Иногда требуется связь между двумя или более удаленными точками, а также доступ к локальным ресурсам этих удаленных объектов.
В решении данной задачи может помочь туннелирование или по другому VPN! Всего существует достаточно большое количество вариантов туннелей.
В том числе и в роутерах GTX. Для примера: GRE, IP, L2TP, PPTP, PPPoE, OpenVPN и другие.
Мы попробуем организовать туннель на базе трех составляющих - PPTP, EoIP, IPsec. Наш туннель будет защищен шифрованием, т.е. передаваемые данные будут защищены.
Также все наши удаленные объекты будут находится в одной локальной сети: 192.168.88.0/24
ВАЖНО!!!
Роутер, на котором будет располагаться PPTP сервер, обязательно, должен иметь на SIM карте подключенную услугу "статический IP адрес". Публичный, либо корпоративной сети.
1. PPTP сервер
Переходим в меню PPP
На вкладке Interface выбираем настройку PPTP Server
Активируем сервер и указываем протокол авторизации.
Выбираем mschap2 т.к. остальные протоколы уже давно успешно взломаны.
Откроем вкладку Profiles и настроим шифрованное правило по умолчанию.
Изменим локальный IP адрес на 10.10.10.1. Это будет IP адрес PPTP интерфеса на стороне роутера с PPTP сервером.
Переходим на вкладку Secrets и создаем нового пользователя(клиента).
Именно по этим параметрам PPTP клиенты будут соединятся с нашим сервером.
Выбираем наше шифрованное правило, вводим IP адрес, который получит удаленный клиент и остальные параметры.
На вкладке Interface привязываем интерфейс PPTP туннеля для нашего клиента
Вводим данные интерфейса PPTP туннеля
Консольный аналог:
/interface pptp-server server set enabled=yes authentication=mschap2 default-profile=default-encryption
/ppp profile set default-encryption local-address=10.10.10.1
/ppp secret add name=pptp-client1 password=123456 service=pptp profile=default-encryption remote-address=10.10.10.2
/interface pptp-server add name=pptp-tunnel1 user=pptp-client1
Настройка PPTP сервера завершена.
2. EoIP туннель + IPsec шифрование
Теперь необходимо на базе нашего PPTP туннеля создать еще один туннель - EoIP. Вы спросите для чего?
Туннель EoIP можно объединять с локальными интерфейсами в сетевой мост. Тем самым мы избавляемся от организации маршрутов(Routes).
Также мы можем зашифровать передаваемые данные по EoIP туннелю, с помощью IPsec!
Переходим в меню Interfaces
Добавим интерфейс EoIP туннеля
Вводим параметры туннеля:
Важным моментом тут является указание локального и удаленного адресов, а также снятие пункта Allow Fast Path.
Без указания этих параметров правило IPsec не будет создаваться автоматически.
Следите за тем, чтобы Tunnel ID для каждого EoIP туннеля был разным. И запомните его. В клиентских роутерах нужно будет указывать ID нужного туннеля.
Переходим в меню сетевых мостов и добавляем наш туннель в сетевой мост.
Если сетевого моста нет, его необходимо создать!!!
Создание сетевого моста во вкладке Bridge, если его нет!
Добавляем интерфейс EoIP туннеля во вкладке Ports
Консольный аналог:
/interface eoip add name=eoip-tunnel1 mtu=1500 arp=proxy-arp local-address=10.10.10.1 remote-address=10.10.10.2 tunnel-id=101 ipsec-secret="0123456789" allow-fast-path=no
/interface bridge port add interface=eoip-tunnel1 bridge=bridge1
Создание сетевого моста:
/interface bridge add name=bridge1 mtu=1500 arp=enabled
Создание туннеля EoIP с шифрованием IPsec завершено.
В меню IP -> IPsec мы должны увидеть правило созданное динамически:
3. Локальная сеть и блокировка DHCP запросов в туннель.
Т.к. мы будем иметь несколько роутеров, нам необходимо разделить их по одной локальной сети. И в тоже время необходимо обеспечить работу DHCP серверов на каждом роутере.
Иначе удаленный объект (например офис) не сможет работать.
Например если DHCP будет один и удаленный офис останется без интернета, то он останется также и без DHCP сервера. А сделав на каждом объекте свой DHCP сервер, локальные ресурсы будут работать также, как и раньше. Нам будет необходимо только снова запустить интернет. (например пополнить баланс, если закончились средства)
Разделим наши два объекта для работы в одной локальной сети.
Также отметим, что всего в одной локальной сети с маской 255.255.255.0 может быть до 254 IP адресов. Т.е. мы можем создать сеть из 254 объектов(Роутеры, ПК, ноутбуки, принтеры, виртуальные машины, сервера и т.д.)
При такой организации все устройства, на наших удаленных объектах, будут видеть друг друга, как будто они находятся в одном офисе.
При этом необходимо учитывать, что на интернет интерфейсе может присутствовать большой трафик, т.к. в локальной сети будут работать Netbios службы и множество других!!!
3.1. Настройка локальной сети роутера с PPTP сервером(GTX400).
На роутере оставляем обычный локальный IP 192.168.88.1
Настраиваем группу(pool). Переходим в меню IP -> Pool
Выбираем группу нашей локальной сети
Настраиваем диапазон IP адресов (192.168.88.10-192.168.88.19).
IP адреса до 10 оставим для других роутеров, чтобы нам было проще ими управлять в дальнейшем.
В итоге наш роутер будет раздавать всего 9 IP адресов, Вы можете увеличить это количество.
3.2. Фильтрация DHCP запросов
Теперь для того, чтобы DHCP запросы не проходили через EoIP туннель, заблокируем DHCP пакеты.
DHCP работает по протоколу UDP и используем порты 67 и 68. Помимо этого также используется MAC протокол IP(800)
Сделаем блокировку. Переходим в меню сетевого моста Bridge
Откроем вкладку фильтров и создадим новое правило.
Все верно, нам не нужно создавать правила в Межсетевом экране. Мы создаем их непосредственно для нашего сетевого моста.
Настраиваем параметры нашего правила
Открываем вкладку General
Открываем вкладку Action
Так будет выглядеть созданное правило
Консольный аналог:
/ip pool set dhcp-pool1 ranges=192.168.88.10-192.168.88.19
/interface bridge filter add chain=forward mac-protocol=ip ip-protocol=udp dst-port=67-68 action=drop
На этом настройка нашего роутера с PPTP сервером и EoIP+IPsec туннелем завершена.
Сопутствующие статьи:
Как подключиться к роутеру GTX?
Как подавать команды в терминал(консоль) роутера?
Дополнительная информация:
Роутеры TELEOFIS GTX300/400. Краткое руководство по эксплуатации