Bu addım-addım təlimatda sizə Mikrotik-i necə quracağınızı söyləyəcəyəm ki, qadağan edilmiş saytlar bu VPN vasitəsilə avtomatik olaraq açılsın və qavallarla rəqs etməyin qarşısını ala biləsiniz: onu bir dəfə qurun və hər şey işləyir.
VPN olaraq SoftEther-i seçdim: onu qurmaq çox asandır və eyni sürətlə. VPN server tərəfində Secure NAT-ı aktiv etdim, başqa parametrlər edilmədi.
Mən RRAS-ı alternativ hesab etdim, amma Mikrotik onunla necə işləməyi bilmir. Bağlantı quruldu, VPN işləyir, lakin Mikrotik daimi yenidən qoşulma və jurnalda səhvlər olmadan əlaqə saxlaya bilmir.
Parametr 3011 mikroproqram versiyasında RB6.46.11UiAS-RM nümunəsində hazırlanmışdır.
İndi sıra ilə, nə və niyə.
1. VPN bağlantısı qurun
VPN həlli olaraq, əlbəttə ki, SoftEther, əvvəlcədən paylaşılmış açarı olan L2TP seçildi. Bu təhlükəsizlik səviyyəsi hər kəs üçün kifayətdir, çünki açarı yalnız marşrutlaşdırıcı və onun sahibi bilir.
İnterfeyslər bölməsinə keçin. Əvvəlcə yeni interfeys əlavə edirik, sonra interfeysə ip, login, parol və paylaşılan açarı daxil edirik. OK düyməsini basın.
Eyni əmr:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther ipsec təkliflərini və ipsec profillərini dəyişdirmədən işləyəcək, biz onların konfiqurasiyasını nəzərə almırıq, lakin müəllif hər ehtimala qarşı öz profillərinin ekran görüntülərini buraxıb.
IPsec Təkliflərində RRAS üçün, sadəcə olaraq PFS Qrupunu heç biri ilə dəyişdirin.
İndi bu VPN serverinin NAT arxasında dayanmalısınız. Bunun üçün IP > Firewall > NAT-a keçməliyik.
Burada biz xüsusi və ya bütün PPP interfeysləri üçün maskaradı işə salırıq. Müəllifin marşrutlaşdırıcısı eyni anda üç VPN-ə qoşulub, buna görə də bunu etdim:
Eyni əmr:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Mangle-ə Qaydalar əlavə edin
İstədiyiniz ilk şey, əlbəttə ki, ən dəyərli və müdafiəsiz olan hər şeyi, yəni DNS və HTTP trafikini qorumaqdır. HTTP ilə başlayaq.
IP → Firewall → Mangle keçidinə keçin və yeni qayda yaradın.
Qaydada, Chain Prerouting seçin.
Routerin qarşısında Smart SFP və ya başqa bir marşrutlaşdırıcı varsa və siz ona veb interfeysi vasitəsilə qoşulmaq istəyirsinizsə, Dst. Ünvan öz IP ünvanını və ya alt şəbəkəsini daxil etməli və Mangle-ı ünvana və ya həmin alt şəbəkəyə tətbiq etməmək üçün mənfi işarə qoymalıdır. Müəllif körpü rejimində SFP GPON ONU-ya malikdir, buna görə də müəllif öz webmorduna qoşulmaq imkanını saxlamışdır.
Varsayılan olaraq, Mangle öz qaydasını bütün NAT Dövlətlərinə tətbiq edəcək, bu, ağ IP-də port yönləndirməsini qeyri-mümkün edəcək, buna görə də Bağlantı NAT Dövlətində dstnat və mənfi işarəni yoxlayın. Bu, bizə VPN vasitəsilə şəbəkə üzərindən gedən trafik göndərməyə imkan verəcək, lakin yenə də ağ IP vasitəsilə portları yönləndirə bilər.
Sonra, Fəaliyyət nişanında, marşrutlaşdırma işarəsini seçin, Yeni Marşrutlama İşarəsi adlandırın ki, gələcəkdə bizə aydın olsun və davam edin.
Eyni əmr:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
İndi DNS-in təhlükəsizliyinə keçək. Bu vəziyyətdə iki qayda yaratmaq lazımdır. Biri marşrutlaşdırıcı üçün, digəri marşrutlaşdırıcıya qoşulmuş cihazlar üçün.
Müəllifin etdiyi marşrutlaşdırıcıda quraşdırılmış DNS-dən istifadə edirsinizsə, o da qorunmalıdır. Buna görə də, birinci qayda üçün, yuxarıda olduğu kimi, zəncirvari marşrutu seçirik, ikincisi üçün çıxışı seçməliyik.
Çıxış, marşrutlaşdırıcının özünün funksionallığından istifadə edərək sorğular üçün istifadə etdiyi bir zəncirdir. Burada hər şey HTTP, UDP protokolu, port 53-ə bənzəyir.
Eyni əmrlər:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. VPN vasitəsilə marşrutun qurulması
IP → Marşrutlara keçin və yeni marşrutlar yaradın.
VPN üzərindən HTTP marşrutlaşdırma marşrutu. VPN interfeyslərimizin adını göstərin və Routing Mark seçin.
Bu mərhələdə operatorunuzun necə dayandığını artıq hiss etmisiniz .
Eyni əmr:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
DNS qorunması qaydaları tam olaraq eyni görünəcək, sadəcə istədiyiniz etiketi seçin:
Burada DNS sorğularınızın necə dinlənilmədiyini hiss etdiniz. Eyni əmrlər:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Nəhayət, Rutracker-in kilidini açın. Bütün alt şəbəkə ona məxsusdur, ona görə də alt şəbəkə müəyyən edilir.
İnterneti geri qaytarmaq belə asan idi. Komanda:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Kök izləyicisi ilə eyni şəkildə siz korporativ resursları və digər bloklanmış saytları istiqamətləndirə bilərsiniz.
Müəllif ümid edir ki, siz sviterinizi çıxarmadan kök izləyiciyə və korporativ portala eyni vaxtda daxil olmağın rahatlığını qiymətləndirəcəksiniz.
Mənbə: www.habr.com