Selles samm-sammulises juhendis räägin teile, kuidas seadistada Mikrotik nii, et keelatud saidid avaneksid selle VPN-i kaudu automaatselt ja saaksite vältida tamburiinidega tantsimist: seadistage see üks kord ja kõik töötab.
Valisin VPN-iks SoftEtheri: seda on sama lihtne seadistada kui
Kaalusin alternatiivina RRAS-i, kuid Mikrotik ei tea, kuidas sellega töötada. Ühendus on loodud, VPN töötab, kuid Mikrotik ei saa ühendust hoida ilma pidevate taasühendamiste ja logis vigadeta.
Seade tehti RB3011UiAS-RM näitel püsivara versioonil 6.46.11.
Nüüd järjekorras, mida ja miks.
1. Seadistage VPN-ühendus
VPN-lahendusena valiti loomulikult eeljagatud võtmega SoftEther, L2TP. Sellest turvalisuse tasemest piisab kõigile, sest võtit teavad ainult ruuter ja selle omanik.
Minge liideste jaotisesse. Esiteks lisame uue liidese ja seejärel sisestame liidesesse ip, sisselogimise, parooli ja jagatud võtme. Vajutage ok.
Sama käsk:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther töötab ilma ipsec-i ettepanekuid ja ipsec-profiile muutmata, me ei arvesta nende konfiguratsiooni, kuid autor jättis igaks juhuks oma profiilidest ekraanipildid.
IPseci ettepanekute RRAS-i jaoks muutke lihtsalt PFS-i rühm valikuks None.
Nüüd peate seisma selle VPN-serveri NAT-i taga. Selleks peame minema IP> Tulemüür> NAT.
Siin lubame maskeraadi konkreetse või kõigi PPP-liideste jaoks. Autori ruuter on ühendatud korraga kolme VPN-iga, seega tegin seda:
Sama käsk:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Lisage Mangle'i reeglid
Esimene asi, mida soovite loomulikult kaitsta, on kaitsta kõike, mis on kõige väärtuslikum ja kaitsetum, nimelt DNS- ja HTTP-liiklust. Alustame HTTP-ga.
Avage IP → Tulemüür → Mangle ja looge uus reegel.
Reeglis vali Ahel Eelmarsruutimine.
Kui ruuteri ees on Smart SFP või mõni muu ruuter ja soovite sellega veebiliidese kaudu ühenduse luua, siis Dst. Aadress peab sisestama oma IP-aadressi või alamvõrgu ja panema negatiivse märgi, et mitte rakendada Mangle'i aadressile või sellele alamvõrgule. Autoril on SFP GPON ONU sillarežiimis, nii et autor säilitas võimaluse luua ühendus oma veebivorminguga.
Vaikimisi rakendab Mangle oma reeglit kõigile NAT-i olekutele, see muudab teie valge IP-aadressi pordi edastamise võimatuks, nii et ühenduse NAT-olekus kontrollige dstnat ja negatiivset märki. See võimaldab meil saata väljaminevat liiklust võrgu kaudu VPN-i kaudu, kuid siiski edastada porte meie valge IP-aadressi kaudu.
Järgmisena valige vahekaardil Action (Märgi marsruutimine), pange nimeks New Routing Mark, et see oleks meile edaspidi selge ja liikuge edasi.
Sama käsk:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Liigume nüüd DNS-i turvalisuse juurde. Sel juhul peate looma kaks reeglit. Üks ruuteri jaoks, teine ruuteriga ühendatud seadmete jaoks.
Kui kasutate ruuterisse sisseehitatud DNS-i, mida autor teeb, peab see olema ka kaitstud. Seetõttu valime esimese reegli jaoks, nagu ülal, ahela eelmarsruutimise, teise jaoks peame valima väljundi.
Väljund on kett, mida ruuter ise kasutab päringute jaoks, kasutades oma funktsioone. Siin on kõik sarnane HTTP, UDP-protokolli, pordiga 53.
Samad käsud:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Marsruudi koostamine VPN-i kaudu
Avage IP → Marsruudid ja looge uued marsruudid.
Marsruut HTTP-marsruutimiseks VPN-i kaudu. Määrake meie VPN-liideste nimed ja valige Marsruutimismärk.
Selles etapis olete juba tundnud, kuidas teie operaator on peatunud
Sama käsk:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
DNS-kaitse reeglid näevad välja täpselt samad, valige lihtsalt soovitud silt:
Siin tundsite, kuidas teie DNS-päringud lõpetasid kuulamise. Samad käsud:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Noh, lõpuks avage Rutracker. Kogu alamvõrk kuulub talle, seega on alamvõrk määratud.
Nii lihtne oligi internet tagasi saada. Meeskond:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Täpselt samamoodi nagu juurjälgijaga, saate suunata ettevõtte ressursse ja muid blokeeritud saite.
Autor loodab, et hindate mugavust, millega pääsete korraga ligi juurjälgijale ja ettevõtte portaalile ilma kampsunit seljast võtmata.
Allikas: www.habr.com