En ĉi tiu paŝo post paŝo, mi rakontos al vi kiel agordi Mikrotik por ke malpermesitaj retejoj aŭtomate malfermu per ĉi tiu VPN kaj vi povu eviti danci per tamburinoj: starigu ĝin unufoje kaj ĉio funkcias.
Mi elektis SoftEther kiel mian VPN: ĝi estas tiel facile agordi kiel kaj same rapide. Mi ebligis Secure NAT ĉe la VPN-servila flanko, neniuj aliaj agordoj estis faritaj.
Mi konsideris RRAS kiel alternativon, sed Mikrotik ne scias kiel labori kun ĝi. La konekto estas establita, la VPN funkcias, sed Mikrotik ne povas konservi konekton sen konstantaj rekonektiĝoj kaj eraroj en la protokolo.
La agordo estis farita laŭ la ekzemplo de RB3011UiAS-RM en firmware versio 6.46.11.
Nun, en ordo, kio kaj kial.
1. Agordu VPN-konekton
Kiel VPN-solvo, kompreneble, SoftEther, L2TP kun antaŭdividita ŝlosilo estis elektita. Ĉi tiu nivelo de sekureco sufiĉas por iu ajn, ĉar nur la enkursigilo kaj ĝia posedanto konas la ŝlosilon.
Iru al la sekcio de interfacoj. Unue, ni aldonas novan interfacon, kaj poste ni enigas ip, ensaluton, pasvorton kaj komunan ŝlosilon en la interfacon. Premu ok.
Sama komando:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther funkcios sen ŝanĝi ipsec-proponojn kaj ipsec-profilojn, ni ne konsideras ilian agordon, sed la aŭtoro lasis ekrankopiojn de siaj profiloj, por la okazo.
Por RRAS en IPsec Proposoj, simple ŝanĝu la PFS-Grupon al neniu.
Nun vi devas stari malantaŭ la NAT de ĉi tiu VPN-servilo. Por fari tion, ni devas iri al IP> Fajroŝirmilo> NAT.
Ĉi tie ni ebligas maskeradon por specifaj, aŭ ĉiuj, PPP-interfacoj. La enkursigilo de la aŭtoro estas konektita al tri VPN-oj samtempe, do mi faris ĉi tion:
Sama komando:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Aldonu Regulojn al Mangle
La unua afero, kiun vi volas, kompreneble, estas protekti ĉion, kio estas plej valora kaj sendefenda, nome DNS kaj HTTP-trafiko. Ni komencu per HTTP.
Iru al IP → Fajromuro → Mangle kaj kreu novan regulon.
En la regulo, Ĉeno elektu Prerouting.
Se estas Smart SFP aŭ alia enkursigilo antaŭ la enkursigilo, kaj vi volas konektiĝi al ĝi per la retinterfaco, en la Dst. Adreso devas enigi sian IP-adreson aŭ subreton kaj meti negativan signon por ne apliki Mangle al la adreso aŭ al tiu subreto. La aŭtoro havas SFP GPON ONU en ponta reĝimo, do la aŭtoro konservis la kapablon konekti al sia retmordo.
Defaŭlte, Mangle aplikos sian regulon al ĉiuj NAT-ŝtatoj, ĉi tio malpermesos havenon sur via blanka IP, do en la Konekto NAT-Ŝtato, kontrolu dstnat kaj negativan signon. Ĉi tio permesos al ni sendi eksteran trafikon tra la reto per la VPN, sed ankoraŭ plusendi havenojn per nia blanka IP.
Tuj poste, sur la langeto Ago, elektu marki vojigon, nomu Novan Voja Markon por ke ĝi estu klara por ni estonte kaj pluiru.
Sama komando:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Nun ni pluiru al sekurigi DNS. En ĉi tiu kazo, vi devas krei du regulojn. Unu por la enkursigilo, la alia por aparatoj konektitaj al la enkursigilo.
Se vi uzas la DNS enkonstruitan en la enkursigilo, kion faras la aŭtoro, ĝi ankaŭ devas esti protektita. Sekve, por la unua regulo, kiel supre, ni elektas ĉenan antaŭvojadon, por la dua, ni devas elekti eligon.
Eligo estas ĉeno, kiun la enkursigilo mem uzas por petoj uzantaj sian funkciecon. Ĉio ĉi tie similas al HTTP, UDP-protokolo, haveno 53.
La samaj komandoj:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Konstruante vojon tra VPN
Iru al IP → Itineroj kaj kreu novajn itinerojn.
Itinero por HTTP-vojigo tra VPN. Specifu la nomon de niaj VPN-interfacoj kaj elektu Routing Mark.
En ĉi tiu etapo, vi jam sentis, kiel via telefonisto ĉesis .
Sama komando:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
La reguloj por DNS-protekto aspektos ĝuste la samaj, simple elektu la deziratan etikedon:
Ĉi tie vi sentis, kiel viaj DNS-demandoj ĉesis aŭskulti. La samaj komandoj:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Nu, finfine, malŝlosu Rutracker. La tuta subreto apartenas al li, do la subreto estas specifita.
Tiel facile estis rehavi Interreton. Teamo:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Ekzakte same kiel kun la radika spuristo, vi povas direkti kompaniajn rimedojn kaj aliajn blokitajn retejojn.
La aŭtoro esperas, ke vi aprezos la oportunon aliri la radikan spurilon kaj la kompanian portalon samtempe sen demeti vian sveteron.
fonto: www.habr.com