Dans ce guide étape par étape, je vais vous expliquer comment configurer Mikrotik pour que les sites interdits s'ouvrent automatiquement via ce VPN et que vous puissiez éviter de danser avec des tambourins : configurez-le une fois et tout fonctionne.
J'ai choisi SoftEther comme VPN : il est aussi simple à configurer que et tout aussi rapide. J'ai activé Secure NAT côté serveur VPN, aucun autre paramètre n'a été défini.
J'ai considéré RRAS comme une alternative, mais Mikrotik ne sait pas comment l'utiliser. La connexion est établie, le VPN fonctionne, mais Mikrotik ne peut pas maintenir une connexion sans des reconnexions constantes et des erreurs dans le journal.
Le réglage a été effectué sur l'exemple de RB3011UiAS-RM sur la version de firmware 6.46.11.
Maintenant, dans l'ordre, quoi et pourquoi.
1. Configurer une connexion VPN
En tant que solution VPN, bien sûr, SoftEther, L2TP avec une clé pré-partagée a été choisi. Ce niveau de sécurité est suffisant pour n'importe qui, car seuls le routeur et son propriétaire connaissent la clé.
Rendez-vous dans la rubrique Interfaces. Tout d'abord, nous ajoutons une nouvelle interface, puis nous entrons l'adresse IP, le login, le mot de passe et la clé partagée dans l'interface. Appuyer sur OK.
Même commande :
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther fonctionnera sans changer les propositions ipsec et les profils ipsec, nous ne considérons pas leur configuration, mais l'auteur a laissé des captures d'écran de ses profils, juste au cas où.
Pour RRAS dans les propositions IPsec, remplacez simplement le groupe PFS par aucun.
Vous devez maintenant vous tenir derrière le NAT de ce serveur VPN. Pour ce faire, nous devons aller dans IP > Pare-feu > NAT.
Ici, nous activons le masquage pour une interface PPP spécifique ou pour toutes. Le routeur de l'auteur est connecté à trois VPN à la fois, j'ai donc fait ceci :
Même commande :
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Ajouter des règles à Mangle
La première chose que vous voulez, bien sûr, est de protéger tout ce qui est le plus précieux et sans défense, à savoir le trafic DNS et HTTP. Commençons par HTTP.
Allez dans IP → Pare-feu → Mangle et créez une nouvelle règle.
Dans la règle, Chaîne choisissez Pré-routage.
S'il y a un Smart SFP ou un autre routeur devant le routeur et que vous souhaitez vous y connecter via l'interface Web, dans le Dst. L'adresse doit entrer son adresse IP ou son sous-réseau et mettre un signe négatif pour ne pas appliquer Mangle à l'adresse ou à ce sous-réseau. L'auteur a SFP GPON ONU en mode pont, l'auteur a donc conservé la possibilité de se connecter à son webmord.
Par défaut, Mangle appliquera sa règle à tous les états NAT, cela rendra impossible la redirection de port sur votre IP blanche, donc dans l'état NAT de connexion, cochez dstnat et un signe négatif. Cela nous permettra d'envoyer le trafic sortant sur le réseau via le VPN, mais toujours de transférer les ports via notre IP blanche.
Ensuite, dans l'onglet Action, sélectionnez le routage de la marque, nommez Nouvelle marque de routage afin que ce soit clair pour nous à l'avenir et passez à autre chose.
Même commande :
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Passons maintenant à la sécurisation du DNS. Dans ce cas, vous devez créer deux règles. Un pour le routeur, l'autre pour les appareils connectés au routeur.
Si vous utilisez le DNS intégré au routeur, ce que fait l'auteur, il doit également être protégé. Par conséquent, pour la première règle, comme ci-dessus, nous sélectionnons le pré-acheminement de la chaîne, pour la seconde, nous devons sélectionner la sortie.
La sortie est une chaîne que le routeur lui-même utilise pour les requêtes utilisant sa fonctionnalité. Tout ici est similaire à HTTP, protocole UDP, port 53.
Les mêmes commandes :
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Construire une route via VPN
Allez dans IP → Routes et créez de nouvelles routes.
Route pour le routage HTTP sur VPN. Spécifiez le nom de nos interfaces VPN et sélectionnez Routing Mark.
A ce stade, vous avez déjà ressenti comment votre opérateur s'est arrêté .
Même commande :
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Les règles de protection DNS seront exactement les mêmes, sélectionnez simplement l'étiquette souhaitée :
Ici, vous avez senti comment vos requêtes DNS ont cessé d'écouter. Les mêmes commandes :
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Eh bien, à la fin, déverrouillez Rutracker. Le sous-réseau entier lui appartient, donc le sous-réseau est spécifié.
C'est comme ça qu'il a été facile de récupérer Internet. Équipe:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Exactement de la même manière qu'avec le root tracker, vous pouvez router les ressources de l'entreprise et d'autres sites bloqués.
L'auteur espère que vous apprécierez la commodité d'accéder au root tracker et au portail d'entreprise en même temps sans enlever votre chandail.
Source: habr.com