Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.

[anto$hka]

Добрый день, уважаемые форумчане.

Для меня очень актуальна информация из этой темы.
Я тоже настраиваю Remote Access - доступ для людей в полях для подключения к Офису.
Само подключение L2TP я настроил и проблем с ним нет( использовал вот эту статью https://bozza.ru/art-248.html ).
Галочку "Использовать основной шлюз в удаленной сети" я убрал и моя сеть стала работать хорошо, но вот в офисную локалку-то маршрута нет.
Пока я так и не понял как добавить нужный мне маршрут для доступа к офисной сети, ну то есть сам я вручную маршрут на MS Win могу добавить, но пользователи точно не будут этого делать.
Помогите, пожалуйста, советом как прокинуть нужный мне маршрут на удаленных хостах, которые цепляются к этому VPN.

P.S. Решил вывернуться так сделал пул адресов из той же сети что и локальная сеть и включил proxy-arp на бридже.
И да смог зайти на серваки в офисе.
Всем спасибо и с наступающими праздниками!

[Chupaka]

К сожалению, "та же сеть" ничего не объясняет, ибо нужна конкретика. Вот я месяц назад в одном чатике писал, сохраню и тут для истории:

В общем, подытоживая тему Windows-клиентов PPP и их маршрутов на локальные сети.

- Если раздавать PPTP, L2TP и прочий SSTP - то винда при подключении может добавлять себе маршрут на классовую подсеть. Если remote address (получаемый клиентом) из диапазона 1.0.0.0-126.255.255.255 - добавляется маршрут /8, если 128.1.0.0-191.255.255.255 - /16, если 192.0.0.0-223.255.254.255 - /24. Т.е. можно выбрать сеть нужной ширины, побить её на подсети для локальных юзеров и впн - и спокойно пользоваться без ручного прописывания маршрутов.

- Можно раздавать маршруты через IPSec IKEv2 Mode Config, но Венда умеет его только с сертификатами, в pre-shared key она не умеет, поэтому для реализации надо будет генерить ключики на роутере и устанавливать сертификат на клиента.

Ну и всегда остаётся костыль в виде выдачи клиентам VPN адресов из подсети локалки и использования Proxy-ARP на локалку.

Т.е. маска подсети для добавляемого маршрута выбирается на основании получаемого адреса; у 192.168.1.2 и 10.168.1.2 совершенно разные результаты

[anto$hka]

Уважаемый Chupaka, спасибо за полезную инфу.

Мой вариант это сеть с маской 24. У меня в локалке с серверами сеть 192.168.10.0/24. Поскольку там всего 20 хостов, я нарезал пул на 30 адресов из этой сети, планируемый для remote-юзеров. И да заработало это всё только после включения Proxy-ARP на бридже с этой сетью.

И сейчас еще хочу наковырять костыль какой нибудь, чтобы после поднятия VPN соединения можно было добавить маршрут через него в локалку. Проверить правда не успел CMAK в винде там вроде есть этап когда можно маршрутную инфу вставить.

[Chupaka]

И сейчас еще хочу наковырять костыль какой нибудь, чтобы после поднятия VPN соединения можно было добавить маршрут через него в локалку.

Так я же написал, что он автоматом должен добавляться, если не снимать соответствующую галку в подключении.

Т.е. клиент подключается, получает 192.168.10.123 - и автоматом добавляет маршрут на 192.168.10.0/24 через VPN.

[anto$hka]

Что-то не пойму про какую галку идет речь.
Про галочку, которая в свойствах соединения - Использовать в качестве основного шлюза шлюз в удаленной сети ?
Так даже если ее снять хост все равно получит маршрут в сеть 192.168.10.0/24, только уже через временный шлюз.
Вот как сейчас у меня дома с включенным L2TP на win7:
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.13.1 192.168.13.243 25
95.154.66.127 255.255.255.255 192.168.13.1 192.168.13.243 26
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.10.0 255.255.255.0 192.168.10.80 192.168.10.79 26
192.168.10.79 255.255.255.255 On-link 192.168.10.79 281

А чтобы я сразу из дома смог пойти скажем в сеть 192.168.0.0/16 то есть не только в мой офис но и в локальные сети соседних филиалов, нужно прописать маршрут типа такого:
route add 192.168.0.0 netmask 255.255.0.0 gw 192.168.10.79
При этом 192.168.10.79 это я так понимаю адрес временного туннеля на стороне микротика ?

Правда, дома у меня используется уже сеть 192.168.13.0/24, но это частности.

[Chupaka]

Там вторая галка ещё должна быть рядом с использованием основного шлюза в удалённой сети. Что-то про классовый маршрут.

А про добавление нужного маршрута я написал выше. Т.е. если сеть 192.168.10.0/24 заменить на 172.16.10.0/24 - то при подключении клиент получит, например, адрес 172.16.10.79 - и добавит маршрут к подсети 172.16.0.0/16 (а не /24, как с сетью 192.168). Так что в компьютерных сетях тоже желательно планировать заранее, какие маршруты будут нужны, и выбирать адресацию соответственно. Если вы выбрали 192.168.13.0/24 и сейчас хотите автоматический маршрут /16 - вы ССЗБ, используйте какие-нибудь костыли в виде ручного добавления маршрута

[Sweik]

Добрый день.
Возникла необходимость вернуться к своему же вопросу полугодовой давности. На тот момент был вынужден переключиться на более актуальные темы, а сейчас оно снова выстрелило.

Новую тему не открываю, но многое с того времени понял и осознал

Итак, настраиваю Remote Access IPSec VPN IKEv2
За основу брал вот это:
http://mikrotik.vetriks.ru/wiki/VPN:IPs ... %BB%D1%8F)
https://wiki.mikrotik.com/wiki/Manual:I ... de_configs

Вот экспорт политики.

Код: Выделить всё

# jan/17/2019 16:29:12 by RouterOS 6.43.4
# software id = CWH4-5M0Q
#
# model = RouterBOARD 3011UiAS

/ip ipsec peer profile
add dh-group=modp1024 enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=8h \
    name=phase1_ra_win10
/ip ipsec policy group
add name=remote_access
/ip ipsec proposal
add enc-algorithms=aes-256-cbc name=phase2_ra_win10 pfs-group=none
/ip pool
add name=Adv-RemoteAccess ranges=192.168.20.2-192.168.20.62
/ip ipsec mode-config
add address-pool=Adv-RemoteAccess address-prefix-length=26 name=r_access_cfg

/ip ipsec peer
add address=0.0.0.0/0 auth-method=rsa-signature certificate=vpn.server \
    exchange-mode=ike2 generate-policy=port-strict mode-config=r_access_cfg \
    passive=yes policy-template-group=remote_access profile=phase1_ra_win10 \
    remote-certificate=vpn.client01 send-initial-contact=no

/ip ipsec policy
set 0 comment="Remote Access (Road Warrior)" dst-address=192.168.20.0/26 \
    group=remote_access proposal=phase2_ra_win10 src-address=0.0.0.0/0

В настройках FW создал и расположил максимально высоко следующие правила

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="Allow establish Remote Access" \
    in-interface=eth1-WAN log=yes log-prefix=remote_sys port=500,1701,4500 \
    protocol=udp
add action=accept chain=input comment="Allow establish Remote Access" \
    in-interface=eth1-WAN log=yes log-prefix=remote_sys protocol=ipsec-esp
add action=accept chain=forward log=yes log-prefix=remote_data src-address=\
    192.168.20.0/26 dst-address=192.168.40.0/26

Сам RemoteAccess устанавливается:

IPSEC1.png (26.17 КБ) 1329 просмотров

но не работает

Вопросов будет несколько.
Первый из них.
При установленном соединении есть возможность пинговать только сам рутер. Никакие другие ресурсы, будь то внешние сервера или рабочие станции локальной сети, недоступны.
При этом, если убрать Split Include из Mode Config,

IPSEC2.png (7.84 КБ) 1329 просмотров

то внешние ресурсы становятся доступны (трафик идет через тунель, к этому вопросу я еще вернусь), но рабочие станции локальной сети, по-прежнему, недоступны.
При этом в логах Miktorik-a видно, что трафик проходит (т.е. разрешен). Правило FW, специально, сделано таким обширным.

Скажите, пожалуйста, где у меня ошибка?

Заранее и с уважением

[Chupaka]

> если убрать Split Include из Mode Config
Так он вроде убран и так... Или я не на тот конфиг смотрю?

> трафик идет через тунель, но рабочие станции локальной сети недоступны
А куда трафик идёт? К рабочим станциям или куда-то улетает дальше? А обратно возвращается? Трассировкой, например, проверить.

[Sweik]

Split Include я убавлял и добавлял для проверки, результат такой же. И где-то в недрах Mikrotik Wiki читал, что этот параметр не работает с IKE

[Sweik]

Вернусь к теме позже, сейчас работаю над продактом, а эта тема, так, для души и самообразования

Udpate 1:
Оказалось, что установленный на рабочих станция антивирус Kaspersky EndPoint Security блокирует пинги из неразрешенных (а подсеть remote-access для него неразрешенная) сетей. Сам же закручивал гайки

Udpate 2:
к искомому пришел следующим образом:

- отключена опция “Use Default Remote Gateway”
- отключена параметр Split-Include
- на клиентском ПК добавлен маршрут

Код: Выделить всё

netsh interface ipv4 add route 192.168.40.0/26 Work-cert

где
- 192.168.40.0/26 - моя локальная сеть за рутером
- Work-cert - название VPN-сетевого адаптера на рабочей станции

Команду нужно запускать от имени администратора и при установленном RemoteAccess-e (иначе ОС не видит этого сетевого адаптера).
Посе перезагрузки клиентского ПК маршрут продолжает жить.