 name=r_access_cfg
/ip ipsec peer
add address=0.0.0.0/0 auth-method=rsa-signature certificate=vpn.server \
exchange-mode=ike2 generate-policy=port-strict mode-config=r_access_cfg \
passive=yes policy-template-group=remote_access profile=phase1_ra_win10 \
remote-certificate=vpn.client01 send-initial-contact=no
/ip ipsec policy
set 0 comment="Remote Access (Road Warrior)" dst-address=192.168.20.0/26 \
group=remote_access proposal=phase2_ra_win10 src-address=0.0.0.0/0
Код: Выделить всё
/ip firewall filter
add action=accept chain=input comment="Allow establish Remote Access" \
in-interface=eth1-WAN log=yes log-prefix=remote_sys port=500,1701,4500 \
protocol=udp
add action=accept chain=input comment="Allow establish Remote Access" \
in-interface=eth1-WAN log=yes log-prefix=remote_sys protocol=ipsec-esp
add action=accept chain=forward log=yes log-prefix=remote_data src-address=\
192.168.20.0/26 dst-address=192.168.40.0/26
Вопросов будет несколько.
Первый из них.
При установленном соединении есть возможность пинговать только сам рутер. Никакие другие ресурсы, будь то внешние сервера или рабочие станции локальной сети, недоступны.
При этом, если убрать Split Include из Mode Config, то внешние ресурсы становятся доступны (трафик идет через тунель, к этому вопросу я еще вернусь), но рабочие станции локальной сети, по-прежнему, недоступны.
При этом в логах Miktorik-a видно, что трафик проходит (т.е. разрешен). Правило FW, специально, сделано таким обширным.
Скажите, пожалуйста, где у меня ошибка?
Заранее и с уважением
У вас нет необходимых прав для просмотра вложений в этом сообщении.
С уважением
-
- Сообщения: 3914
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.
> если убрать Split Include из Mode Config
Так он вроде убран и так... Или я не на тот конфиг смотрю?
> трафик идет через тунель, но рабочие станции локальной сети недоступны
А куда трафик идёт? К рабочим станциям или куда-то улетает дальше? А обратно возвращается? Трассировкой, например, проверить.
Так он вроде убран и так... Или я не на тот конфиг смотрю?
> трафик идет через тунель, но рабочие станции локальной сети недоступны
А куда трафик идёт? К рабочим станциям или куда-то улетает дальше? А обратно возвращается? Трассировкой, например, проверить.
-
- Сообщения: 77
- Зарегистрирован: 14 июн 2018, 11:05
- Откуда: Оттуда
Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.
Split Include я убавлял и добавлял для проверки, результат такой же. И где-то в недрах Mikrotik Wiki читал, что этот параметр не работает с IKE
С уважением
-
- Сообщения: 77
- Зарегистрирован: 14 июн 2018, 11:05
- Откуда: Оттуда
Re: Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.
Вернусь к теме позже, сейчас работаю над продактом, а эта тема, так, для души и самообразования
Udpate 1:
Оказалось, что установленный на рабочих станция антивирус Kaspersky EndPoint Security блокирует пинги из неразрешенных (а подсеть remote-access для него неразрешенная) сетей. Сам же закручивал гайки
Udpate 2:
к искомому пришел следующим образом:
- отключена опция “Use Default Remote Gateway”
- отключена параметр Split-Include
- на клиентском ПК добавлен маршрут
где
- 192.168.40.0/26 - моя локальная сеть за рутером
- Work-cert - название VPN-сетевого адаптера на рабочей станции
Команду нужно запускать от имени администратора и при установленном RemoteAccess-e (иначе ОС не видит этого сетевого адаптера).
Посе перезагрузки клиентского ПК маршрут продолжает жить.
Udpate 1:
Оказалось, что установленный на рабочих станция антивирус Kaspersky EndPoint Security блокирует пинги из неразрешенных (а подсеть remote-access для него неразрешенная) сетей. Сам же закручивал гайки
Udpate 2:
к искомому пришел следующим образом:
- отключена опция “Use Default Remote Gateway”
- отключена параметр Split-Include
- на клиентском ПК добавлен маршрут
Код: Выделить всё
netsh interface ipv4 add route 192.168.40.0/26 Work-cert
- 192.168.40.0/26 - моя локальная сеть за рутером
- Work-cert - название VPN-сетевого адаптера на рабочей станции
Команду нужно запускать от имени администратора и при установленном RemoteAccess-e (иначе ОС не видит этого сетевого адаптера).
Посе перезагрузки клиентского ПК маршрут продолжает жить.
С уважением