IPSec RSA и Windows 10 доступ ко всем подсетям

Обсуждение ПО и его настройки
Ответить
legenchenko.maksim
Сообщения: 2
Зарегистрирован: 03 апр 2020, 18:02

Доброго времени суток. Есть микротик в одном офисе A. На этом микротике поднято три IPSec соединения точка-точка с трямя филиалами соответсвенно. Между моим офисом А и филиалами все отлично трафик ходит без запинок и гемора. Но вот сейчас карантин и самоизоляция, понадобилось настроить парочке сотрудников удаленный доступ к офису А.
Тоесть нужно чтобы человек с windows 10 не имея белого ip у себя мог подключиться к нашему микротику и иметь доступ ко всем подсетям.
В итоге я натсроил RoadWarrior IPSec IKEv2 RSA по мануалу с wiki mikrotik (https://wiki.mikrotik.com/wiki/Manual:I ... entication). Все один в один как там написанно. Соединение успешно устанавливается и есть связи со всей локальной подсетью микротика (192.168.1.0/24) тоесть локальная сетка офиса А. Связи же до филиалов нет, как я только не пробовал. Пробовал даже выдавать клиентам IPSec адреса из подсети 192.168.1.0/24 (та же сетка что и у офиса) В этом случае связь со всеми тремя филиалами появляется, НО пропадает связь с локальной сетью самого офиса А.
Подскажите куда копать и что может такое быть.
В файрвол рописывал правила разрешаеющие инпут и форвард между подсетями IPSec и офисом А и другими офисами. Не помогает. Может у кого есть каеи догадки или кто-то уже наверняка сталкивался с такой задачей.
ХЕЛП МИ!!! Премного благодарен буд!

На всех офисах белые WAN IP
LAN следующие:
192.168.1.0/24 - Офис А
192.168.0.0/24 - филиал 1
192.168.2.0/24 - филиал 2
192.168.8.0/24 - филиал 3

Подсеть для RoadWarior: 192.168.77.0/24 (в этом случае есть только связь с подсетью 192.168.0.1/24)
Пробовал RoadWarior выдавать из таго же пула что и LAN сеть 192.168.0.1/24 (в этом случае есть связь со всеми подсетями но пропадает связь (ping) с 192.168.0.1 )


easyman
Сообщения: 108
Зарегистрирован: 19 окт 2018, 13:44

Проверьте маршрут на 77.0 у филиалов.


legenchenko.maksim
Сообщения: 2
Зарегистрирован: 03 апр 2020, 18:02

Дело в том что, у меня же настроен IPSec точка-точка между всеми филиалами и офисом. тоесть каждый с каждым соединен по IPSec.
Получается что Офис А подключен по IPSec к каждому филиалу отдельным коннектом IPSec. Первый филиал подключен двумяотдельными коннектами к двум другим филиалам и одник коннектом к офису А. и так же на дургих филиалах.
Получается что я не могу сделать маршрут до 192.168.77.0/24 на филиалах так как у меня нет явного интерфейса через который я могу точно указать что подсеть 77.0/24 находится за шлюзом 192.168.1.0/24

1) Как я понял Split Include вообще не работает с WIndows это так? Что указывай там все подсети, что не указывай результата нет.
2) Возможно такое поведение (что нет доступа к подсетям в тонелях на микротике в Офисе А кроме LAN этого микротика) из-за того что включен passthrough в файрволле?
3) Может можно решить эту задачу с помошью создания кокого нибудь туннеля типа GRE между филиалами с подсетью 77.0/24 клиенты VPN у офиса А будут в тойже подсети?


easyman
Сообщения: 108
Зарегистрирован: 19 окт 2018, 13:44

Windows will always ignore networks received by split-include and request policy with destination 0.0.0.0/0 (TSr). When IPsec-SA is generated, Windows requests DHCP option 249 to which RouterOS will respond with configured split-include networks automatically. Это там же в мануале по которому вы настраивали.
Маршрутов нет на 77.0 вот и доступа нет .
2 варианта поднимайте туннели между филиалами - рисуйте нужные маршруты между сетями и получите что хотите. Иначе нужны дополнительные селекторы/политики на каждом роутере филиала на 77.0, и опять же маршруты.

Вот здесь хорошо описаны особенности имплементации ikev2 в windows, можно заиметь представление безотносительно strongswan. https://wiki.strongswan.org/projects/st ... -10-Mobile


Ответить