En esta guía paso a paso, te diré cómo configurar Mikrotik para que los sitios prohibidos se abran automáticamente a través de esta VPN y puedas evitar bailar con panderetas: configura una vez y todo funciona.
Elegí SoftEther como mi VPN: es tan fácil de configurar como e igual de rápido. Habilité Secure NAT en el lado del servidor VPN, no se realizaron otras configuraciones.
Consideré RRAS como una alternativa, pero Mikrotik no sabe cómo trabajar con él. La conexión está establecida, la VPN funciona, pero Mikrotik no puede mantener una conexión sin reconexiones constantes y errores en el registro.
La configuración se realizó en el ejemplo de RB3011UiAS-RM en la versión de firmware 6.46.11.
Ahora, en orden, qué y por qué.
1. Configure una conexión VPN
Como solución VPN, por supuesto, se eligió SoftEther, L2TP con una clave precompartida. Este nivel de seguridad es suficiente para cualquiera, porque solo el enrutador y su propietario conocen la clave.
Vaya a la sección de interfaces. Primero, agregamos una nueva interfaz y luego ingresamos IP, inicio de sesión, contraseña y clave compartida en la interfaz. Presiona OK.
Mismo comando:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther funcionará sin cambiar las propuestas de ipsec y los perfiles de ipsec, no consideramos su configuración, pero el autor dejó capturas de pantalla de sus perfiles, por si acaso.
Para RRAS en propuestas IPsec, simplemente cambie el grupo PFS a ninguno.
Ahora debe respaldar el NAT de este servidor VPN. Para hacer esto, debemos ir a IP> Firewall> NAT.
Aquí habilitamos el enmascaramiento para una interfaz PPP específica o para todas. El enrutador del autor está conectado a tres VPN a la vez, así que hice esto:
Mismo comando:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Agregar reglas a Mangle
Lo primero que desea, por supuesto, es proteger todo lo que es más valioso e indefenso, es decir, el tráfico DNS y HTTP. Comencemos con HTTP.
Vaya a IP → Firewall → Mangle y cree una nueva regla.
En la regla, Chain elige Prerouting.
Si hay un Smart SFP u otro enrutador frente al enrutador y desea conectarse a través de la interfaz web, en Dst. La dirección debe ingresar su dirección IP o subred y poner un signo negativo para no aplicar Mangle a la dirección o a esa subred. El autor tiene SFP GPON ONU en modo puente, por lo que el autor retuvo la capacidad de conectarse a su webmord.
De forma predeterminada, Mangle aplicará su regla a todos los estados NAT, esto hará que el reenvío de puertos en su IP blanca sea imposible, por lo que en el estado NAT de conexión, marque dstnat y un signo negativo. Esto nos permitirá enviar tráfico saliente a través de la red a través de la VPN, pero aún reenviar puertos a través de nuestra IP blanca.
A continuación, en la pestaña Acción, seleccione marcar enrutamiento, nombre Nueva marca de enrutamiento para que nos quede claro en el futuro y siga adelante.
Mismo comando:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Ahora pasemos a proteger el DNS. En este caso, debe crear dos reglas. Uno para el enrutador, el otro para los dispositivos conectados al enrutador.
Si usa el DNS integrado en el enrutador, lo que hace el autor, también debe estar protegido. Por lo tanto, para la primera regla, como arriba, seleccionamos el enrutamiento previo de la cadena, para la segunda, debemos seleccionar la salida.
La salida es una cadena que el propio enrutador utiliza para las solicitudes que utilizan su funcionalidad. Todo aquí es similar a HTTP, protocolo UDP, puerto 53.
Los mismos comandos:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Construyendo una ruta a través de VPN
Vaya a IP → Rutas y cree nuevas rutas.
Ruta para enrutamiento HTTP sobre VPN. Especifique el nombre de nuestras interfaces VPN y seleccione Marca de enrutamiento.
En esta etapa, ya has sentido como tu operador se ha detenido .
Mismo comando:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Las reglas para la protección de DNS se verán exactamente iguales, simplemente seleccione la etiqueta deseada:
Aquí sentiste como dejaban de escuchar tus consultas DNS. Los mismos comandos:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Bueno, al final, desbloquea Rutracker. Toda la subred le pertenece, por lo que se especifica la subred.
Así de fácil fue recuperar Internet. Equipo:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Exactamente de la misma manera que con el rastreador raíz, puede enrutar los recursos corporativos y otros sitios bloqueados.
El autor espera que aprecie la conveniencia de acceder al rastreador raíz y al portal corporativo al mismo tiempo sin quitarse el suéter.
Fuente: habr.com