V tomto podrobném průvodci vám řeknu, jak nastavit Mikrotik, aby se zakázané stránky automaticky otevíraly přes tuto VPN a vy se vyhnuli tanci s tamburínami: nastavte to jednou a vše funguje.
Jako svou VPN jsem si vybral SoftEther: nastavení je stejně snadné jako a stejně rychle. Povolil jsem Secure NAT na straně serveru VPN, nebyla provedena žádná další nastavení.
Zvažoval jsem RRAS jako alternativu, ale Mikrotik s tím neumí pracovat. Spojení je navázáno, VPN funguje, ale Mikrotik nedokáže udržet spojení bez neustálého znovupřipojování a chyb v logu.
Nastavení bylo provedeno na příkladu RB3011UiAS-RM na firmware verze 6.46.11.
Nyní popořadě co a proč.
1. Nastavte připojení VPN
Jako VPN řešení byl samozřejmě zvolen SoftEther, L2TP s předsdíleným klíčem. Tato úroveň zabezpečení je dostatečná pro každého, protože klíč zná pouze router a jeho vlastník.
Přejděte do sekce rozhraní. Nejprve přidáme nové rozhraní a poté do rozhraní zadáme ip, login, heslo a sdílený klíč. Stiskněte ok.
Stejný příkaz:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther bude fungovat beze změny návrhů ipsec a profilů ipsec, neuvažujeme o jejich konfiguraci, ale autor nechal pro každý případ screenshoty svých profilů.
Pro RRAS v návrzích IPsec stačí změnit skupinu PFS na žádnou.
Nyní musíte stát za NAT tohoto serveru VPN. K tomu musíme jít do IP > Firewall > NAT.
Zde povolíme maskování pro konkrétní nebo všechna rozhraní PPP. Autorův router je připojen ke třem VPN najednou, takže jsem udělal toto:
Stejný příkaz:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Přidejte pravidla do Mangle
První věc, kterou chcete, je samozřejmě chránit vše, co je nejcennější a bezbranné, tedy provoz DNS a HTTP. Začněme s HTTP.
Přejděte na IP → Firewall → Mangle a vytvořte nové pravidlo.
V pravidle vyberte Řetězec Předtrasování.
Pokud je před routerem Smart SFP nebo jiný router a chcete se k němu připojit přes webové rozhraní, v Dst. Adresa musí zadat svou IP adresu nebo podsíť a dát záporné znaménko, aby se Mangle nepoužil na adresu nebo na tuto podsíť. Autor má SFP GPON ONU v režimu mostu, takže si autor zachoval možnost připojit se ke svému webmordu.
Ve výchozím nastavení Mangle použije své pravidlo na všechny stavy NAT, což znemožní přesměrování portů na vaší bílé IP, takže ve stavu Connection NAT zkontrolujte dstnat a záporné znaménko. To nám umožní posílat odchozí provoz přes síť přes VPN, ale stále předávat porty přes naši bílou IP.
Dále na záložce Action vybereme mark routing, pojmenujeme New Routing Mark, aby nám to bylo do budoucna jasné a jede se dál.
Stejný příkaz:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Nyní přejdeme k zabezpečení DNS. V tomto případě musíte vytvořit dvě pravidla. Jeden pro router, druhý pro zařízení připojená k routeru.
Pokud používáte DNS zabudovaný v routeru, což autor dělá, musí být také chráněn. Proto pro první pravidlo, jako výše, vybereme předsměrování řetězce, pro druhé musíme vybrat výstup.
Výstup je řetězec, který router sám používá pro požadavky využívající jeho funkcionalitu. Vše je zde podobné jako HTTP, protokol UDP, port 53.
Stejné příkazy:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Vytvoření trasy přes VPN
Přejděte na IP → Trasy a vytvořte nové trasy.
Cesta pro směrování HTTP přes VPN. Zadejte název našich rozhraní VPN a vyberte značku směrování.
V této fázi jste již cítili, jak se váš operátor zastavil .
Stejný příkaz:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Pravidla pro ochranu DNS budou vypadat úplně stejně, stačí vybrat požadovaný štítek:
Tady jste cítili, jak vaše DNS dotazy přestaly poslouchat. Stejné příkazy:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Nakonec odemkněte Rutracker. Celá podsíť patří jemu, takže je zadána podsíť.
Tak snadné bylo získat internet zpět. Tým:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Úplně stejným způsobem jako u root trackeru můžete směrovat firemní zdroje a další blokované stránky.
Autor doufá, že oceníte pohodlí přístupu k root trackeru a firemnímu portálu zároveň, aniž byste si svlékali svetr.
Zdroj: www.habr.com