Yn dizze stap-foar-stap hantlieding sil ik jo fertelle hoe't jo Mikrotik ynstelle kinne sadat ferbeane siden automatysk wurde iepene fia dizze VPN en jo kinne dûnsje mei tamboerijnen foarkomme: set it ien kear op en alles wurket.
Ik keas SoftEther as VPN: it is sa maklik yn te stellen as en like fluch. Oan 'e kant fan' e VPN-tsjinner haw ik Secure NAT ynskeakele; gjin oare ynstellingen waarden makke.
Ik haw RRAS beskôge as in alternatyf, mar Mikrotik wit der net mei te wurkjen. De ferbining is oprjochte, de VPN wurket, mar Mikrotik is net yn steat om de ferbining te behâlden sûnder konstante werferbiningen en flaters yn it log.
De opset waard útfierd mei it foarbyld fan RB3011UiAS-RM op firmwareferzje 6.46.11.
No, yn oarder, wat en wêrom.
1. Stel in VPN ferbining
Fansels waard SoftEther, L2TP mei in pre-dielde kaai, keazen as VPN-oplossing. Dit nivo fan feiligens is genôch foar elkenien, om't allinich de router en har eigener de kaai kenne.
Gean nei de seksje ynterfaces. Earst foegje wy in nije ynterface ta, en fier dan de ip, login, wachtwurd en dielde kaai yn yn 'e ynterface. Klik ok.
Itselde kommando:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther sil wurkje sûnder ipsec-foarstellen en ipsec-profilen te feroarjen, wy beskôgje it net yn te stellen, mar de auteur liet skermôfbyldings fan syn profilen litte, foar it gefal.
Foar RRAS yn IPsec-foarstellen, feroarje gewoan PFS-groep nei gjinien.
No moatte jo efter de NAT fan dizze VPN-tsjinner stean. Om dit te dwaan moatte wy nei IP> Firewall> NAT gean.
Hjir we ynskeakelje masquerade foar in spesifyk of alle PPP Schnittstellen. De router fan 'e skriuwer is tagelyk ferbûn mei trije VPN's, dus ik die dit:
Itselde kommando:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Foegje regels ta Mangele
It earste ding dat ik wol, fansels, is om alles te beskermjen dat it meast weardefol en ferdigenleas is, nammentlik DNS- en HTTP-ferkear. Litte wy begjinne mei HTTP.
Gean nei IP → Firewall → Mangle en meitsje in nije regel.
Yn de regel, Ketting, selektearje Prerouting.
As der in Smart SFP of in oare router foar de router, en jo wolle ferbine mei it fia it web ynterface, yn it fjild Dst. Adres jo moatte it IP-adres of subnet ynfiere en in negatyf teken pleatse om Mangle net oan te passen op it adres of dit subnet. De skriuwer hat in SFP GPON ONU yn brêgemodus, sadat de skriuwer de mooglikheid behâlde om te ferbinen mei syn webynterface.
Standert sil Mangle syn regel tapasse op alle NAT-steaten, dit sil poarte trochstjoere oer jo wite IP ûnmooglik meitsje, dus yn Connection NAT State sette wy in karmerk op dstnat en in negatyf teken. Dit sil ús tastean om útgeande ferkear oer it netwurk te stjoeren fia de VPN, mar dochs poarten trochstjoere fia ús wite IP.
Selektearje dan op it ljepblêd Aksje markearje routing, neam it Nije Routing Mark sadat it yn 'e takomst dúdlik foar ús sil wêze en trochgean.
Itselde kommando:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Litte wy no trochgean nei DNS-beskerming. Yn dit gefal moatte jo twa regels oanmeitsje. Ien foar de router, de oare foar apparaten ferbûn mei de router.
As jo de DNS brûke yn 'e router, wat de auteur docht, moat it ek beskerme wurde. Dêrom, foar de earste regel, lykas hjirboppe, wy selektearje keten prerouting, foar de twadde moatte wy selektearje útfier.
Utfier is it circuit dat de router sels brûkt om oanfragen te meitsjen mei syn funksjonaliteit. Alles hjir is gelyk oan HTTP, UDP-protokol, poarte 53.
Deselde kommando's:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Bouwe in rûte fia VPN
Gean nei IP → Rûtes en meitsje nije rûtes.
Rûte foar routing HTTP oer VPN. Wy jouwe de namme fan ús VPN-ynterfaces oan en selektearje Routing Mark.
Op dit stadium hawwe jo al field hoe't jo operator stoppe is .
Itselde kommando:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
De regels foar DNS-beskerming sille krekt itselde útsjen, selektearje gewoan it winske label:
Doe fielde jo hoe't jo DNS-oanfragen ophâlde te harkjen. Deselde kommando's:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
No, op it lêst, litte wy Rutracker deblokkearje. It hiele subnet heart by him, dus it subnet wurdt oantsjutte.
Dat is hoe maklik it wie om jo ynternet werom te krijen. Ploech:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Op krekt deselde manier as mei in root tracker kinne jo bedriuwsboarnen en oare blokkearre siden rûte.
De skriuwer hopet dat jo it gemak wurdearje om tagelyk yn te loggen op 'e root tracker en it bedriuwsportaal sûnder jo sweater út te nimmen.
Boarne: www.habr.com