Настройка маршрутизации для Remote Access. IPSec VPN with IKEv2.

Обсуждение оборудования и его настройки
Ответить
Аватара пользователя
Sweik
Сообщения: 9
Зарегистрирован: 04 июл 2017, 20:36
Откуда: оттуда

Добрый день.
Настраиваю удаленный доступ извне к ресурсам офиса. Использую IPSec VPN with IKEv2 и аутентификацию по сертификатам.
Работаю с RB3011UiAS версия 6.41

Экспорт настроек приведен ниже.

Код: Выделить всё

/ip pool
add name=DHCP ranges=192.168.60.1-192.168.60.62
add name=VPN ranges=192.168.10.1-192.168.10.62

/ip ipsec mode-config
add address-pool=VPN address-prefix-length=26 name=vpn_cfg1 \
    split-include=192.168.60.0/26

/ip ipsec proposal
add auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-128-cbc name=\
    ikev2-proposal pfs-group=none

/ip ipsec peer
add address=0.0.0.0/0 auth-method=rsa-signature certificate=vpn.server \
    dh-group=modp1024 enc-algorithm=aes-256,aes-128 exchange-mode=ike2 \
    generate-policy=port-strict mode-config=vpn_cfg1 passive=yes \
    remote-certificate=vpn.client01 send-initial-contact=no

/ip firewall filter
add action=accept chain=input comment="Allow establish VPN" disabled=yes \
    in-interface=WAN log=yes log-prefix=ipsec port=500,1701,4500 \
    protocol=udp

add action=accept chain=input disabled=yes in-interface=eth1-WAN log=yes \
    log-prefix=ipsec protocol=ipsec-esp
Возник вопрос о настройке правильной маршрутизации трафика.
Надо сделать так, чтобы в канал заворачивался только трафик, адресованный офисной сети (192.168.60.1-192.168.60.62), например, доступ к рабочим станциям по RDP. При этом весь прочий трафик (Web, почтовый клиент, торренты и пр.) должен ходить напрямую.

В данный момент VPN устанавливается (проверяю на встроенной клиенте в Windows 10, канал устанавливается, адрес из диапазона VPN присваевается), но весь трафик пытается уйти в него.
Маршрутизацию проверяю командой

Код: Выделить всё

tracert -d remote_host_name
В Wiki нашел упоминание о параметре

Код: Выделить всё

split-include=192.168.60.0/26
но он, похоже, не работает.
Отдельно скажу, что в экспорте настроек упомянул только сервисные правила для FW.

Заранее благодарен.


Заранее и с уважением.
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Sweik писал(а): 14 июн 2018, 10:40 В данный момент VPN устанавливается (проверяю на встроенной клиенте в Windows 10, канал устанавливается, адрес из диапазона VPN присваевается), но весь трафик пытается уйти в него.
Так клиентом к vpn у вас винда, следовательно микротик тут не причем :)
Для винды найдите в настройках vpn что-то типа "использовать шлюз по умолчанию" и уберите, а для маршрутизации в сеть vpn используйте route add.


Александр
Аватара пользователя
Sweik
Сообщения: 9
Зарегистрирован: 04 июл 2017, 20:36
Откуда: оттуда

Добрый день,
спасибо за оперативный ответ
Для винды найдите в настройках vpn что-то типа "использовать шлюз по умолчанию"
к сожалению, не нашел. Прошерстил настройки для Windows 7 / Windows 10, ничего подобного нет :sh_ok:
а для маршрутизации в сеть vpn используйте route add.
а можно ли подробнее? Маршрутизация не является моим коньком. Я просто полагал, что при установке VPN клиент получает от сервера все настройки, в том числе и параметры маршрутизации. По крайней мере, раньше на Checkpoint-ах, описывая VPN-комьюнити, я всегда указывал в SA перечень ресурсов, доступных для удаленного подключения.


Заранее и с уважением.
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

Sweik писал(а): 14 июн 2018, 11:53 а можно ли подробнее?
Поиском религия не позволяет пользоваться ? :hi_hi_hi:

http://blog.umicorp.ru/dobavlenie-marsh ... arshrutyi/

А про Checkpoint, не путайте маршрутизатор и фаервол. Да и на Checkpoint-е скорее всего свой клиент использовался.
Если есть возможность у клиентов настраивать dhcp то можешь еще посмотреть про dhcp option 121. Другого способа передать маршрут клиенту я не знаю.


Александр
Аватара пользователя
Sweik
Сообщения: 9
Зарегистрирован: 04 июл 2017, 20:36
Откуда: оттуда

С религией все в порядке, просто в проблему уперся и никак не могу сдвинуться с мертвой точки. Отсюда и всё вытекающее. Хочу добиться (если это возможно) желаемой конфигурации именно на Микротике.

Большое спасибо.


Заранее и с уважением.
Ответить