Pausoz pauso gida honetan, Mikrotik nola konfiguratu esango dizut VPN honen bidez debekatutako guneak automatikoki ireki daitezen eta panderoekin dantza egitea saihestu dezakezu: konfiguratu behin eta dena funtziona dezan.
SoftEther VPN gisa aukeratu nuen: konfiguratzeko bezain erraza da eta bezain azkar. VPN zerbitzariaren aldean, NAT segurua gaitu nuen; ez zen beste ezarpenik egin.
RRAS alternatibatzat hartu nuen, baina Mikrotik ez daki nola lan egin. Konexioa ezarrita dago, VPN funtzionatzen du, baina Mikrotik-ek ezin du konexioa mantendu erregistroan etengabeko birkonexiorik eta akatsik gabe.
Konfigurazioa RB3011UiAS-RM adibidea erabiliz egin da 6.46.11 firmware bertsioan.
Orain, ordenan, zer eta zergatik.
1. Ezarri VPN konexio bat
Jakina, SoftEther, aurrez partekatutako gako batekin L2TP, VPN irtenbide gisa aukeratu zen. Segurtasun-maila hori nahikoa da edonorentzat, bideratzaileak eta bere jabeak bakarrik ezagutzen baitute gakoa.
Joan interfazeen atalera. Lehenik eta behin, interfaze berri bat gehitzen dugu, eta gero ip, saioa hasteko, pasahitza eta gako partekatua sartuko ditugu interfazean. Egin klik OK.
Agindu bera:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther-ek ipsec proposamenak eta ipsec profilak aldatu gabe funtzionatuko du, ez dugu horiek konfiguratzea pentsatzen ari, baina egileak bere profilen pantaila-argazkiak utzi zituen, badaezpada.
IPsec Proposamenetan RRASrako, aldatu PFS Taldea batere ez.
Orain VPN zerbitzari honen NATaren atzean egon behar duzu. Horretarako IP > Firewall > NAT atalera joan behar dugu.
Hemen maskarada gaitzen dugu PPP interfaze zehatz baterako edo guztietarako. Egilearen bideratzailea hiru VPN batera konektatuta dago, beraz, hau egin nuen:
Agindu bera:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Gehitu arauak Mangle-ri
Nahi dudan lehen gauza, noski, baliotsuena eta defentsarik gabeko guztia babestea da, hots, DNS eta HTTP trafikoa. Has gaitezen HTTP-rekin.
Joan IP β Firewall β Mangle eta sortu arau berri bat.
Arauan, Katea, hautatu Aurre-bideratzea.
Bideratzailearen aurrean Smart SFP bat edo beste bideratzaile bat badago eta web interfazearen bidez konektatu nahi baduzu, Dst eremuan. Helbidea bere IP helbidea edo azpisarea sartu eta zeinu negatiboa jarri behar duzu, helbideari edo azpisare honi Mangle ez aplikatzeko. Egileak SFP GPON ONU bat dauka zubi moduan, beraz egileak bere web interfazera konektatzeko gaitasuna mantendu zuen.
Lehenespenez, Mangle-k bere araua NAT estatu guztietan aplikatuko du, honek zure IP zuriaren bidez portuak birbidaltzea ezinezkoa egingo du, beraz, Connection NAT State-n dstnat-en kontrol-marka eta zeinu negatibo bat jartzen ditugu. Horri esker, irteerako trafikoa sarean VPN bidez bidaltzeko aukera emango digu, baina oraindik portuak birbidaltzeko gure IP zuriaren bidez.
Ondoren, Ekintza fitxan, hautatu marka bideraketa, deitu Bideratze marka berria, etorkizunean argi izan dezagun eta aurrera jarraitu.
Agindu bera:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Orain joan gaitezen DNS babesera. Kasu honetan, bi arau sortu behar dituzu. Bata bideratzailearentzat, bestea bideratzailearekin konektatutako gailuentzat.
Bideratzailean integratutako DNS erabiltzen baduzu, egileak egiten duena, babestu egin behar da. Hori dela eta, lehen araurako, goian bezala, katearen aurrebideratzea hautatzen dugu, bigarrenerako irteera hautatu behar dugu.
Irteera bideratzaileak berak bere funtzionaltasuna erabiliz eskaerak egiteko erabiltzen duen zirkuitua da. Hemen dena HTTP, UDP protokoloaren, 53 atakaren antzekoa da.
Agindu berdinak:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. VPN bidez ibilbide bat eraikitzea
Joan IP β Ibilbideak eta sortu ibilbide berriak.
HTTP VPN bidez bideratzeko ibilbidea. Gure VPN interfazeen izena adierazten dugu eta bideratze-marka hautatuko dugu.
Fase honetan, dagoeneko sentitu duzu zure operadorea nola gelditu den .
Agindu bera:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
DNS babeserako arauek itxura bera izango dute, hautatu nahi duzun etiketa:
Orduan, zure DNS eskaerak entzuteari nola gelditzen zaizkion sentitu zenuen. Agindu berdinak:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Tira, azkenean, desblokeatu dezagun Rutracker. Azpisare osoa berea da, beraz, azpisarea zehaztuta dago.
Hori da zein erraza izan zen zure Internet berreskuratzea. Taldea:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Erroko jarraitzaile batekin egiten den modu berean, baliabide korporatiboak eta blokeatutako beste gune batzuk bideratu ditzakezu.
Egileak espero du aldi berean erro-jarraitzailean eta atari korporatiboan saioa hasteko erosotasuna eskertuko duzula jertsea kendu gabe.
Iturria: www.habr.com