در این راهنمای گام به گام، من به شما خواهم گفت که چگونه Mikrotik را راه اندازی کنید تا سایت های ممنوعه به طور خودکار از طریق این VPN باز شوند و بتوانید از رقصیدن با تنبور اجتناب کنید: یک بار آن را تنظیم کنید و همه چیز کار می کند.
من SoftEther را به عنوان VPN خود انتخاب کردم: تنظیم آن به همین راحتی است و به همان سرعت من Secure NAT را در سمت سرور VPN فعال کردم، هیچ تنظیمات دیگری انجام نشد.
من RRAS را به عنوان یک جایگزین در نظر گرفتم، اما میکروتیک نمی داند چگونه با آن کار کند. اتصال برقرار است، VPN کار می کند، اما Mikrotik نمی تواند اتصال را بدون اتصال مجدد و خطا در گزارش حفظ کند.
این تنظیمات به عنوان مثال RB3011UiAS-RM در سیستم عامل نسخه 6.46.11 انجام شده است.
حالا به ترتیب چی و چرا.
1. اتصال VPN را راه اندازی کنید
به عنوان یک راه حل VPN، البته، SoftEther، L2TP با یک کلید از پیش به اشتراک گذاشته شده انتخاب شد. این سطح از امنیت برای هر کسی کافی است، زیرا تنها روتر و صاحب آن کلید را می دانند.
به بخش رابط ها بروید. ابتدا یک رابط جدید اضافه می کنیم و سپس ip، لاگین، رمز عبور و کلید اشتراکی را وارد رابط می کنیم. دکمه تایید را فشار دهید.
همان دستور:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther بدون تغییر پیشنهادات ipsec و نمایههای ipsec کار میکند، ما پیکربندی آنها را در نظر نمیگیریم، اما نویسنده تصاویری از نمایههای خود را برای هر موردی گذاشته است.
برای RRAS در پیشنهادات IPsec، فقط گروه PFS را به هیچ تغییر دهید.
اکنون باید پشت NAT این سرور VPN بایستید. برای این کار باید به مسیر IP > Firewall > NAT برویم.
در اینجا ماسکراد را برای یک یا همه رابط های PPP فعال می کنیم. روتر نویسنده همزمان به سه VPN متصل است، بنابراین من این کار را انجام دادم:
همان دستور:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. قوانین را به Mangle اضافه کنید
البته اولین چیزی که می خواهید این است که از هر چیزی که ارزشمندترین و بی دفاع است، یعنی ترافیک DNS و HTTP محافظت کنید. بیایید با HTTP شروع کنیم.
به IP → Firewall → Mangle بروید و یک قانون جدید ایجاد کنید.
در قانون، Chain Prerouting را انتخاب می کند.
اگر یک Smart SFP یا روتر دیگری در جلوی روتر وجود دارد و می خواهید از طریق رابط وب به آن متصل شوید، در Dst. آدرس باید آدرس IP یا زیرشبکه خود را وارد کرده و علامت منفی بگذارد تا Mangle روی آدرس یا آن زیر شبکه اعمال نشود. نویسنده دارای SFP GPON ONU در حالت پل است، بنابراین نویسنده توانایی اتصال به webmord خود را حفظ کرده است.
به طور پیشفرض، Mangle قانون خود را برای همه حالتهای NAT اعمال میکند، این امر ارسال پورت در IP سفید شما را غیرممکن میکند، بنابراین در حالت Connection NAT، dstnat و علامت منفی را بررسی کنید. این به ما امکان می دهد تا ترافیک خروجی را از طریق VPN از طریق شبکه ارسال کنیم، اما همچنان پورت ها را از طریق IP سفید خود ارسال کنیم.
بعد در تب Action، mark routing را انتخاب کنید، New Routing Mark را نامگذاری کنید تا در آینده برای ما روشن شود و ادامه دهیم.
همان دستور:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
حالا بیایید به امنیت DNS بپردازیم. در این مورد، شما باید دو قانون ایجاد کنید. یکی برای روتر، دیگری برای دستگاه های متصل به روتر.
اگر از DNS تعبیه شده در روتر استفاده می کنید، کاری که نویسنده انجام می دهد، باید از آن نیز محافظت شود. بنابراین، برای قانون اول، همانطور که در بالا، پیشروی زنجیره ای را انتخاب می کنیم، برای دومی، باید خروجی را انتخاب کنیم.
خروجی یک زنجیره است که خود روتر برای درخواست ها با استفاده از عملکرد خود استفاده می کند. همه چیز در اینجا شبیه HTTP، پروتکل UDP، پورت 53 است.
همین دستورات:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. ساخت مسیر از طریق VPN
به IP → Routes بروید و مسیرهای جدید ایجاد کنید.
مسیریابی برای مسیریابی HTTP از طریق VPN. نام رابط های VPN ما را مشخص کرده و Routing Mark را انتخاب کنید.
در این مرحله، قبلاً احساس کرده اید که چگونه اپراتور شما متوقف شده است .
همان دستور:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
قوانین حفاظت از DNS دقیقاً یکسان به نظر می رسد، فقط برچسب مورد نظر را انتخاب کنید:
در اینجا احساس کردید که چگونه جستارهای DNS شما گوش نمی دهند. همین دستورات:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
خوب، در پایان، Rutracker را باز کنید. کل زیر شبکه متعلق به اوست، بنابراین زیرشبکه مشخص شده است.
بازگرداندن اینترنت به همین راحتی بود. تیم:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
دقیقاً به همان روشی که با ردیاب ریشه، می توانید منابع شرکت و سایر سایت های مسدود شده را مسیریابی کنید.
نویسنده امیدوار است که شما از راحتی دسترسی به ردیاب ریشه و پورتال شرکتی به طور همزمان بدون درآوردن ژاکت خود قدردانی کنید.
منبع: www.habr.com