En aquesta guia pas a pas, us explicaré com configurar Mikrotik perquè els llocs prohibits s'obrin automàticament a través d'aquesta VPN i pugueu evitar ballar amb panderetes: configureu-lo una vegada i tot funcioni.
Vaig triar SoftEther com a VPN: és tan fàcil de configurar com i igual de ràpid. Vaig habilitar Secure NAT al costat del servidor VPN, no es va fer cap altra configuració.
Vaig considerar RRAS com una alternativa, però Mikrotik no sap com treballar-hi. La connexió s'estableix, la VPN funciona, però Mikrotik no pot mantenir una connexió sense reconnectar constantment i errors al registre.
La configuració es va fer amb l'exemple de RB3011UiAS-RM a la versió de microprogramari 6.46.11.
Ara, en ordre, què i per què.
1. Configura una connexió VPN
Com a solució VPN, per descomptat, es va triar SoftEther, L2TP amb una clau prèviament compartida. Aquest nivell de seguretat és suficient per a qualsevol, perquè només l'encaminador i el seu propietari coneixen la clau.
Aneu a la secció d'interfícies. En primer lloc, afegim una nova interfície i, a continuació, introduïm ip, login, contrasenya i clau compartida a la interfície. Premeu d'acord.
La mateixa comanda:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther funcionarà sense canviar les propostes ipsec i els perfils ipsec, no tenim en compte la seva configuració, però l'autor va deixar captures de pantalla dels seus perfils, per si de cas.
Per a RRAS a les propostes IPsec, només cal canviar el grup PFS a cap.
Ara heu de mantenir-vos darrere del NAT d'aquest servidor VPN. Per fer-ho, hem d'anar a IP > Firewall > NAT.
Aquí activem la mascarada per a una interfície PPP específica o per a totes. L'encaminador de l'autor està connectat a tres VPN alhora, així que vaig fer això:
La mateixa comanda:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Afegiu regles a Mangle
El primer que voleu, és clar, és protegir tot allò que és més valuós i indefens, és a dir, el trànsit DNS i HTTP. Comencem amb HTTP.
Aneu a IP → Tallafoc → Mangle i creeu una regla nova.
A la regla, Chain tria Prerouting.
Si hi ha un Smart SFP o un altre encaminador davant de l'encaminador, i voleu connectar-hi a través de la interfície web, al Dst. L'adreça ha d'introduir la seva adreça IP o subxarxa i posar un signe negatiu per no aplicar Mangle a l'adreça o a aquesta subxarxa. L'autor té SFP GPON ONU en mode pont, de manera que l'autor va conservar la capacitat de connectar-se al seu webmord.
Per defecte, Mangle aplicarà la seva regla a tots els estats NAT, això farà que el reenviament de ports a la vostra IP blanca sigui impossible, de manera que a l'estat NAT de connexió, comproveu dstnat i un signe negatiu. Això ens permetrà enviar trànsit de sortida a la xarxa a través de la VPN, però encara reenviar ports a través de la nostra IP blanca.
A continuació, a la pestanya Acció, seleccioneu l'encaminament de marca, poseu un nom a Marca de ruta nova perquè ens quedi clar en el futur i continueu.
La mateixa comanda:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Ara passem a la seguretat del DNS. En aquest cas, cal crear dues regles. Un per a l'encaminador, l'altre per als dispositius connectats a l'encaminador.
Si utilitzeu el DNS integrat a l'encaminador, que fa l'autor, també s'ha de protegir. Per tant, per a la primera regla, com l'anterior, seleccionem el preencaminament de la cadena, per a la segona, hem de seleccionar la sortida.
La sortida és una cadena que el mateix encaminador utilitza per a les sol·licituds utilitzant la seva funcionalitat. Tot aquí és similar a HTTP, protocol UDP, port 53.
Les mateixes ordres:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Construir una ruta mitjançant VPN
Aneu a IP → Rutes i creeu rutes noves.
Ruta per a l'encaminament HTTP a través de VPN. Especifiqueu el nom de les nostres interfícies VPN i seleccioneu Marca d'encaminament.
En aquesta etapa, ja heu sentit com s'ha aturat el vostre operador .
La mateixa comanda:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Les regles per a la protecció DNS tindran un aspecte exactament igual, només cal que seleccioneu l'etiqueta desitjada:
Aquí vau sentir com les vostres consultes DNS van deixar d'escoltar-se. Les mateixes ordres:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Bé, al final, desbloqueja Rutracker. Tota la subxarxa li pertany, de manera que s'especifica la subxarxa.
Així de fàcil va ser recuperar Internet. Equip:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Exactament de la mateixa manera que amb el rastrejador d'arrel, podeu encaminar recursos corporatius i altres llocs bloquejats.
L'autor espera que aprecieu la comoditat d'accedir al rastrejador d'arrel i al portal corporatiu alhora sense treure's el jersei.
Font: www.habr.com