Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.

[Sweik]

Добрый день.
Настраиваю удаленный доступ извне к ресурсам офиса. Использую IPSec VPN with IKEv2 и аутентификацию по сертификатам.
Работаю с RB3011UiAS версия 6.41

Экспорт настроек приведен ниже.

Код: Выделить всё

/ip pool
add name=DHCP ranges=192.168.60.1-192.168.60.62
add name=VPN ranges=192.168.10.1-192.168.10.62

/ip ipsec mode-config
add address-pool=VPN address-prefix-length=26 name=vpn_cfg1 \
    split-include=192.168.60.0/26

/ip ipsec proposal
add auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-128-cbc name=\
    ikev2-proposal pfs-group=none

/ip ipsec peer
add address=0.0.0.0/0 auth-method=rsa-signature certificate=vpn.server \
    dh-group=modp1024 enc-algorithm=aes-256,aes-128 exchange-mode=ike2 \
    generate-policy=port-strict mode-config=vpn_cfg1 passive=yes \
    remote-certificate=vpn.client01 send-initial-contact=no

/ip firewall filter
add action=accept chain=input comment="Allow establish VPN" disabled=yes \
    in-interface=WAN log=yes log-prefix=ipsec port=500,1701,4500 \
    protocol=udp

add action=accept chain=input disabled=yes in-interface=eth1-WAN log=yes \
    log-prefix=ipsec protocol=ipsec-esp

Возник вопрос о настройке правильной маршрутизации трафика.
Надо сделать так, чтобы в канал заворачивался только трафик, адресованный офисной сети (192.168.60.1-192.168.60.62), например, доступ к рабочим станциям по RDP. При этом весь прочий трафик (Web, почтовый клиент, торренты и пр.) должен ходить напрямую.

В данный момент VPN устанавливается (проверяю на встроенной клиенте в Windows 10, канал устанавливается, адрес из диапазона VPN присваевается), но весь трафик пытается уйти в него.
Маршрутизацию проверяю командой

Код: Выделить всё

tracert -d remote_host_name

В Wiki нашел упоминание о параметре

Код: Выделить всё

split-include=192.168.60.0/26

но он, похоже, не работает.
Отдельно скажу, что в экспорте настроек упомянул только сервисные правила для FW.

Заранее благодарен.

[Chupaka]

Добрый.

А route print что говорит?

Центр управления сетями и общим доступом - Изменение параметров адаптера - Интерфейс - Свойства - Сеть - IPv4 - Дополнительно - в каком положении галка "Использовать основной шлюз в удалённой сети"?

[Sweik]

Да, действительно, галка <<Use default gateway on remote network>> включена.
Значит, весь трафик будет уходить туда. Большое спасибо.

Скажите, а есть ли возможность настроить все параметры марштуртизации на стороне Микротика, чтобы они передовались на клиента при подключении?

Спасибо

[Chupaka]

Нет, так не получится.

Но я когда вопрос задавал - сомневался, потому что создал IKEv2-соединение в Windows 10 - и там эта галка была снята по умолчанию. Версия винды - последняя актуальная

[Sweik]

У меня в качестве подопытного "компьютера" Windows 7 Pro. Там эта галка по умолчанию включена. В продакте будет и Win7, и Win10.

Нет, так не получится.

что же, значит будем тюнинговать VPN-соединение и менять таблицу маршрутизации. Спасибо за помощь. Если позволите, то я продолжу спрашивать
Диапазон адресов, выделенный для Remote Access - 192.168.10.1-192.168.10.62
он у меня создан и просто использован в конфиграции IPSEC

Код: Выделить всё

/ip pool
add name=VPN ranges=192.168.10.1-192.168.10.62

/ip ipsec mode-config
add address-pool=VPN address-prefix-length=26 name=vpn_cfg1 \
    split-include=192.168.60.0/26

Вопрос - нужно ли куда-то (на сетевой интефейс) вешать гейт этого диапазона?

Спасибо

[Chupaka]

Менять таблицу маршрутизации будет mode-config, подозреваю, а адрес из этого диапазона никуда вешать нет необходимости.

[Sweik]

Менять таблицу маршрутизации будет mode-config

увы, не меняет. Приходится вручную.

а адрес из этого диапазона никуда вешать нет необходимости.

спасибо.

[Chupaka]

Встретил такое:

It appears that the “split-include” Cisco Unity extensions attribute (which correctly used Phase 2 settings) in only used for IKEv1 and not IKEv2.

А в настройках есть ещё галка про добавление маршрута, основанное на классе - оно не поможет? Тогда при получении, например, адреса 192.168.10.2 винда должна добавлять маршрут через VPN к 192.168.10.0/24.

[Sweik]

Удалено из-за ненадобности

С уважением

[Sweik]

Ну, по сути, данный вопрос можно считать закрытым.
Настройка маршрутизации возможна только на стороне клиента, испольуем команду route add -p xxxxxx. Также, отключаем Default Gateway.
Все остальное зависит от изощренности правил FW

Такой подход для меня страннен, т.к. в конфигурации Miktrotik-a есть и split-include и упоминания о SA, но ничего из этого не работает
Пока используем описанное выше решение и ждем новых релизов RouterOS, возможно, что-то исправится

Большое спасибо за помощь.

[anto$hka]

Добрый день, уважаемые форумчане.

Для меня очень актуальна информация из этой темы.
Я тоже настраиваю Remote Access - доступ для людей в полях для подключения к Офису.
Само подключение L2TP я настроил и проблем с ним нет( использовал вот эту статью https://bozza.ru/art-248.html ).
Галочку "Использовать основной шлюз в удаленной сети" я убрал и моя сеть стала работать хорошо, но вот в офисную локалку-то маршрута нет.
Пока я так и не понял как добавить нужный мне маршрут для доступа к офисной сети, ну то есть сам я вручную маршрут на MS Win могу добавить, но пользователи точно не будут этого делать.
Помогите, пожалуйста, советом как прокинуть нужный мне маршрут на удаленных хостах, которые цепляются к этому VPN.

P.S. Решил вывернуться так сделал пул адресов из той же сети что и локальная сеть и включил proxy-arp на бридже.
И да смог зайти на серваки в офисе.
Всем спасибо и с наступающими праздниками!

[Chupaka]

К сожалению, "та же сеть" ничего не объясняет, ибо нужна конкретика. Вот я месяц назад в одном чатике писал, сохраню и тут для истории:

В общем, подытоживая тему Windows-клиентов PPP и их маршрутов на локальные сети.

- Если раздавать PPTP, L2TP и прочий SSTP - то винда при подключении может добавлять себе маршрут на классовую подсеть. Если remote address (получаемый клиентом) из диапазона 1.0.0.0-126.255.255.255 - добавляется маршрут /8, если 128.1.0.0-191.255.255.255 - /16, если 192.0.0.0-223.255.254.255 - /24. Т.е. можно выбрать сеть нужной ширины, побить её на подсети для локальных юзеров и впн - и спокойно пользоваться без ручного прописывания маршрутов.

- Можно раздавать маршруты через IPSec IKEv2 Mode Config, но Венда умеет его только с сертификатами, в pre-shared key она не умеет, поэтому для реализации надо будет генерить ключики на роутере и устанавливать сертификат на клиента.

Ну и всегда остаётся костыль в виде выдачи клиентам VPN адресов из подсети локалки и использования Proxy-ARP на локалку.

Т.е. маска подсети для добавляемого маршрута выбирается на основании получаемого адреса; у 192.168.1.2 и 10.168.1.2 совершенно разные результаты

[anto$hka]

Уважаемый Chupaka, спасибо за полезную инфу.

Мой вариант это сеть с маской 24. У меня в локалке с серверами сеть 192.168.10.0/24. Поскольку там всего 20 хостов, я нарезал пул на 30 адресов из этой сети, планируемый для remote-юзеров. И да заработало это всё только после включения Proxy-ARP на бридже с этой сетью.

И сейчас еще хочу наковырять костыль какой нибудь, чтобы после поднятия VPN соединения можно было добавить маршрут через него в локалку. Проверить правда не успел CMAK в винде там вроде есть этап когда можно маршрутную инфу вставить.

[Chupaka]

И сейчас еще хочу наковырять костыль какой нибудь, чтобы после поднятия VPN соединения можно было добавить маршрут через него в локалку.

Так я же написал, что он автоматом должен добавляться, если не снимать соответствующую галку в подключении.

Т.е. клиент подключается, получает 192.168.10.123 - и автоматом добавляет маршрут на 192.168.10.0/24 через VPN.

[anto$hka]

Что-то не пойму про какую галку идет речь.
Про галочку, которая в свойствах соединения - Использовать в качестве основного шлюза шлюз в удаленной сети ?
Так даже если ее снять хост все равно получит маршрут в сеть 192.168.10.0/24, только уже через временный шлюз.
Вот как сейчас у меня дома с включенным L2TP на win7:
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.13.1 192.168.13.243 25
95.154.66.127 255.255.255.255 192.168.13.1 192.168.13.243 26
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.10.0 255.255.255.0 192.168.10.80 192.168.10.79 26
192.168.10.79 255.255.255.255 On-link 192.168.10.79 281

А чтобы я сразу из дома смог пойти скажем в сеть 192.168.0.0/16 то есть не только в мой офис но и в локальные сети соседних филиалов, нужно прописать маршрут типа такого:
route add 192.168.0.0 netmask 255.255.0.0 gw 192.168.10.79
При этом 192.168.10.79 это я так понимаю адрес временного туннеля на стороне микротика ?

Правда, дома у меня используется уже сеть 192.168.13.0/24, но это частности.

[Chupaka]

Там вторая галка ещё должна быть рядом с использованием основного шлюза в удалённой сети. Что-то про классовый маршрут.

А про добавление нужного маршрута я написал выше. Т.е. если сеть 192.168.10.0/24 заменить на 172.16.10.0/24 - то при подключении клиент получит, например, адрес 172.16.10.79 - и добавит маршрут к подсети 172.16.0.0/16 (а не /24, как с сетью 192.168). Так что в компьютерных сетях тоже желательно планировать заранее, какие маршруты будут нужны, и выбирать адресацию соответственно. Если вы выбрали 192.168.13.0/24 и сейчас хотите автоматический маршрут /16 - вы ССЗБ, используйте какие-нибудь костыли в виде ручного добавления маршрута

[Sweik]

Добрый день.
Возникла необходимость вернуться к своему же вопросу полугодовой давности. На тот момент был вынужден переключиться на более актуальные темы, а сейчас оно снова выстрелило.

Новую тему не открываю, но многое с того времени понял и осознал

Итак, настраиваю Remote Access IPSec VPN IKEv2
За основу брал вот это:
http://mikrotik.vetriks.ru/wiki/VPN:IPs ... %BB%D1%8F)
https://wiki.mikrotik.com/wiki/Manual:I ... de_configs

Вот экспорт политики.

Код: Выделить всё

# jan/17/2019 16:29:12 by RouterOS 6.43.4
# software id = CWH4-5M0Q
#
# model = RouterBOARD 3011UiAS

/ip ipsec peer profile
add dh-group=modp1024 enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=8h \
    name=phase1_ra_win10
/ip ipsec policy group
add name=remote_access
/ip ipsec proposal
add enc-algorithms=aes-256-cbc name=phase2_ra_win10 pfs-group=none
/ip pool
add name=Adv-RemoteAccess ranges=192.168.20.2-192.168.20.62
/ip ipsec mode-config
add address-pool=Adv-RemoteAccess address-prefix-length=26 name=r_access_cfg

/ip ipsec peer
add address=0.0.0.0/0 auth-method=rsa-signature certificate=vpn.server \
    exchange-mode=ike2 generate-policy=port-strict mode-config=r_access_cfg \
    passive=yes policy-template-group=remote_access profile=phase1_ra_win10 \
    remote-certificate=vpn.client01 send-initial-contact=no

/ip ipsec policy
set 0 comment="Remote Access (Road Warrior)" dst-address=192.168.20.0/26 \
    group=remote_access proposal=phase2_ra_win10 src-address=0.0.0.0/0

В настройках FW создал и расположил максимально высоко следующие правила

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="Allow establish Remote Access" \
    in-interface=eth1-WAN log=yes log-prefix=remote_sys port=500,1701,4500 \
    protocol=udp
add action=accept chain=input comment="Allow establish Remote Access" \
    in-interface=eth1-WAN log=yes log-prefix=remote_sys protocol=ipsec-esp
add action=accept chain=forward log=yes log-prefix=remote_data src-address=\
    192.168.20.0/26 dst-address=192.168.40.0/26

Сам RemoteAccess устанавливается:

IPSEC1.png

но не работает

Вопросов будет несколько.
Первый из них.
При установленном соединении есть возможность пинговать только сам рутер. Никакие другие ресурсы, будь то внешние сервера или рабочие станции локальной сети, недоступны.
При этом, если убрать Split Include из Mode Config,

IPSEC2.png

то внешние ресурсы становятся доступны (трафик идет через тунель, к этому вопросу я еще вернусь), но рабочие станции локальной сети, по-прежнему, недоступны.
При этом в логах Miktorik-a видно, что трафик проходит (т.е. разрешен). Правило FW, специально, сделано таким обширным.

Скажите, пожалуйста, где у меня ошибка?

Заранее и с уважением

[Chupaka]

> если убрать Split Include из Mode Config
Так он вроде убран и так... Или я не на тот конфиг смотрю?

> трафик идет через тунель, но рабочие станции локальной сети недоступны
А куда трафик идёт? К рабочим станциям или куда-то улетает дальше? А обратно возвращается? Трассировкой, например, проверить.

[Sweik]

Split Include я убавлял и добавлял для проверки, результат такой же. И где-то в недрах Mikrotik Wiki читал, что этот параметр не работает с IKE

[Sweik]

Вернусь к теме позже, сейчас работаю над продактом, а эта тема, так, для души и самообразования

Udpate 1:
Оказалось, что установленный на рабочих станция антивирус Kaspersky EndPoint Security блокирует пинги из неразрешенных (а подсеть remote-access для него неразрешенная) сетей. Сам же закручивал гайки

Udpate 2:
к искомому пришел следующим образом:

- отключена опция “Use Default Remote Gateway”
- отключена параметр Split-Include
- на клиентском ПК добавлен маршрут

Код: Выделить всё

netsh interface ipv4 add route 192.168.40.0/26 Work-cert

где
- 192.168.40.0/26 - моя локальная сеть за рутером
- Work-cert - название VPN-сетевого адаптера на рабочей станции

Команду нужно запускать от имени администратора и при установленном RemoteAccess-e (иначе ОС не видит этого сетевого адаптера).
Посе перезагрузки клиентского ПК маршрут продолжает жить.