In dieser Schritt-für-Schritt-Anleitung erkläre ich Ihnen, wie Sie Mikrotik so einrichten, dass verbotene Seiten automatisch über dieses VPN geöffnet werden und Sie das Tanzen mit Tamburinen vermeiden können: Einmal einrichten und alles funktioniert.
Ich habe SoftEther als mein VPN gewählt: Es ist genauso einfach einzurichten wie und genauso schnell. Ich habe Secure NAT auf der VPN-Serverseite aktiviert, weitere Einstellungen wurden nicht vorgenommen.
Ich habe RRAS als Alternative in Betracht gezogen, aber Mikrotik weiß nicht, wie man damit arbeitet. Die Verbindung wird hergestellt, das VPN funktioniert, aber Mikrotik kann ohne ständige Neuverbindungen und Fehler im Protokoll keine Verbindung aufrechterhalten.
Die Einstellung wurde am Beispiel des RB3011UiAS-RM auf der Firmware-Version 6.46.11 vorgenommen.
Nun der Reihe nach, was und warum.
1. Richten Sie eine VPN-Verbindung ein
Als VPN-Lösung wurde natürlich SoftEther, L2TP mit einem Preshared Key gewählt. Diese Sicherheitsstufe reicht für jeden aus, da nur der Router und sein Besitzer den Schlüssel kennen.
Gehen Sie zum Abschnitt Schnittstellen. Zuerst fügen wir eine neue Schnittstelle hinzu und geben dann IP, Login, Passwort und Shared Key in die Schnittstelle ein. Drücke OK.
Gleicher Befehl:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther funktioniert ohne Änderung von IPSec-Vorschlägen und IPSec-Profilen. Wir berücksichtigen deren Konfiguration nicht, aber der Autor hat für alle Fälle Screenshots seiner Profile hinterlassen.
Für RRAS in IPsec-Vorschlägen ändern Sie einfach die PFS-Gruppe in „Keine“.
Jetzt müssen Sie hinter dem NAT dieses VPN-Servers stehen. Dazu müssen wir zu IP > Firewall > NAT gehen.
Hier aktivieren wir die Maskerade für eine bestimmte oder alle PPP-Schnittstellen. Der Router des Autors ist mit drei VPNs gleichzeitig verbunden, also habe ich Folgendes getan:
Gleicher Befehl:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Fügen Sie Regeln zu Mangle hinzu
Das erste, was Sie wollen, ist natürlich, alles zu schützen, was am wertvollsten und wehrlosesten ist, nämlich den DNS- und HTTP-Verkehr. Beginnen wir mit HTTP.
Gehen Sie zu IP → Firewall → Mangle und erstellen Sie eine neue Regel.
Wählen Sie in der Regel „Kette“ „Prerouting“.
Wenn sich vor dem Router ein Smart SFP oder ein anderer Router befindet und Sie sich über das Webinterface mit diesem verbinden möchten, geben Sie im Dst. Die Adresse muss ihre IP-Adresse oder ihr Subnetz eingeben und ein negatives Vorzeichen setzen, um Mangle nicht auf die Adresse oder dieses Subnetz anzuwenden. Der Autor verfügt über SFP GPON ONU im Bridge-Modus, sodass der Autor weiterhin die Möglichkeit hat, eine Verbindung zu seinem Webmord herzustellen.
Standardmäßig wendet Mangle seine Regel auf alle NAT-Zustände an. Dadurch wird eine Portweiterleitung auf Ihrer weißen IP unmöglich. Aktivieren Sie daher im Verbindungs-NAT-Zustand dstnat und ein negatives Vorzeichen. Dadurch können wir ausgehenden Datenverkehr über das Netzwerk über das VPN senden, Ports aber weiterhin über unsere weiße IP weiterleiten.
Wählen Sie als Nächstes auf der Registerkarte „Aktion“ die Markierungsroute aus, benennen Sie „Neue Routing-Markierung“, damit es uns in Zukunft klar ist, und fahren Sie fort.
Gleicher Befehl:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Kommen wir nun zur DNS-Sicherung. In diesem Fall müssen Sie zwei Regeln erstellen. Eine für den Router, die andere für mit dem Router verbundene Geräte.
Wenn Sie das im Router integrierte DNS verwenden, was der Autor tut, muss dieses ebenfalls geschützt werden. Daher wählen wir für die erste Regel wie oben „Ketten-Prerouting“ aus, für die zweite Regel müssen wir „Ausgabe“ auswählen.
Die Ausgabe ist eine Kette, die der Router selbst für Anfragen unter Verwendung seiner Funktionalität verwendet. Hier ähnelt alles HTTP, UDP-Protokoll, Port 53.
Die gleichen Befehle:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Erstellen einer Route über VPN
Gehen Sie zu IP → Routen und erstellen Sie neue Routen.
Route für HTTP-Routing über VPN. Geben Sie den Namen unserer VPN-Schnittstellen an und wählen Sie Routing Mark.
Zu diesem Zeitpunkt haben Sie bereits gespürt, wie Ihr Bediener angehalten hat .
Gleicher Befehl:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Die Regeln für den DNS-Schutz sehen genauso aus. Wählen Sie einfach die gewünschte Bezeichnung aus:
Hier haben Sie gespürt, dass Ihre DNS-Abfragen nicht mehr zuhören. Die gleichen Befehle:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Nun, am Ende schalten Sie Rutracker frei. Das gesamte Subnetz gehört ihm, daher wird das Subnetz angegeben.
So einfach war es, das Internet zurückzubekommen. Team:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Genauso wie mit dem Root-Tracker können Sie Unternehmensressourcen und andere blockierte Seiten weiterleiten.
Der Autor hofft, dass Sie den Komfort des gleichzeitigen Zugriffs auf den Root-Tracker und das Unternehmensportal zu schätzen wissen, ohne Ihren Pullover auszuziehen.
Source: habr.com