في هذا الدليل المفصل خطوة بخطوة ، سأخبرك بكيفية إعداد Mikrotik بحيث تفتح المواقع المحظورة تلقائيًا من خلال VPN ويمكنك تجنب الرقص مع الدف: قم بإعداده مرة واحدة وسيعمل كل شيء.
اخترت SoftEther باعتباره VPN الخاص بي: من السهل إعداده مثل وبنفس السرعة. لقد قمت بتمكين Secure NAT على جانب خادم VPN ، ولم يتم إجراء أي إعدادات أخرى.
لقد اعتبرت RRAS كبديل ، لكن Mikrotik لا يعرف كيفية التعامل معه. تم إنشاء الاتصال ، وتعمل VPN ، لكن Mikrotik لا يمكنه الحفاظ على الاتصال دون إعادة الاتصال المستمرة والأخطاء في السجل.
تم إجراء الإعداد على مثال RB3011UiAS-RM على إصدار البرنامج الثابت 6.46.11.
الآن ، بالترتيب ، ماذا ولماذا.
1. قم بإعداد اتصال VPN
كحل VPN ، بالطبع ، تم اختيار SoftEther ، L2TP مع مفتاح مشترك مسبقًا. هذا المستوى من الأمان كافٍ لأي شخص ، لأن جهاز التوجيه ومالكه فقط يعرفان المفتاح.
انتقل إلى قسم الواجهات. أولاً ، نضيف واجهة جديدة ، ثم ندخل عنوان IP وتسجيل الدخول وكلمة المرور والمفتاح المشترك في الواجهة. اضغط موافق.
نفس الأمر:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
سوف يعمل SoftEther دون تغيير مقترحات ipsec وملفات تعريف ipsec ، ونحن لا نأخذ في الاعتبار تكوينها ، لكن المؤلف ترك لقطات شاشة لملفات التعريف الخاصة به ، فقط في حالة.
بالنسبة لـ RRAS في مقترحات IPsec ، ما عليك سوى تغيير مجموعة PFS إلى لا شيء.
أنت الآن بحاجة إلى الوقوف خلف NAT لخادم VPN هذا. للقيام بذلك ، نحتاج إلى الانتقال إلى IP> Firewall> NAT.
هنا نقوم بتمكين masquerade لواجهة PPP محددة ، أو كلها. جهاز التوجيه الخاص بالمؤلف متصل بثلاث شبكات VPN في وقت واحد ، لذلك قمت بهذا:
نفس الأمر:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. أضف قواعد إلى Mangle
أول شيء تريده ، بالطبع ، هو حماية كل ما هو أكثر قيمة وعزلًا ، أي حركة مرور DNS و HTTP. لنبدأ بـ HTTP.
انتقل إلى IP → Firewall → Mangle وأنشئ قاعدة جديدة.
في القاعدة ، اختر السلسلة Prerouting.
إذا كان هناك جهاز Smart SFP أو موجه آخر أمام جهاز التوجيه ، وتريد الاتصال به عبر واجهة الويب ، في Dst. يحتاج العنوان إلى إدخال عنوان IP أو الشبكة الفرعية الخاصة به ووضع علامة سلبية لعدم تطبيق Mangle على العنوان أو تلك الشبكة الفرعية. يمتلك المؤلف SFP GPON ONU في وضع الجسر ، لذلك احتفظ المؤلف بالقدرة على الاتصال بمورد الويب الخاص به.
بشكل افتراضي ، ستطبق Mangle قاعدتها على جميع ولايات NAT ، وهذا سيجعل إعادة توجيه المنفذ على IP الأبيض الخاص بك مستحيلًا ، لذلك في حالة Connection NAT ، تحقق من dstnat وعلامة سلبية. سيسمح لنا ذلك بإرسال حركة مرور صادرة عبر الشبكة من خلال VPN ، ولكن مع الاستمرار في إعادة توجيه المنافذ عبر IP الأبيض الخاص بنا.
بعد ذلك ، في علامة التبويب الإجراء ، حدد توجيه العلامة ، واسم علامة التوجيه الجديدة بحيث يكون واضحًا لنا في المستقبل والمضي قدمًا.
نفس الأمر:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
الآن دعنا ننتقل إلى تأمين DNS. في هذه الحالة ، تحتاج إلى إنشاء قاعدتين. أحدهما لجهاز التوجيه والآخر للأجهزة المتصلة بالموجه.
إذا كنت تستخدم DNS المدمج في جهاز التوجيه ، وهو ما يفعله المؤلف ، فيجب أيضًا حمايته. لذلك ، بالنسبة للقاعدة الأولى ، كما هو مذكور أعلاه ، نختار التوجيه المسبق للسلسلة ، وللقاعدة الثانية ، نحتاج إلى تحديد الإخراج.
الإخراج عبارة عن سلسلة يستخدمها جهاز التوجيه نفسه للطلبات باستخدام وظائفه. كل شيء هنا مشابه لـ HTTP ، بروتوكول UDP ، المنفذ 53.
نفس الأوامر:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. بناء طريق عبر VPN
انتقل إلى IP → Routes وأنشئ طرقًا جديدة.
المسار لتوجيه HTTP عبر VPN. حدد اسم واجهات VPN الخاصة بنا وحدد علامة التوجيه.
في هذه المرحلة ، شعرت بالفعل كيف توقف المشغل لديك .
نفس الأمر:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
ستبدو قواعد حماية DNS كما هي تمامًا ، ما عليك سوى اختيار التسمية المطلوبة:
هنا شعرت كيف توقفت استفسارات DNS الخاصة بك عن الاستماع. نفس الأوامر:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
حسنًا ، في النهاية ، افتح Rutracker. الشبكة الفرعية بأكملها تخصه ، لذلك تم تحديد الشبكة الفرعية.
هذا هو مدى سهولة استعادة الإنترنت. فريق:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
بنفس الطريقة تمامًا كما هو الحال مع متعقب الجذر ، يمكنك توجيه موارد الشركة والمواقع المحجوبة الأخرى.
يأمل المؤلف أن تقدر راحة الوصول إلى متعقب الجذر وبوابة الشركة في نفس الوقت دون خلع سترتك.
المصدر: www.habr.com