Sa treoir céim ar chéim seo, inseoidh mé duit conas Mikrotik a bhunú ionas go n-osclóidh suíomhanna toirmiscthe go huathoibríoch tríd an VPN seo agus gur féidir leat damhsa le tambóirín a sheachaint: cuir ar bun é uair amháin agus oibríonn gach rud.
Roghnaigh mé SoftEther mar mo VPN: tá sé chomh héasca é a shocrú agus agus díreach chomh tapa. Chuir mé ar chumas Slán NAT ar thaobh an fhreastalaí VPN, ní dhearnadh aon socruithe eile.
Mheas mé RRAS mar rogha eile, ach níl a fhios ag Mikrotik conas a bheith ag obair leis. Tá an nasc bunaithe, oibríonn an VPN, ach ní féidir le Mikrotik nasc a choinneáil gan athcheangail agus earráidí leanúnacha sa loga.
Rinneadh an socrú ar an sampla de RB3011UiAS-RM ar leagan firmware 6.46.11.
Anois, in ord, cad agus cén fáth.
1. Socraigh nasc VPN
Mar réiteach VPN, ar ndóigh, roghnaíodh SoftEther, L2TP le eochair réamhroinnte. Is leor an leibhéal slándála seo do dhuine ar bith, mar níl a fhios ag an ródaire ach ag a úinéir an eochair.
Téigh go dtí an rannóg Comhéadain. Ar dtús, cuirimid comhéadan nua leis, agus ansin cuirimid ip, logáil isteach, pasfhocal agus eochair roinnte isteach sa chomhéadan. Brúigh ceart go leor.
Ordú céanna:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
Oibreoidh SoftEther gan moltaí ipsec agus próifílí ipsec a athrú, ní mheasaimid a gcumraíocht, ach d'fhág an t-údar screenshots dá phróifílí, ar eagla na heagla.
Maidir le RRAS i Moltaí IPsec, níl le déanamh ach an Grúpa PFS a athrú go dtí ceann ar bith.
Anois ní mór duit seasamh taobh thiar de NAT an fhreastalaí VPN seo. Chun seo a dhéanamh, ní mór dúinn dul go IP > Balla Dóiteáin > NAT.
Anseo cumasaimid masquerade le haghaidh comhéadain PPP ar leith nó go léir. Tá ródaire an údair ceangailte le trí VPN ag an am céanna, mar sin rinne mé é seo:
Ordú céanna:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Rialacha Cuir le Mangle
Is é an chéad rud atá uait, ar ndóigh, ná gach rud is luachmhaire agus is neamhchosanta a chosaint, eadhon trácht DNS agus HTTP. Let tús le HTTP.
Téigh go IP → Balla Dóiteáin → Mangle agus cruthaigh riail nua.
Sa riail, roghnaigh Slabhra Prerouting.
Má tá SFP Cliste nó ródaire eile os comhair an ródaire, agus gur mhaith leat ceangal leis tríd an gcomhéadan gréasáin, sa Dst. Ní mór don seoladh a sheoladh IP nó a fholíon a chur isteach agus comhartha diúltach a chur le nach gcuirfidh Mangle i bhfeidhm ar an seoladh nó ar an bhfolíon sin. Tá SFP GPON ONU ag an údar i mód droichid, agus mar sin choinnigh an t-údar an cumas chun ceangal lena webmord.
De réir réamhshocraithe, cuirfidh Mangle a riail i bhfeidhm ar gach Stát NAT, rud a fhágfaidh go mbeidh sé dodhéanta calafoirt a chur ar aghaidh ar do IP bán, mar sin sa Stát Ceangal NAT, seiceáil dstnat agus comhartha diúltach. Tabharfaidh sé seo deis dúinn trácht amach a sheoladh thar an líonra tríd an VPN, ach fós calafoirt a chur ar aghaidh tríd ár IP bán.
Ansin, ar an táb Gníomhaíochta, roghnaigh ródú marc, ainmnigh Marc Ródúcháin Nua ionas go mbeidh sé soiléir dúinn amach anseo agus bogadh ar aghaidh.
Ordú céanna:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Anois, déanaimis bogadh ar aghaidh chuig DNS a dhaingniú. Sa chás seo, ní mór duit dhá riail a chruthú. Ceann amháin le haghaidh an ródaire, an ceann eile le haghaidh feistí atá nasctha leis an ródaire.
Má úsáideann tú an DNS ionsuite sa ródaire, rud a dhéanann an t-údar, ní mór é a chosaint freisin. Dá bhrí sin, don chéad riail, mar atá thuas, roghnaimid prerouting slabhra, don dara ceann, ní mór dúinn aschur a roghnú.
Is slabhra é aschur a úsáideann an ródaire féin le haghaidh iarratais a úsáideann a fheidhmiúlacht. Tá gach rud anseo cosúil le HTTP, prótacal UDP, port 53.
Na horduithe céanna:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Bealach a thógáil trí VPN
Téigh go IP → Bealaí agus cruthaigh bealaí nua.
Bealach le haghaidh ródú HTTP thar VPN. Sonraigh ainm ár gcomhéadain VPN agus roghnaigh Marc Ródú.
Ag an gcéim seo, bhraith tú cheana féin conas a stop d'oibreoir .
Ordú céanna:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Beidh cuma díreach mar a chéile ar na rialacha maidir le cosaint DNS, níl le déanamh ach an lipéad atá uait a roghnú:
Anseo mhothaigh tú conas a stop do cheisteanna DNS ag éisteacht. Na horduithe céanna:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Bhuel, sa deireadh, díghlasáil Rutracker. Baineann an subnet iomlán leis, mar sin sonraítear an subnet.
Sin cé chomh héasca agus a bhí sé an t-idirlíon a fháil ar ais. Foireann:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Ar an mbealach céanna go díreach agus a dhéantar leis an rianaire fréimhe, is féidir leat acmhainní corparáideacha agus suíomhanna blocáilte eile a threorú.
Tá súil ag an údar go dtuigfidh tú an áisiúlacht a bhaineann le rochtain a fháil ar an rianaire fréimhe agus ar an tairseach corparáideach ag an am céanna gan do gheansaí a bhaint de.
Foinse: will.com