En aquesta guia pas a pas, us explicaré com configurar Mikrotik perquè els llocs prohibits s'obrin automàticament a través d'aquesta VPN i pugueu evitar ballar amb panderetes: configureu-lo una vegada i tot funcioni.
Vaig triar SoftEther com a VPN: és tan fàcil de configurar com
Vaig considerar RRAS com una alternativa, però Mikrotik no sap com treballar-hi. La connexió s'estableix, la VPN funciona, però Mikrotik no pot mantenir una connexió sense reconnectar constantment i errors al registre.
La configuració es va fer amb l'exemple de RB3011UiAS-RM a la versió de microprogramari 6.46.11.
Ara, en ordre, què i per què.
1. Configura una connexió VPN
Com a solució VPN, per descomptat, es va triar SoftEther, L2TP amb una clau prèviament compartida. Aquest nivell de seguretat és suficient per a qualsevol, perquè només l'encaminador i el seu propietari coneixen la clau.
Aneu a la secció d'interfícies. En primer lloc, afegim una nova interfície i, a continuació, introduïm ip, login, contrasenya i clau compartida a la interfície. Premeu d'acord.
La mateixa comanda:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther funcionarà sense canviar les propostes ipsec i els perfils ipsec, no tenim en compte la seva configuració, però l'autor va deixar captures de pantalla dels seus perfils, per si de cas.
Per a RRAS a les propostes IPsec, només cal canviar el grup PFS a cap.
Ara heu de mantenir-vos darrere del NAT d'aquest servidor VPN. Per fer-ho, hem d'anar a IP > Firewall > NAT.
Aquí activem la mascarada per a una interfície PPP específica o per a totes. L'encaminador de l'autor està connectat a tres VPN alhora, així que vaig fer això:
La mateixa comanda:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Afegiu regles a Mangle
El primer que voleu, és clar, és protegir tot allò que és més valuós i indefens, és a dir, el trànsit DNS i HTTP. Comencem amb HTTP.
Aneu a IP → Tallafoc → Mangle i creeu una regla nova.
A la regla, Chain tria Prerouting.
Si hi ha un Smart SFP o un altre encaminador davant de l'encaminador, i voleu connectar-hi a través de la interfície web, al Dst. L'adreça ha d'introduir la seva adreça IP o subxarxa i posar un signe negatiu per no aplicar Mangle a l'adreça o a aquesta subxarxa. L'autor té SFP GPON ONU en mode pont, de manera que l'autor va conservar la capacitat de connectar-se al seu webmord.
Per defecte, Mangle aplicarà la seva regla a tots els estats NAT, això farà que el reenviament de ports a la vostra IP blanca sigui impossible, de manera que a l'estat NAT de connexió, comproveu dstnat i un signe negatiu. Això ens permetrà enviar trànsit de sortida a la xarxa a través de la VPN, però encara reenviar ports a través de la nostra IP blanca.
A continuació, a la pestanya Acció, seleccioneu l'encaminament de marca, poseu un nom a Marca de ruta nova perquè ens quedi clar en el futur i continueu.
La mateixa comanda:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Ara passem a la seguretat del DNS. En aquest cas, cal crear dues regles. Un per a l'encaminador, l'altre per als dispositius connectats a l'encaminador.
Si utilitzeu el DNS integrat a l'encaminador, que fa l'autor, també s'ha de protegir. Per tant, per a la primera regla, com l'anterior, seleccionem el preencaminament de la cadena, per a la segona, hem de seleccionar la sortida.
La sortida és una cadena que el mateix encaminador utilitza per a les sol·licituds utilitzant la seva funcionalitat. Tot aquí és similar a HTTP, protocol UDP, port 53.
Les mateixes ordres:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Construir una ruta mitjançant VPN
Aneu a IP → Rutes i creeu rutes noves.
Ruta per a l'encaminament HTTP a través de VPN. Especifiqueu el nom de les nostres interfícies VPN i seleccioneu Marca d'encaminament.
En aquesta etapa, ja heu sentit com s'ha aturat el vostre operador
La mateixa comanda:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Les regles per a la protecció DNS tindran un aspecte exactament igual, només cal que seleccioneu l'etiqueta desitjada:
Aquí vau sentir com les vostres consultes DNS van deixar d'escoltar-se. Les mateixes ordres:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Bé, al final, desbloqueja Rutracker. Tota la subxarxa li pertany, de manera que s'especifica la subxarxa.
Així de fàcil va ser recuperar Internet. Equip:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Exactament de la mateixa manera que amb el rastrejador d'arrel, podeu encaminar recursos corporatius i altres llocs bloquejats.
L'autor espera que aprecieu la comoditat d'accedir al rastrejador d'arrel i al portal corporatiu alhora sense treure's el jersei.
Font: www.habr.com