Yn y canllaw cam wrth gam hwn, byddaf yn dweud wrthych sut i sefydlu Mikrotik fel bod gwefannau gwaharddedig yn agor yn awtomatig trwy'r VPN hwn a gallwch osgoi dawnsio gyda thambwrîn: gosodwch ef unwaith ac mae popeth yn gweithio.
Dewisais SoftEther fel fy VPN: mae mor hawdd ei sefydlu â ac yr un mor gyflym. Fe wnes i alluogi NAT Diogel ar ochr y gweinydd VPN, ni wnaed unrhyw osodiadau eraill.
Ystyriais RRAS fel dewis arall, ond nid yw Mikrotik yn gwybod sut i weithio gydag ef. Mae'r cysylltiad wedi'i sefydlu, mae'r VPN yn gweithio, ond ni all Mikrotik gynnal cysylltiad heb ailgysylltu cyson a gwallau yn y log.
Gwnaethpwyd y gosodiad ar yr enghraifft o RB3011UiAS-RM ar fersiwn firmware 6.46.11.
Nawr, mewn trefn, beth a pham.
1. Sefydlu cysylltiad VPN
Fel datrysiad VPN, wrth gwrs, dewiswyd SoftEther, L2TP gydag allwedd wedi'i rhannu ymlaen llaw. Mae'r lefel hon o ddiogelwch yn ddigon i unrhyw un, oherwydd dim ond y llwybrydd a'i berchennog sy'n gwybod yr allwedd.
Ewch i'r adran rhyngwynebau. Yn gyntaf, rydyn ni'n ychwanegu rhyngwyneb newydd, ac yna rydyn ni'n nodi ip, mewngofnodi, cyfrinair ac allwedd a rennir i'r rhyngwyneb. Pwyswch iawn.
Yr un gorchymyn:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
Bydd SoftEther yn gweithio heb newid cynigion ipsec a phroffiliau ipsec, nid ydym yn ystyried eu ffurfweddiad, ond gadawodd yr awdur sgrinluniau o'i broffiliau, rhag ofn.
Ar gyfer RRAS yng Nghynigion IPsec, dim ond newid y Grŵp PFS i ddim.
Nawr mae angen i chi sefyll y tu ôl i NAT y gweinydd VPN hwn. I wneud hyn, mae angen i ni fynd i IP> Firewall> NAT.
Yma rydym yn galluogi masquerade ar gyfer rhyngwynebau PPP penodol, neu bob un. Mae llwybrydd yr awdur wedi'i gysylltu â thri VPN ar unwaith, felly fe wnes i hyn:
Yr un gorchymyn:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Ychwanegu Rheolau i Mangle
Y peth cyntaf rydych chi ei eisiau, wrth gwrs, yw amddiffyn popeth sydd fwyaf gwerthfawr a diamddiffyn, sef traffig DNS a HTTP. Gadewch i ni ddechrau gyda HTTP.
Ewch i IP → Firewall → Mangl a chreu rheol newydd.
Yn y rheol, Chain dewis Prerouting.
Os oes SFP Smart neu lwybrydd arall o flaen y llwybrydd, a'ch bod am gysylltu ag ef trwy'r rhyngwyneb gwe, yn y Dst. Mae angen i'r cyfeiriad fynd i mewn i'w gyfeiriad IP neu ei is-rwydwaith a rhoi arwydd negyddol i beidio â chymhwyso Mangle i'r cyfeiriad neu i'r is-rwydwaith hwnnw. Mae gan yr awdur SFP GPON ONU yn y modd pont, felly cadwodd yr awdur y gallu i gysylltu â'i webmord.
Yn ddiofyn, bydd Mangle yn cymhwyso ei reol i holl Wladwriaethau NAT, bydd hyn yn gwneud anfon porthladd ymlaen ar eich IP gwyn yn amhosibl, felly yn y Cysylltiad NAT State, gwiriwch dstnat ac arwydd negyddol. Bydd hyn yn caniatáu inni anfon traffig allan dros y rhwydwaith trwy'r VPN, ond yn dal i anfon porthladdoedd ymlaen trwy ein IP gwyn.
Nesaf, ar y tab Gweithredu, dewiswch llwybro marciau, enwi Marc Llwybro Newydd fel ei fod yn glir i ni yn y dyfodol a symud ymlaen.
Yr un gorchymyn:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Nawr, gadewch i ni symud ymlaen i sicrhau DNS. Yn yr achos hwn, mae angen i chi greu dwy reol. Un ar gyfer y llwybrydd, a'r llall ar gyfer dyfeisiau sy'n gysylltiedig â'r llwybrydd.
Os ydych chi'n defnyddio'r DNS sydd wedi'i ymgorffori yn y llwybrydd, y mae'r awdur yn ei wneud, rhaid ei amddiffyn hefyd. Felly, ar gyfer y rheol gyntaf, fel yr uchod, rydym yn dewis rhagflaenu cadwyn, ar gyfer yr ail, mae angen i ni ddewis allbwn.
Mae allbwn yn gadwyn y mae'r llwybrydd ei hun yn ei defnyddio ar gyfer ceisiadau gan ddefnyddio ei ymarferoldeb. Mae popeth yma yn debyg i HTTP, protocol CDU, porthladd 53.
Yr un gorchmynion:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Adeiladu llwybr trwy VPN
Ewch i IP → Llwybrau a chreu llwybrau newydd.
Llwybr ar gyfer llwybro HTTP dros VPN. Nodwch enw ein rhyngwynebau VPN a dewiswch Marc Llwybro.
Ar y cam hwn, rydych chi eisoes wedi teimlo sut mae'ch gweithredwr wedi dod i ben .
Yr un gorchymyn:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Bydd y rheolau ar gyfer amddiffyn DNS yn edrych yn union yr un fath, dewiswch y label a ddymunir:
Yma roeddech chi'n teimlo sut y gwnaeth eich ymholiadau DNS stopio gwrando. Yr un gorchmynion:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Wel, yn y diwedd, datgloi Rutracker. Mae'r isrwyd gyfan yn perthyn iddo, felly mae'r isrwyd wedi'i nodi.
Dyna pa mor hawdd oedd hi i gael y Rhyngrwyd yn ôl. Tîm:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Yn union yr un ffordd â gyda'r traciwr gwraidd, gallwch chi lwybro adnoddau corfforaethol a gwefannau eraill sydd wedi'u blocio.
Mae'r awdur yn gobeithio y byddwch yn gwerthfawrogi hwylustod cyrchu'r traciwr gwraidd a'r porth corfforaethol ar yr un pryd heb dynnu'ch siwmper.
Ffynhonnell: hab.com