MikroTik: virtualní AP se sekundárním SSID a VPN

publikováno 4. 6. 2017 v 21:42

Sepsal jsem pár poznatků, jak jsem na MikroTiku zprovoznil virtuální AP (VirtualAP) se sekundárním SSID (například pro návštěvníky), přičemž veškerý tento provoz běhá přes VPNku. Třeba se to někomu může hodit, i když jde o dost specifickou konfiguraci. :-)

Jedna IP adresa musí stačit všem!?

Nejprve objasním, proč jsem nad podobnou konfigurací vůbec začal přemýšlet. Doma mám běžné připojení k Internetu - jednu statickou veřejnou IPv4 adresu od svého poskytovatele Internetu a celkem rychlou linku, jak to dneska nebývá ničím výjimečným. Před pár dny tu vedle v bytě bydlela krátce jedna slečna, která nevěděla, jak moc dlouho zde bude bydlet, ale věděla jistě, že chce Internet. ;) Zřizovat Internet na dobu neurčitou by se jí příliš nevyplatilo, tak mne požádala, zda bych nemohl nasdílet své internetové připojení. Napřed se mi to jevilo celkem reálně, ale pak jsem začal přemýšlet nad negativama takového rozhodnutí. Jak mohu zaručit, že si slečna nepřipojí zavirované PC, které začně spamovat a má veřejná IP adresa se brzo neobjeví na nějakém blacklistu, případně neutrpí na reputaci? A co když bude vyhrožovat panu prasidentovi? Nebo agentu Babišovi? O podobné aktivity za svým routerem nestojím. Chce to nějaké jiné řešení.

Pro MikroTik hračka

Právě díky dostatečné konektivitě a chytrému routeru MikroTik (doma mám hAP lite) mne napadlo, že bych Internet nakonec sdílet přece jen mohl, ale bude to chtít pořádné zabezpečení a speciální konfiguraci - vlastní SSID (a podsíť) - s tím, že veškerý provoz bude přesměrován přes VPNku k nám do firmy, kde se jiný MikroTik už teď stará o Internet pro naše návštěvníky. Geniální, že? A dotyčná bude prostě jen další kapka v moři, která bude muset dodržovat stejná pravidla jako všichni ostatní návštěvníci ve firmě. Kéž by vše bylo tak snadné, jak se řekne. Zabralo mi to pěkných pár dnů, než se mi podařilo uvést myšlenku v realitu. Nejvíc jsem, čert ví proč, bojoval s routováním a VPN. Nechtělo to šlapat a nechtělo, návody na internetech selhávaly. Když už jsem opravdu vyčerpal všechny možnosti a logika šla směle do háje, rozhodl jsem se sepsat dotaz na ispforum.cz pro radu od zdejších ostřílených síťařů. Během psaní příspěvku jsem ale tento urputný problém nějakým zázrakem vyřešil.

Napřed si v domácím MK vytvoříme bezpečnostní profil a k existujícímu wlan rozhraní (wlan1 v mém případě) virtuální AP:

/interface wireless security-profiles
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys \ 
   name=GUEST_SECRET supplicant-identity="" wpa2-pre-shared-key=tajne+heslo

/interface wireless
add default-forwarding=no disabled=no keepalive-frames=disabled master-interface=wlan1 \ 
   multicast-buffering=disabled name=GUEST_WLAN security-profile=GUEST_SECRET \
   ssid=GUEST wds-cost-range=0 wds-default-cost=0 wps-mode=disabled

Novému rozhraní přiřadíme IP adresu. Pro návštěvníky budeme používat podsíť 192.168.77.0/24:

/ip address
add address=192.168.77.1/24 interface=GUEST_WLAN network=192.168.77.0

Vytvoříme IP POOL pro DHCP a DHCP nastavíme:

/ip pool
add name=GUEST_POOL ranges=192.168.77.100-192.168.77.200

/ip dhcp-server
add address-pool=GUEST_POOL disabled=no interface=GUEST_WLAN lease-time=2h name=GUEST_DHCP

/ip dhcp-server network
add address=192.168.77.0/24 dns-server=192.168.77.1 gateway=192.168.77.1 netmask=24

Pokud má naše nastavení sítě (firewall, maškaráda) poměrně volná pravidla, teoreticky by se s tímto nastavením či s malými obměnami ve firewallu měli návštěvníci dostat do Internetu. Tahle konfigurace však nemá být předmětem tohoto zápisku - my chceme, aby návštěvníci běhali do Internetu přes VPNku v práci, kde v tomto mém konkrétním případě je také MK s poněkud striktním nastavením firewallu.

Teď si v práci v druhém MK vytvoříme naslouchající PPTP server:

/ppp profile
add local-address=192.168.76.1 name=PPTP

/ppp secret
add name=GUEST password=tajne profile=PPTP remote-address=192.168.76.2 \
   routes="192.168.77.0/24 192.168.76.2 1" service=pptp

No a pak (v závislosti na stávajících pravidlech firewallu) můžeme povolit maškarádu, například takto:

/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN src-address=192.168.77.0/24 to-addresses=0.0.0.0

To by bylo nastavení PPTP serveru, teď nastavíme PPTP klienta v domácím MK (MKIP je veřejná IPv4 MK v práci):

/interface pptp-client
add allow=mschap1,mschap2 connect-to=MKIP disabled=no name=PPTP_GUEST password=tajne user=GUEST

Provoz návštěvníků omarkujeme a v routovací tabulce řekneme, že má jít ven přes PPTP spojení:

/ip route rule
add dst-address=0.0.0.0/0 interface=GUEST_WLAN src-address=192.168.77.0/24 table=GUESTTAG

/ip route
add distance=1 gateway=PPTP_GUEST routing-mark=GUESTTAG

Ten předposlední příkaz mi dal pěkně zabrat. Dříve jsem totiž markoval v MANGLE pravidlech a to se mi nejevilo jako funkční. Doteď nevím proč, když ostatním to údajně funguje. Takhle se tedy mé návštěvy dostanou do Internetu. Router v práci má navíc omezování rychlosti i služeb (portů), ale meze fantazii se v případě vlastního nastavení nekladou. Třeba směrovat provoz návštěv na nějaké to VPSko. Jo a mimochodem - ta slečna v úvodu se už odstěhovala...

Tweet

štítky: anonymita bezpečnost Internet mikrotik traffic tunel VirtualAP VPN
5266x přečteno

Copyright © 2015-2024 SOCL.cz, RSS 2.0
Všechna práva vyhrazena, nebo tak nějak.