hAP AC2 и Cisco AnyConnect

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
faust
Сообщения: 3
Зарегистрирован: 19 май 2020, 23:49

Друзья, привет!
Только начинаю знакомство я РОС, не могу сказать что эксперт в сетях, поэтому нужна ваша помощь.
Имеется корпоративный ноутбук (Win10) на нём настроен VPN - Cisco AnyConnect до нашего евпропейского сервера. При попытке подключиться подключиться в нашу сеть подключение устанавливается, но буквально через минуту происходит реконект. Это может повторяться раза 3-4, после этого VPN нормально начинает работать - сессия не обрывается хоть целый день.
Тестированием понял, что проблема при подключении к домашней сети. Для тестов я использовал другой интернет - раздал корпоративный LTE. К сожалению, установить и подключиться к корпоративной сети с другого девайса (отличного от ноута) невозможно - подключение не по логину паролю, а по сертификатам, которые устанавливаются нам с помощью GPO.
Я предполагаю, что наверно косякнул в настройках микротика (конфиг ниже приложил). Настройку осуществлял по следующему принципу - сначала сбросил роутер в дефолт, восстановил рекомендуемые параметры. На них стал добавлять свою конфигурацию. Все настройки искал по форумам, возможно что-то не правильно сделал (лишнее, не нужное) - если так - сразу не убивайте, расскажите где моя ошибка)
Пытался в Wireshark перехватить подключение VPN и найти причину обрывов - не удалось. Я очень плохо знаю Wireshark, использую его часто только для диагностики проблем в своей работе, так и не научился пока расшифровывать зашифрованный трафик и искать проблемы. Если есть какие-то простые рекомендации по анализу - я готов их выполнить, но думаю что дамп трафика не смогу сюда приложить по соображениям конфиденциальности.
Заранее спасибо!

Код: Выделить всё

# may/20/2020 00:29:29 by RouterOS 6.46.6
# software id = ********
#
# model = RBD52G-5HacD2HnD
# serial number = *********
/interface bridge
add admin-mac=74:4D:28:FB:B9:F7 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
    antenna-gain=0 band=2ghz-onlyn channel-width=20/40mhz-eC country=russia \
    disabled=no distance=indoors frequency=auto frequency-mode=superchannel \
    hw-protection-mode=rts-cts mode=ap-bridge ssid=FAUST tx-power=20 \
    tx-power-mode=all-rates-fixed wireless-protocol=802.11 wmm-support=\
    enabled wps-mode=disabled
set [ find default-name=wlan2 ] adaptive-noise-immunity=ap-and-client-mode \
    antenna-gain=0 band=5ghz-onlyac channel-width=20/40mhz-XX country=russia \
    disabled=no distance=indoors frequency=auto guard-interval=long \
    hw-protection-mode=rts-cts mode=ap-bridge ssid=FAUST_5GHz tx-power=19 \
    tx-power-mode=all-rates-fixed wireless-protocol=802.11 wmm-support=\
    enabled wps-mode=disabled
/interface wireless nstreme
set wlan1 enable-polling=no
set wlan2 enable-polling=no
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \
    group-key-update=1h mode=dynamic-keys supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.100.10-192.168.100.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge lease-time=20h name=\
    defconf
/interface l2tp-client
add add-default-route=yes connect-to=vpn.kvidex.net disabled=no name=kvidex \
    profile=default user=***********
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=all
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=kvidex list=WAN
add interface=ether1 list=WAN
/ip address
add address=192.168.100.1/24 comment=defconf interface=ether2 network=\
    192.168.100.0
add address=10.104.14.35/24 interface=ether1 network=10.104.14.0
/ip dhcp-client
add comment=defconf interface=ether1
add comment=defconf interface=ether1
/ip dhcp-server lease
add address=192.168.100.10 client-id=1:b8:27:eb:6d:b7:91 mac-address=\
    B8:27:EB:6D:B7:91 server=defconf
add address=192.168.100.200 client-id=1:90:94:e4:f6:87:ef mac-address=\
    90:94:E4:F6:87:EF server=defconf
add address=192.168.100.5 client-id=1:e4:11:5b:43:44:f1 mac-address=\
    E4:11:5B:43:44:F1 server=defconf
/ip dhcp-server network
add address=192.168.100.0/24 comment=defconf gateway=192.168.100.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=93.182.32.2,93.182.33.2
/ip dns static
add address=192.168.100.1 comment=defconf name=router.lan
/ip firewall address-list
add address=instagram.com disabled=yes list=BlockedSites
add address=facebook.com disabled=yes list=BlockedSites
add address=vk.com disabled=yes list=BlockedSites
/ip firewall filter
add action=reject chain=forward comment=BlockedSites protocol=tcp \
    reject-with=tcp-reset src-address-list=BlockedSites
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface=ether1
add action=masquerade chain=srcnat out-interface=kvidex
add action=netmap chain=dstnat dst-port=**** in-interface=kvidex protocol=tcp \
    to-addresses=192.168.100.200
add action=netmap chain=dstnat dst-port=*****-***** in-interface=kvidex \
    protocol=tcp to-addresses=192.168.100.200
add action=netmap chain=dstnat dst-port=***** in-interface=kvidex protocol=\
    tcp to-addresses=192.168.100.10
/ip firewall service-port
set sip disabled=yes
/ip route
add distance=10 gateway=10.104.14.1
add distance=1 dst-address=93.182.32.2/32 gateway=10.104.14.1
add distance=1 dst-address=93.182.33.2/32 gateway=10.104.14.1
/ip service
set telnet address=192.168.100.0/24
set ftp disabled=yes
set www address=192.168.100.0/24
set ssh address=192.168.100.0/24
set api disabled=yes
set winbox address=192.168.100.0/24
set api-ssl disabled=yes
/ip smb
set allow-guests=no
/ip upnp interfaces
add interface=bridge type=internal
add interface=kvidex type=external
add interface=ether1 type=external
/system clock
set time-zone-name=Europe/Moscow
/system logging
add topics=debug,wireless
/system ntp client
set enabled=yes primary-ntp=85.21.78.8 secondary-ntp=195.122.241.236
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


Ответить