In sta guida passo-passu, vi dicu cumu si stallanu Mikrotik in modu chì i siti pruibiti aperti automaticamente attraversu questa VPN è pudete evità di ballà cù tamburini: stallate una volta è tuttu funziona.
Aghju sceltu SoftEther cum'è a mo VPN: hè cusì faciule di stallà cum'è è cusì veloce. Aghju attivatu Secure NAT in u latu di u servitore VPN, ùn sò stati fatti altri paràmetri.
Aghju cunsideratu RRAS cum'è una alternativa, ma Mikrotik ùn sapi micca cumu travaglià cun ellu. A cunnessione hè stabilita, a VPN travaglia, ma Mikrotik ùn pò micca mantene una cunnessione senza reconnects constantemente è errori in u log.
U paràmetru hè statu fattu nantu à l'esempiu di RB3011UiAS-RM in a versione di firmware 6.46.11.
Avà, in ordine, chì è perchè.
1. Stallà una cunnessione VPN
Comu suluzione VPN, sicuru, SoftEther, L2TP cù una chjave preshared hè statu sceltu. Stu livellu di sicurità hè abbastanza per qualcunu, perchè solu u router è u so pruprietariu cunnoscenu a chjave.
Andà à a rùbbrica interfacce. Prima, aghjustemu una nova interfaccia, è dopu entremu ip, login, password è chjave sparta in l'interfaccia. Press ok.
U listessu cumandamentu:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther hà da travaglià senza cambià i pruposti ipsec è i prufessi ipsec, ùn avemu micca cunsideratu a so cunfigurazione, ma l'autore hà lasciatu screenshots di i so profili, in casu.
Per RRAS in Proposte IPsec, solu cambià u Gruppu PFS à nimu.
Avà vi tocca à stà daretu à u NAT di stu servore VPN. Per fà questu, avemu bisognu à andà in IP> Firewall> NAT.
Quì attivemu masquerade per una specifica, o tutte, interfacce PPP. U router di l'autore hè cunnessu à trè VPN à una volta, cusì aghju fattu questu:
U listessu cumandamentu:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Add Rules à Mangle
U primu chì vulete, sicuru, hè di prutezzione di tuttu ciò chì hè più preziosu è senza difesa, à dì u trafficu DNS è HTTP. Cuminciamu cù HTTP.
Andà à IP → Firewall → Mangle è crea una nova regula.
In a regula, Chain sceglie Prerouting.
Se ci hè un Smart SFP o un altru router davanti à u router, è vulete cunnette cù l'interfaccia web, in u Dst. L'indirizzu deve entre in u so indirizzu IP o subnet è mette un signu negativu per ùn applicà Mangle à l'indirizzu o à quella subnet. L'autore hà SFP GPON ONU in modu ponte, cusì l'autore hà conservatu a capacità di cunnette à u so webmord.
Per automaticamente, Mangle applicà a so regula à tutti i Stati NAT, questu renderà u portu forwarding in u vostru IP biancu impussibile, cusì in u Statu NAT di Cunnessione, verificate dstnat è un signu negativu. Questu ci permetterà di mandà u trafficu in uscita nantu à a reta per via di a VPN, ma ancu i porti in avanti attraversu a nostra IP bianca.
In seguitu, nantu à a tabulazione Azzione, selezziunà u routing di marca, nome New Routing Mark in modu chì hè chjaru per noi in u futuru è andate avanti.
U listessu cumandamentu:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Avà andemu à assicurà DNS. In questu casu, avete bisognu di creà duie regule. Unu per u router, l'altru per i dispositi cunnessi à u router.
Se utilizate u DNS integratu in u router, chì l'autore faci, deve ancu esse prutettu. Dunque, per a prima regula, cum'è sopra, selezziunà prerouting di a catena, per a seconda, avemu bisognu di selezziunà a pruduzzioni.
L'output hè una catena chì u router stessu usa per e dumande utilizendu a so funziunalità. Tuttu quì hè simile à HTTP, protocolu UDP, portu 53.
I stessi cumandamenti:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Custruì una strada attraversu VPN
Andà à IP → Routes è crea novi rotte.
Percorsu per u routing HTTP nantu à VPN. Specificate u nome di e nostre interfacce VPN è sceglite Routing Mark.
À questu stadiu, avete digià sentitu cumu u vostru operatore hà firmatu .
U listessu cumandamentu:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
E regule per a prutezzione DNS pareranu esattamente listesse, basta selezziunate l'etichetta desiderata:
Quì avete sentitu cumu e vostre dumande DNS anu cessatu di sente. I stessi cumandamenti:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Ebbè, à a fine, sbloccate Rutracker. Tuttu u subnet appartene à ellu, cusì a subnet hè specificatu.
Hè cusì faciule era di ricuperà l'Internet. Squadra:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
In u listessu modu cum'è cù u tracker root, pudete indirizzà risorse corporative è altri siti bluccati.
L'autore spera chì vi apprezzà a cunvenzione di accede à u tracker root è u portale corporativu à u stessu tempu senza toglie u to sweater.
Source: www.habr.com