Niini nga sunod-sunod nga giya, isulti ko kanimo kung giunsa ang pag-set up sa Mikrotik aron ang mga gidili nga mga site awtomatikong maablihan pinaagi niini nga VPN ug malikayan nimo ang pagsayaw gamit ang mga tamburin: i-set up kini kausa ug ang tanan molihok.
Gipili nako ang SoftEther isip usa ka VPN: kini sayon nga i-set up sama sa ug ingon kadali. Sa bahin sa server sa VPN, akong gi-enable ang Secure NAT; walay laing mga setting nga gihimo.
Giisip nako ang RRAS nga usa ka alternatibo, apan ang Mikrotik wala mahibal-an kung giunsa kini pagtrabaho. Ang koneksyon gitukod, ang VPN nagtrabaho, apan ang Mikrotik dili makahimo sa pagpadayon sa koneksyon nga walay kanunay nga reconnections ug mga sayop sa log.
Ang setup gihimo gamit ang panig-ingnan sa RB3011UiAS-RM sa firmware nga bersyon 6.46.11.
Karon, sa han-ay, unsa ug ngano.
1. Paghimo og koneksyon sa VPN
Siyempre, ang SoftEther, L2TP nga adunay pre-shared nga yawe, gipili isip solusyon sa VPN. Kini nga lebel sa seguridad igo na alang sa bisan kinsa, tungod kay ang router ug ang tag-iya lamang ang nahibal-an ang yawe.
Lakaw ngadto sa seksyon sa mga interface. Una, magdugang kami og bag-ong interface, ug dayon isulod ang ip, login, password ug shared key sa interface. I-klik ang ok.
Ang sama nga sugo:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
Ang SoftEther molihok nga wala’y pagbag-o sa mga sugyot sa ipsec ug mga profile sa ipsec, wala namon gikonsiderar ang pag-set up niini, apan gibiyaan sa tagsulat ang mga screenshot sa iyang mga profile, kung mahimo.
Para sa RRAS sa IPsec Proposals, usba lang ang PFS Group sa wala.
Karon kinahanglan ka nga mobarug sa luyo sa NAT niini nga VPN server. Aron mahimo kini kinahanglan namon nga moadto sa IP> Firewall> NAT.
Dinhi among gi-enable ang masquerade para sa usa ka espesipiko o tanan nga mga interface sa PPP. Ang router sa tagsulat konektado sa tulo ka mga VPN sa usa ka higayon, mao nga gibuhat nako kini:
Ang sama nga sugo:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Idugang ang mga lagda sa Mangle
Ang unang butang nga gusto nako, siyempre, mao ang pagpanalipod sa tanan nga labing bililhon ug walay panalipod, nga mao ang DNS ug HTTP nga trapiko. Magsugod ta sa HTTP.
Adto sa IP → Firewall → Mangle ug paghimo og bag-ong lagda.
Sa lagda, Chain, pilia ang Prerouting.
Kung adunay usa ka Smart SFP o laing router sa atubangan sa router, ug gusto nimo nga makonektar niini pinaagi sa web interface, sa Dst field. Ang adres kinahanglan nimo nga isulod ang IP address o subnet niini ug ibutang ang negatibo nga timaan aron dili magamit ang Mangle sa adres o sa kini nga subnet. Ang tagsulat adunay SFP GPON ONU sa bridge mode, mao nga ang tagsulat nagpabilin ang abilidad sa pagkonektar sa iyang web interface.
Sa kasagaran, ang Mangle mag-aplay sa iyang lagda sa tanang NAT States, kini maghimo sa port forwarding sa imong puti nga IP nga imposible, mao nga sa Connection NAT State magbutang kami og checkmark sa dstnat ug negatibo nga ilhanan. Kini magtugot kanamo sa pagpadala sa mga outgoing nga trapiko sa network pinaagi sa VPN, apan sa gihapon ipasa ang mga pantalan pinaagi sa among puti nga IP.
Sunod, sa tab nga Aksyon, pilia ang pag-ruta sa marka, tawga kini nga Bag-ong Marka sa Pag-ruta aron kini klaro kanamo sa umaabot ug magpadayon.
Ang sama nga sugo:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Karon magpadayon kita sa pagpanalipod sa DNS. Sa kini nga kaso, kinahanglan nimo nga maghimo duha ka mga lagda. Ang usa alang sa router, ang usa alang sa mga aparato nga konektado sa router.
Kung gigamit nimo ang DNS nga gitukod sa router, nga gibuhat sa tagsulat, kinahanglan usab kini panalipdan. Busa, alang sa unang lagda, sama sa ibabaw, kita mopili sa kadena prerouting, alang sa ikaduha nga kita kinahanglan nga mopili sa output.
Ang output mao ang sirkito nga gigamit mismo sa router sa paghimo og mga hangyo gamit ang gamit niini. Ang tanan dinhi susama sa HTTP, UDP protocol, port 53.
Ang sama nga mga sugo:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Pagtukod og ruta pinaagi sa VPN
Adto sa IP → Mga Ruta ug paghimo og bag-ong mga ruta.
Ruta para sa pagruta sa HTTP sa VPN. Gipakita namo ang ngalan sa among VPN interface ug pilia ang Routing Mark.
Niini nga yugto, nabati na nimo kung giunsa paghunong ang imong operator .
Ang sama nga sugo:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Ang mga lagda alang sa pagpanalipod sa DNS parehas ra tan-awon, pilia lang ang gusto nga label:
Unya gibati nimo kung giunsa ang imong mga hangyo sa DNS mihunong sa pagpaminaw. Ang sama nga mga sugo:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Aw, sa katapusan, atong i-unblock ang Rutracker. Ang tibuok subnet iyaha, mao nga ang subnet gipiho.
Ingon ana kadali nga mabalik ang imong internet. Team:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Sa eksakto nga paagi sama sa usa ka root tracker, mahimo nimong ruta ang mga kapanguhaan sa korporasyon ug uban pang mga gibabagan nga mga site.
Ang tagsulat naglaum nga imong mapasalamatan ang kasayon sa pag-log in sa root tracker ug sa corporate portal sa samang higayon nga walay pagtangtang sa imong sweater.
Source: www.habr.com