В това ръководство стъпка по стъпка ще ви кажа как да настроите Mikrotik, така че забранените сайтове да се отварят автоматично през този VPN и можете да избегнете танците с тамбури: настройте го веднъж и всичко работи.
Избрах SoftEther като моя VPN: настройва се толкова лесно, колкото и също толкова бързо. Активирах Secure NAT от страната на VPN сървъра, не бяха направени други настройки.
Обмислях RRAS като алтернатива, но Mikrotik не знае как да работи с него. Връзката е установена, VPN работи, но Mikrotik не може да поддържа връзка без постоянни реконекти и грешки в лога.
Настройката е направена на примера на RB3011UiAS-RM на версия на фърмуера 6.46.11.
Сега по ред какво и защо.
1. Настройте VPN връзка
Като VPN решение, разбира се, беше избран SoftEther, L2TP с предварително споделен ключ. Това ниво на сигурност е достатъчно за всеки, защото само рутерът и неговият собственик знаят ключа.
Отидете в раздела за интерфейси. Първо добавяме нов интерфейс и след това въвеждаме ip, потребителско име, парола и споделен ключ в интерфейса. Натиснете OK.
Същата команда:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther ще работи без промяна на ipsec предложенията и ipsec профилите, ние не вземаме предвид тяхната конфигурация, но авторът остави екранни снимки на своите профили, за всеки случай.
За RRAS в IPsec предложения, просто променете PFS групата на none.
Сега трябва да застанете зад NAT на този VPN сървър. За да направим това, трябва да отидем на IP > Защитна стена > NAT.
Тук разрешаваме маскарад за конкретен или всички PPP интерфейси. Рутерът на автора е свързан към три VPN наведнъж, така че направих това:
Същата команда:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Добавете правила към Mangle
Първото нещо, което искате, разбира се, е да защитите всичко, което е най-ценно и беззащитно, а именно DNS и HTTP трафик. Да започнем с HTTP.
Отидете на IP → Защитна стена → Mangle и създайте ново правило.
В правилото Chain изберете Prerouting.
Ако има Smart SFP или друг рутер пред рутера и искате да се свържете с него чрез уеб интерфейса, в Dst. Адресът трябва да въведе своя IP адрес или подмрежа и да постави отрицателен знак, за да не прилага Mangle към адреса или към тази подмрежа. Авторът има SFP GPON ONU в мостов режим, така че авторът запази възможността да се свърже с неговия webmord.
По подразбиране Mangle ще приложи правилото си към всички NAT състояния, това ще направи невъзможно препращането на порт на вашия бял IP, така че в Connection NAT State поставете отметка на dstnat и отрицателен знак. Това ще ни позволи да изпращаме изходящ трафик през мрежата през VPN, но все още да препращаме портове през нашия бял IP.
След това в раздела Действие изберете маршрутизиране на маркировка, именувайте Нова маркировка за маршрутизиране, така че да ни е ясно в бъдеще и продължете напред.
Същата команда:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Сега нека да преминем към защитата на DNS. В този случай трябва да създадете две правила. Едната за рутера, другата за устройствата, свързани към рутера.
Ако използвате DNS, вграден в рутера, което прави авторът, той също трябва да бъде защитен. Следователно за първото правило, както по-горе, избираме предварително маршрутизиране на веригата, за второто трябва да изберем изход.
Изходът е верига, която самият рутер използва за заявки, използващи неговата функционалност. Всичко тук е подобно на HTTP, UDP протокол, порт 53.
Същите команди:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Изграждане на маршрут през VPN
Отидете на IP → Маршрути и създайте нови маршрути.
Маршрут за HTTP маршрутизиране през VPN. Посочете името на нашите VPN интерфейси и изберете Routing Mark.
На този етап вече сте усетили как вашият оператор е спрял .
Същата команда:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Правилата за DNS защита ще изглеждат абсолютно същите, просто изберете желания етикет:
Тук усетихте как вашите DNS заявки спряха да слушат. Същите команди:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Е, в крайна сметка отключете Rutracker. Цялата подмрежа принадлежи на него, така че подмрежата е посочена.
Ето колко лесно беше да си върна интернета. екип:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
По абсолютно същия начин, както с root тракера, можете да маршрутизирате корпоративни ресурси и други блокирани сайтове.
Авторът се надява, че ще оцените удобството на достъпа до root тракера и корпоративния портал едновременно, без да сваляте пуловера си.
Източник: www.habr.com