In hierdie stap-vir-stap gids sal ek jou vertel hoe om Mikrotik op te stel sodat verbode werwe outomaties deur hierdie VPN oopmaak en jy kan vermy om met tamboeryne te dans: stel dit een keer op en alles werk.
Ek het SoftEther as my VPN gekies: dit is so maklik om op te stel soos
Ek het RRAS as 'n alternatief beskou, maar Mikrotik weet nie hoe om daarmee te werk nie. Die verbinding is tot stand gebring, die VPN werk, maar Mikrotik kan nie 'n verbinding behou sonder konstante herverbindings en foute in die log nie.
Die instelling is gemaak op die voorbeeld van RB3011UiAS-RM op firmware weergawe 6.46.11.
Nou, in volgorde, wat en hoekom.
1. Stel 'n VPN-verbinding op
As 'n VPN-oplossing is natuurlik SoftEther, L2TP met 'n voorafgedeelde sleutel gekies. Hierdie vlak van sekuriteit is genoeg vir enigiemand, want net die router en sy eienaar ken die sleutel.
Gaan na die afdeling koppelvlakke. Eerstens voeg ons 'n nuwe koppelvlak by, en dan voer ons ip, login, wagwoord en gedeelde sleutel in die koppelvlak in. Druk ok.
Dieselfde opdrag:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther sal werk sonder om ipsec-voorstelle en ipsec-profiele te verander, ons neem nie hul konfigurasie in ag nie, maar die skrywer het skermkiekies van sy profiele gelaat, net vir ingeval.
Vir RRAS in IPsec-voorstelle, verander net die PFS-groep na geen.
Nou moet jy agter die NAT van hierdie VPN-bediener staan. Om dit te doen, moet ons na IP > Firewall > NAT gaan.
Hier aktiveer ons maskerade vir 'n spesifieke, of alle, PPP-koppelvlakke. Die skrywer se router is gelyktydig aan drie VPN's gekoppel, so ek het dit gedoen:
Dieselfde opdrag:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Voeg reΓ«ls by Mangle
Die eerste ding wat jy natuurlik wil hΓͺ, is om alles te beskerm wat die waardevolste en weerloos is, naamlik DNS- en HTTP-verkeer. Kom ons begin met HTTP.
Gaan na IP β Firewall β Mangle en skep 'n nuwe reΓ«l.
In die reΓ«l kies Chain Prerouting.
As daar 'n Smart SFP of 'n ander roeteerder voor die roeteerder is, en jy wil daaraan koppel via die webkoppelvlak, in die Dst. Adres moet sy IP-adres of subnet invoer en 'n negatiewe teken plaas om nie Mangle op die adres of op daardie subnet toe te pas nie. Die skrywer het SFP GPON ONU in brugmodus, so die skrywer het die vermoΓ« behou om aan sy webmord te koppel.
By verstek sal Mangle sy reΓ«l op alle NAT-state toepas, dit sal poortaanstuur op jou wit IP onmoontlik maak, so in die Connection NAT State, gaan dstnat en 'n negatiewe teken na. Dit sal ons in staat stel om uitgaande verkeer oor die netwerk deur die VPN te stuur, maar steeds poorte deur ons wit IP aan te stuur.
Volgende, op die Aksie-oortjie, kies merk roetering, noem Nuwe roetemerk sodat dit vir ons duidelik is in die toekoms en gaan aan.
Dieselfde opdrag:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Kom ons gaan nou aan om DNS te beveilig. In hierdie geval moet jy twee reΓ«ls skep. Een vir die roeteerder, die ander vir toestelle wat aan die roeteerder gekoppel is.
As jy die DNS wat in die router ingebou is, gebruik, wat die skrywer doen, moet dit ook beskerm word. Daarom, vir die eerste reΓ«l, soos hierbo, kies ons kettingvoorroetering, vir die tweede moet ons uitset kies.
Uitset is 'n ketting wat die router self gebruik vir versoeke wat sy funksionaliteit gebruik. Alles hier is soortgelyk aan HTTP, UDP-protokol, poort 53.
Dieselfde opdragte:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Bou 'n roete deur VPN
Gaan na IP β Roetes en skep nuwe roetes.
Roete vir HTTP-roetering oor VPN. Spesifiseer die naam van ons VPN-koppelvlakke en kies Routing Mark.
Op hierdie stadium het jy reeds gevoel hoe jou operateur gestop het
Dieselfde opdrag:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Die reΓ«ls vir DNS-beskerming sal presies dieselfde lyk, kies net die gewenste etiket:
Hier het jy gevoel hoe jou DNS-navrae ophou luister het. Dieselfde opdragte:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Wel, op die ou end, ontsluit Rutracker. Die hele subnet behoort aan hom, dus word die subnet gespesifiseer.
Dis hoe maklik dit was om die internet terug te kry. Span:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Op presies dieselfde manier as met die root tracker, kan jy korporatiewe hulpbronne en ander geblokkeerde werwe stuur.
Die skrywer hoop dat jy die gerief sal waardeer om terselfdertyd toegang tot die root tracker en die korporatiewe portaal te kry sonder om jou trui uit te trek.
Bron: will.com