U ovom vodiču korak-po-korak reći ću vam kako postaviti Mikrotik tako da se zabranjene stranice automatski otvaraju preko ovog VPN-a i da možete izbjeći ples s tamburama: postavite ga jednom i sve radi.
Odabrao sam SoftEther kao svoj VPN: lako ga je postaviti i isto tako brzo. Omogućio sam Secure NAT na strani VPN servera, nijedna druga podešavanja nisu napravljena.
Razmatrao sam RRAS kao alternativu, ali Mikrotik ne zna kako da radi sa njim. Veza je uspostavljena, VPN radi, ali Mikrotik ne može održavati vezu bez stalnih ponovnih povezivanja i grešaka u dnevniku.
Postavka je napravljena na primjeru RB3011UiAS-RM na verziji firmvera 6.46.11.
Sada, redom, šta i zašto.
1. Postavite VPN vezu
Kao VPN rješenje, naravno, odabran je SoftEther, L2TP sa preshared ključem. Ovaj nivo sigurnosti je dovoljan za svakoga, jer samo ruter i njegov vlasnik znaju ključ.
Idite na odjeljak za interfejse. Prvo dodajemo novi interfejs, a zatim unosimo ip, login, lozinku i zajednički ključ u interfejs. Pritisnite ok.
Ista komanda:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther će raditi bez promjene ipsec prijedloga i ipsec profila, ne uzimamo u obzir njihovu konfiguraciju, ali je autor ostavio screenshotove svojih profila, za svaki slučaj.
Za RRAS u IPsec prijedlozima, samo promijenite PFS grupu u nijednu.
Sada morate stajati iza NAT-a ovog VPN servera. Da bismo to uradili, moramo da odemo na IP > Firewall > NAT.
Ovdje omogućavamo maskiranje za određena ili sva PPP sučelja. Autorski ruter je povezan na tri VPN-a odjednom, pa sam uradio ovo:
Ista komanda:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Dodajte pravila u Mangle
Prva stvar koju želite, naravno, jeste da zaštitite sve što je najvrednije i najbezobranije, a to su DNS i HTTP saobraćaj. Počnimo s HTTP-om.
Idite na IP → Firewall → Mangle i kreirajte novo pravilo.
U pravilu, Lanac bira Preusmjeravanje.
Ako se ispred rutera nalazi Smart SFP ili drugi ruter, a na njega se želite povezati putem web sučelja, u Dst. Adresa mora unijeti svoju IP adresu ili podmrežu i staviti negativan znak da se Mangle ne primjenjuje na adresu ili tu podmrežu. Autor ima SFP GPON ONU u bridge modu, tako da je autor zadržao mogućnost povezivanja na svoj webmord.
Prema zadanim postavkama, Mangle će primijeniti svoje pravilo na sve NAT države, ovo će onemogućiti prosljeđivanje portova na vašem bijelom IP-u, tako da u stanju NAT veze provjerite dstnat i negativan predznak. Ovo će nam omogućiti da šaljemo odlazni promet preko mreže preko VPN-a, ali i dalje prosljeđujemo portove preko naše bijele IP adrese.
Zatim, na kartici Akcija, odaberite označi usmjeravanje, nazovite New Routing Mark kako bi nam ubuduće bilo jasno i nastavite dalje.
Ista komanda:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Sada pređimo na osiguranje DNS-a. U ovom slučaju morate kreirati dva pravila. Jedan za ruter, drugi za uređaje povezane na ruter.
Ako koristite DNS ugrađen u ruter, što autor radi, on također mora biti zaštićen. Stoga, za prvo pravilo, kao gore, biramo lančano preusmjeravanje, za drugo trebamo odabrati izlaz.
Izlaz je lanac koji sam ruter koristi za zahtjeve koristeći njegovu funkcionalnost. Ovdje je sve slično HTTP-u, UDP protokolu, portu 53.
Iste komande:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Izgradnja rute kroz VPN
Idite na IP → Rute i kreirajte nove rute.
Ruta za HTTP rutiranje preko VPN-a. Odredite naziv naših VPN sučelja i odaberite Routing Mark.
U ovoj fazi već ste osjetili kako je vaš operater stao .
Ista komanda:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Pravila za DNS zaštitu će izgledati potpuno isto, samo odaberite željenu oznaku:
Ovdje ste osjetili kako su vaši DNS upiti prestali slušati. Iste komande:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Pa, na kraju, otključajte Rutracker. Cijela podmreža pripada njemu, tako da je podmreža specificirana.
Tako je bilo lako vratiti internet. Tim:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Na potpuno isti način kao i sa root trackerom, možete usmjeriti korporativne resurse i druge blokirane stranice.
Autor se nada da ćete cijeniti pogodnost istovremenog pristupa root trackeru i korporativnom portalu bez skidanja džempera.
izvor: www.habr.com