Tässä vaiheittaisessa oppaassa kerron, kuinka Mikrotik asetetaan niin, että kielletyt sivustot avautuvat automaattisesti tämän VPN:n kautta ja voit välttää tamburiinien kanssa tanssimisen: asenna se kerran ja kaikki toimii.
Valitsin SoftEtherin VPN:ksi: se on yhtä helppo asentaa kuin ja yhtä nopeasti. Otin Secure NAT:n käyttöön VPN-palvelimen puolella, muita asetuksia ei tehty.
Pidin RRAS:a vaihtoehtona, mutta Mikrotik ei osaa työskennellä sen kanssa. Yhteys on muodostettu, VPN toimii, mutta Mikrotik ei voi ylläpitää yhteyttä ilman jatkuvia uudelleenyhteyksiä ja virheitä lokissa.
Asetus tehtiin esimerkissä RB3011UiAS-RM laiteohjelmistoversiossa 6.46.11.
Nyt järjestyksessä, mitä ja miksi.
1. Muodosta VPN-yhteys
VPN-ratkaisuksi valittiin tietysti SoftEther, L2TP esijaetulla avaimella. Tämä suojaustaso riittää kaikille, koska vain reititin ja sen omistaja tietävät avaimen.
Siirry käyttöliittymäosaan. Ensin lisäämme uuden käyttöliittymän ja sitten kirjoitamme ip:n, kirjautumistunnuksen, salasanan ja jaetun avaimen käyttöliittymään. Paina ok.
Sama komento:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther toimii muuttamatta ipsec-ehdotuksia ja ipsec-profiileja, emme ota huomioon niiden kokoonpanoa, mutta kirjoittaja jätti kuvakaappauksia profiileistaan varmuuden vuoksi.
Jos kyseessä on RRAS IPsec Proposalsissa, muuta vain PFS-ryhmä arvoksi Ei mitään.
Nyt sinun on seisottava tämän VPN-palvelimen NAT:n takana. Voit tehdä tämän siirtymällä kohtaan IP> Palomuuri> NAT.
Tässä otamme käyttöön naamioinnin tietylle tai kaikille PPP-liitännöille. Tekijän reititin on yhdistetty kolmeen VPN:ään kerralla, joten tein näin:
Sama komento:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Lisää säännöt Mangleen
Ensimmäinen asia, jonka haluat tietysti suojata, on suojata kaikki arvokkain ja puolustuskyvyttömin, nimittäin DNS- ja HTTP-liikenne. Aloitetaan HTTP:llä.
Siirry kohtaan IP → Palomuuri → Mangle ja luo uusi sääntö.
Ketju valitse säännössä Esireititys.
Jos reitittimen edessä on Smart SFP tai muu reititin ja haluat muodostaa yhteyden siihen verkkokäyttöliittymän kautta, Dst. Osoitteen on syötettävä IP-osoite tai aliverkko ja annettava negatiivinen merkki, jotta Manglea ei käytetä osoitteeseen tai kyseiseen aliverkkoon. Tekijällä on SFP GPON ONU siltatilassa, joten kirjoittaja säilytti mahdollisuuden muodostaa yhteys webmordiinsa.
Oletuksena Mangle soveltaa sääntöään kaikkiin NAT-tiloihin, mikä tekee portin edelleenlähettämisestä valkoisessa IP-osoitteessasi mahdotonta, joten Connection NAT -tilassa tarkista dstnat ja negatiivinen merkki. Tämä antaa meille mahdollisuuden lähettää lähtevää liikennettä verkon yli VPN:n kautta, mutta edelleen välittää portit valkoisen IP-osoitteemme kautta.
Valitse seuraavaksi Toiminto-välilehdellä merkki reititys, nimeä Uusi reititysmerkki, jotta se on meille jatkossa selvää, ja siirry eteenpäin.
Sama komento:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Siirrytään nyt DNS:n turvaamiseen. Tässä tapauksessa sinun on luotava kaksi sääntöä. Toinen reitittimelle, toinen reitittimeen liitetyille laitteille.
Jos käytät reitittimeen sisäänrakennettua DNS:ää, jonka tekijä tekee, se on myös suojattava. Siksi ensimmäiselle säännölle, kuten yllä, valitsemme ketjun esireitityksen, toiselle meidän on valittava lähtö.
Lähtö on ketju, jota reititin itse käyttää pyyntöihinsä käyttämällä toiminnallisuuttaan. Kaikki täällä on samanlaista kuin HTTP, UDP-protokolla, portti 53.
Samat komennot:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Reitin rakentaminen VPN:n kautta
Siirry kohtaan IP → Reitit ja luo uusia reittejä.
Reitti HTTP-reitittämiseen VPN:n kautta. Määritä VPN-liittymiemme nimet ja valitse Reititysmerkki.
Tässä vaiheessa olet jo tuntenut kuinka operaattorisi on pysähtynyt .
Sama komento:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
DNS-suojauksen säännöt näyttävät täsmälleen samalta, valitse vain haluamasi otsikko:
Täällä tunsit kuinka DNS-kyselysi lakkasivat kuuntelemasta. Samat komennot:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
No, lopuksi avaa Rutracker. Koko aliverkko kuuluu hänelle, joten aliverkko on määritetty.
Näin helppoa oli saada Internet takaisin. Tiimi:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Täsmälleen samalla tavalla kuin juuriseurantaohjelmassa, voit reitittää yrityksen resursseja ja muita estettyjä sivustoja.
Kirjoittaja toivoo, että arvostat sitä mukavuutta, että pääset käsiksi juuriseurantaohjelmaan ja yritysportaaliin samanaikaisesti riisumatta puseroasi.
Lähde: will.com