Возьми офис с собой в командировку. Mikrotik RB951G

Так уж сложилось что сотрудникам одной из организаций приходится часто разъезжать по командировкам. И надо их как то обеспечивать доступной связью. Для этого пришлось придумать очередной костыль который бы работал по возможности везде и не требовал бы шибко больших знаний от сотрудника по его настройке.

И так будем реализовывать такую схему работы.

В офисе имеется контроллер домена с доменом offficeDomen.local так же пара серверов DNS в 5 и 33 подсетках. (как говорится что досталось в наследие), необходимые сервера к которым нужно будет получать доступ находятся в 55 подсетке. У Сотрудников разные потребности кто то просто работает по RDP а кому то необходима телефонная связь. (Значит в 55 сетке у нас сервер терминалов и какая нибудь PBX система.) Так же в офисе настроен L2TP сервер на котором заводится пользователь для возможности его подключения в данном случае mikWEN c с паролем sdfjhgiv34urf так же на L2TP сервере есть ключ **L2TP**. Адреса DNS серверов у нас будут 192.168.5.66 и 192.168.33.67 доступ к ним нужен чтоб доменному ноуту взятому с собой или sip телефону было можно достучатся по имени к родным серверам. И так настройка:
в наличии оказался немного не мало 951G-2HnD что позволит дальше даже немного расширить перечень предоставляемых сервисов командированному сотруднику.

И так что у нас имеется как правило в удаленных точках, правильно худо бедно какой интернет (по шнурку или по wifi(но это тема отдельной статьи) ) и так приехали в гостиницу а там в номере есть пачкорд с интернетом. Почему то чаще такие встречал(хотя в скором будущем все больше думаю будут применять wifi технологии)

Схема сети сотрудника в командировке
Схема сети

Теперь о настройке роутера который с собой привезли.
обновляем по самую свежую прошивку на данный момент это 6.45.3 не забываем так же обновить и Firmware
Незабываем создать нового пользователя назначить ему пароль, зайти под ним и удалить или отключить стандартную запись администратора предварительно назначив ей пароль на всякий случай.
Самое главное это то что устройство будет настраиваться в минимальной конфигурации т.е. использовать его можно только в локальной сети которая уже предоставлена клиенту(гостинице, офису) для подключения непосредственно к глобальной сети провайдера необходимо будет дополнительно настраивать правила фаервола для дополнительной защиты устройства и сети которая будет находится за ним.
Перед настройкой сбрасываем его и не загружаем конфигурацию по умолчанию.
рис1
после этого ждем его перезагрузки и подключаемся по winbox используя определившийся mac адрес, далее накидываем временный адрес на порт по которому подключенный для простоты из той же сетки которую будем делать в дальнейшем.
скажем:
/ip address
add address=192.168.3.2/24 interface=ether5 network=192.168.3.0
и так накинули адрес на 5 порт к которому уже подключаемся вбив руками себе сетевые настройки в ноутбук или ПК в зависимости с чего настройку производим. (вбиваем адрес 192.168.3.4 на ноут)

Подключаемся в 5 порт Mikrotik через winbox можно уже по ip подключатся (если все правильно до этого сделали должно получится) создаем bridge1 и собираем порты в него.
Создаем:
/interface bridge
add admin-mac=ХХ:ХХ:ХХ:ХХ:ХХ:ХХ auto-mac=no name=bridge1
Собираем:
/interface bridge port
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether2

Далее назначаем bridge1 адрес:
/ip address
add address=192.168.3.254/24 interface=bridge1 network=192.168.3.0
add address=192.168.3.253/24 interface=bridge1 network=192.168.3.0
Назначил два адреса на интерфейс так как планирую в дальнейшем использовать два dns сервера из офиса.

Настраиваем получение адреса по DHCP от провайдера на первом порту:
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1

Настраиваем L2TP подключение:
/interface l2tp-client
add allow=mschap1,mschap2 connect-to=***whiteIP*** disabled=no ipsec-secret=**L2TP** name=l2tp-out1 password=sdfjhgiv34urf use-ipsec=yes user=mikWEN

Сразу оно не заработало потребовалась корректировка proposal
/ip ipsec profile
set [ find default=yes ] hash-algorithm=md5
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1,md5 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des,des

После того как соединение L2TP поднялось. Добавим необходимые нам для работы маршруты:
/ip route
add distance=1 dst-address=192.168.55.0/24 gateway=l2tp-out1
add distance=1 dst-address=192.168.5.0/24 gateway=l2tp-out1
add distance=1 dst-address=192.168.33.0/24 gateway=l2tp-out1

Далее создадим в настройках фаервола лист снашими сетями обозначим его к примеру office-lan:
/ip firewall address-list
add address=192.168.5.0/24 list=office-lan
add address=192.168.33.0/24 list=office-lan
add address=192.168.55.0/24 list=office-lan

Маскарадим трафик для офисных сетей и закидываем его в нужный интерфейс

/ip firewall nat
add action=masquerade chain=srcnat comment=mascarade-v-office dst-address-list=office-lan out-interface=l2tp-out1
Остальной маскарадим для работы интернета и прочего.
add action=masquerade chain=srcnat out-interface=ether1

Настраиваем DHCP сервер чтоб было проше работать с подключаемыми устроствами.
Создаем пул адресов которые он будет выдавать
/ip pool
add name=dhcp_pool0 ranges=192.168.3.100-192.168.3.200
Далее созадем запись о самом сервере меняем настройки если это необходимо
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 lease-time=5d10m name=dhcp1
Так же настраиваем параметры которые будет наш сервер выдавать клиентам которые будут подключатся.
/ip dhcp-server network
add address=192.168.3.0/24 dns-server=192.168.3.254,192.168.3.253 gateway=192.168.3.254
/ip dns
set allow-remote-requests=yes

Далие самое интересное, Нужно как то отметить трафик который бдет идти к нам в офис в том числе и DNS запросы.
Для этого в роутере есть необходимый функционал работы с layer7
/ip firewall layer7-protocol
add name=offficeDomen.local regexp=offficeDomen.local
Теперь мы можем приступить к пометке трафика который приходит к нам на адреса указанные как DNS. метим трафик котрый прилетает на порт 53 как по tcp так и по udp протоколу.
/ip firewall mangle
add action=mark-connection chain=prerouting dst-address=192.168.3.254 dst-port=53 layer7-protocol=offficeDomen.local new-connection-mark=offficeDomen.local-fwd passthrough=yes protocol=tcp
add action=mark-connection chain=prerouting dst-address=192.168.3.254 dst-port=53 layer7-protocol=offficeDomen.local new-connection-mark=offficeDomen.local-fwd passthrough=yes protocol=udp
add action=mark-connection chain=prerouting dst-address=192.168.3.253 dst-port=53 layer7-protocol=offficeDomen.local new-connection-mark=offficeDomen.local-fwd2 passthrough=yes protocol=tcp
add action=mark-connection chain=prerouting dst-address=192.168.3.253 dst-port=53 layer7-protocol=offficeDomen.local new-connection-mark=offficeDomen.local-fwd2 passthrough=yes protocol=udp
Для разных адресов указываю разные метки:offficeDomen.local-fwd, offficeDomen.local-fwd2

после во вкладке NAT фаервола казываем то маскарадим и куда.
/ip firewall nat
add action=dst-nat chain=dstnat connection-mark=offficeDomen.local-fwd to-addresses=192.168.5.66
add action=dst-nat chain=dstnat connection-mark=offficeDomen.local-fwd2 to-addresses=192.168.33.67
add action=masquerade chain=srcnat comment=DNS-fwd-office connection-mark=offficeDomen.local-fwd out-interface=l2tp-out1
add action=masquerade chain=srcnat comment=DNS-fwd-office connection-mark=offficeDomen.local-fwd2 out-interface=l2tp-out1

Эти правила надо поставить выше уже имеющихся.

Вот таким не затейливым способом можно приехать в командировку и организовать не большой офис у себя в номере. Что это дает? с одной стороны человеку нечего не надо трогать в настройках. Приехал на место по втыкал шнуры и все работает. Со второй стороны это потенциальная брешь, любой кто похитит роутер сможет подключится к сети (при условии если своевременно не будет сменен пароль или отключен пользователь L2TP соединения в офисе на сервере.

Так же можно дополнительно настроить сам Mikrotik для большей защиты и возможности выступать не посредственно пограничным устройством (т.е. первым от провайдера) — для этого нужно добавить несколько правил в фаерволе. В остальном настройку устройства можно считать законченной.

Вот экспорт конфигурации с настроенного устройства (соответственно логин и пароли с адресами выдуманные) если кто то решит настраивать ставьте пароли по серьезней.

# aug/26/2019 07:26:37 by RouterOS 6.45.3
# software id = PD4S-F0K
#
# model = 951G-2HnD
# serial number = ХХХХХХХХХХХХХХХХХХХХХХХХХХ
# **L2TP** — ключ к L2TP Соединению
# mikWEN — пользователь в l2TP соединении
# sdfjhgiv34urf — пароль пользователя mikWEN для настройки соединения
# ***whiteIP*** — белый IP к которому будем подключатся по l2TP
# Внутренняя сеть : порты в bridge1, настроен DHCP,DNS(так же настроено чтоб офисные машины бились по именам)
# Офисная сеть пускай состоит из трех подсеток: 5,33,55
# offficeDomen.local — имя домена в офисе
# DNS сервера есть в 5 и 33 а машины к которым надо будет стучатся находятся в 55

/interface bridge
add admin-mac=ХХ:ХХ:ХХ:ХХ:ХХ:ХХ auto-mac=no name=bridge1
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface l2tp-client
add allow=mschap1,mschap2 connect-to=***whiteIP*** disabled=no ipsec-secret=**L2TP** name=l2tp-out1 password=sdfjhgiv34urf use-ipsec=yes user=mikWEN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip firewall layer7-protocol
add name=offficeDomen.local regexp=offficeDomen.local
/ip ipsec profile
set [ find default=yes ] hash-algorithm=md5
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1,md5 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des,des
/ip pool
add name=dhcp_pool0 ranges=192.168.3.100-192.168.3.200
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 lease-time=5d10m name=dhcp1
/tool user-manager customer
set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw
/interface bridge port
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether2
/ip address
add address=192.168.3.254/24 interface=bridge1 network=192.168.3.0
add address=192.168.3.253/24 interface=bridge1 network=192.168.3.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.3.0/24 dns-server=192.168.3.254,192.168.3.253 gateway=192.168.3.254
/ip dns
set allow-remote-requests=yes
/ip firewall address-list
add address=192.168.5.0/24 list=office-lan
add address=192.168.33.0/24 list=office-lan
add address=192.168.55.0/24 list=office-lan
/ip firewall mangle
add action=mark-connection chain=prerouting dst-address=192.168.3.254 dst-port=53 layer7-protocol=offficeDomen.local new-connection-mark=offficeDomen.local-fwd passthrough=yes protocol=tcp
add action=mark-connection chain=prerouting dst-address=192.168.3.253 dst-port=53 layer7-protocol=offficeDomen.local new-connection-mark=offficeDomen.local-fwd2 passthrough=yes protocol=tcp
add action=mark-connection chain=prerouting dst-address=192.168.3.253 dst-port=53 layer7-protocol=offficeDomen.local new-connection-mark=offficeDomen.local-fwd2 passthrough=yes protocol=udp
add action=mark-connection chain=prerouting dst-address=192.168.3.254 dst-port=53 layer7-protocol=offficeDomen.local new-connection-mark=offficeDomen.local-fwd passthrough=yes protocol=udp
/ip firewall nat
add action=dst-nat chain=dstnat connection-mark=offficeDomen.local-fwd to-addresses=192.168.5.66
add action=dst-nat chain=dstnat connection-mark=offficeDomen.local-fwd2 to-addresses=192.168.33.67
add action=masquerade chain=srcnat comment=DNS-fwd-office connection-mark=offficeDomen.local-fwd out-interface=l2tp-out1
add action=masquerade chain=srcnat comment=DNS-fwd-office connection-mark=offficeDomen.local-fwd2 out-interface=l2tp-out1
add action=masquerade chain=srcnat comment=mascarade-v-office dst-address-list=office-lan out-interface=l2tp-out1
add action=masquerade chain=srcnat out-interface=ether1
/ip route
add distance=1 dst-address=192.168.55.0/24 gateway=l2tp-out1
add distance=1 dst-address=192.168.5.0/24 gateway=l2tp-out1
add distance=1 dst-address=192.168.33.0/24 gateway=l2tp-out1
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=Mika
/system ntp client
set enabled=yes
/system ntp server
set broadcast=yes enabled=yes
/tool user-manager database
set db-path=user-manager

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
Используя сайт rus-electrica.ru, вы даете согласие на работу с cookie, Яндекс.Метрикой, Google Analytics для сбора технических данных.
Принять