I denne trin-for-trin guide vil jeg fortælle dig, hvordan du konfigurerer Mikrotik, så forbudte websteder automatisk åbner gennem denne VPN, og du kan undgå at danse med tamburiner: sæt det op én gang, og alt fungerer.
Jeg valgte SoftEther som min VPN: den er lige så nem at konfigurere som og lige så hurtigt. Jeg aktiverede Secure NAT på VPN-serversiden, ingen andre indstillinger blev foretaget.
Jeg overvejede RRAS som et alternativ, men Mikrotik ved ikke, hvordan man arbejder med det. Forbindelsen er etableret, VPN'en virker, men Mikrotik kan ikke opretholde en forbindelse uden konstante genforbindelser og fejl i loggen.
Indstillingen blev foretaget på eksemplet med RB3011UiAS-RM på firmwareversion 6.46.11.
Nu, i rækkefølge, hvad og hvorfor.
1. Konfigurer en VPN-forbindelse
Som VPN-løsning blev naturligvis SoftEther, L2TP med en foruddelt nøgle valgt. Dette sikkerhedsniveau er nok for enhver, fordi kun routeren og dens ejer kender nøglen.
Gå til sektionen grænseflader. Først tilføjer vi en ny grænseflade, og derefter indtaster vi ip, login, adgangskode og delt nøgle i grænsefladen. Tryk på ok.
Samme kommando:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther vil fungere uden at ændre ipsec-forslag og ipsec-profiler, vi overvejer ikke deres konfiguration, men forfatteren efterlod skærmbilleder af sine profiler, for en sikkerheds skyld.
For RRAS i IPsec-forslag skal du bare ændre PFS-gruppen til ingen.
Nu skal du stå bag denne VPN-servers NAT. For at gøre dette skal vi gå til IP> Firewall> NAT.
Her aktiverer vi maskerade for en specifik eller alle PPP-grænseflader. Forfatterens router er forbundet til tre VPN'er på én gang, så jeg gjorde dette:
Samme kommando:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Tilføj regler til Mangle
Det første du vil, er selvfølgelig at beskytte alt det, der er mest værdifuldt og forsvarsløst, nemlig DNS- og HTTP-trafik. Lad os starte med HTTP.
Gå til IP → Firewall → Mangle og opret en ny regel.
I reglen vælger Chain Prerouting.
Hvis der er en Smart SFP eller en anden router foran routeren, og du vil oprette forbindelse til den via webgrænsefladen, i Dst. Adressen skal indtaste sin IP-adresse eller subnet og sætte et negativt tegn for ikke at anvende Mangle på adressen eller på det subnet. Forfatteren har SFP GPON ONU i bridge-tilstand, så forfatteren beholdt muligheden for at oprette forbindelse til sin webmord.
Som standard vil Mangle anvende sin regel på alle NAT-stater, dette vil gøre portvideresendelse på din hvide IP umulig, så i Connection NAT-tilstanden skal du kontrollere dstnat og et negativt tegn. Dette vil give os mulighed for at sende udgående trafik over netværket gennem VPN, men stadig videresende porte gennem vores hvide IP.
Dernæst skal du på fanen Handling vælge mark routing, navngive New Routing Mark, så det er klart for os i fremtiden og gå videre.
Samme kommando:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Lad os nu gå videre til at sikre DNS. I dette tilfælde skal du oprette to regler. En til routeren, den anden til enheder tilsluttet routeren.
Hvis du bruger DNS indbygget i routeren, hvilket forfatteren gør, skal den også beskyttes. Derfor vælger vi for den første regel, som ovenfor, kædeforruting, for den anden skal vi vælge output.
Output er en kæde, som routeren selv bruger til anmodninger ved hjælp af dens funktionalitet. Alt her ligner HTTP, UDP-protokol, port 53.
De samme kommandoer:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Opbygning af en rute gennem VPN
Gå til IP → Ruter og opret nye ruter.
Rute til HTTP-routing over VPN. Angiv navnet på vores VPN-grænseflader, og vælg Routing Mark.
På dette tidspunkt har du allerede mærket, hvordan din operatør er stoppet .
Samme kommando:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Reglerne for DNS-beskyttelse vil se nøjagtigt ens ud, vælg blot den ønskede etiket:
Her følte du, hvordan dine DNS-forespørgsler holdt op med at lytte. De samme kommandoer:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Nå, i sidste ende, lås Rutracker op. Hele undernettet tilhører ham, så undernettet er specificeret.
Så nemt var det at få internettet tilbage. Hold:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
På nøjagtig samme måde som med root trackeren kan du dirigere virksomhedens ressourcer og andre blokerede websteder.
Forfatteren håber, at du vil sætte pris på bekvemmeligheden ved at få adgang til root trackeren og virksomhedsportalen på samme tid uden at tage din sweater af.
Kilde: www.habr.com