Anns an stiùireadh ceum air cheum seo, innsidh mi dhut mar a stèidhicheas tu Mikrotik gus am bi làraich toirmisgte a’ fosgladh gu fèin-ghluasadach tron VPN seo agus gun urrainn dhut dannsa le tambourines a sheachnadh: cuir air dòigh e aon uair agus bidh a h-uile càil ag obair.
Thagh mi SoftEther mar mo VPN: tha e cho furasta a stèidheachadh ri agus a cheart cho luath. Leig mi le NAT tèarainte air taobh frithealaiche VPN, cha deach suidheachaidhean sam bith eile a dhèanamh.
Bheachdaich mi air RRAS mar roghainn eile, ach chan eil fios aig Mikrotik ciamar a dh’ obraicheas mi leis. Tha an ceangal air a stèidheachadh, tha an VPN ag obair, ach chan urrainn dha Mikrotik ceangal a chumail gun ath-cheangal cunbhalach agus mearachdan sa log.
Chaidh an suidheachadh a dhèanamh air eisimpleir RB3011UiAS-RM air dreach firmware 6.46.11.
A-nis, ann an òrdugh, dè agus carson.
1. Stèidhich VPN ceangal
Mar fhuasgladh VPN, gu dearbh, chaidh SoftEther, L2TP le iuchair ro-roinnte a thaghadh. Tha an ìre seo de thèarainteachd gu leòr airson duine sam bith, oir chan eil ach an router agus an sealbhadair aige eòlach air an iuchair.
Rach gu roinn eadar-aghaidh. An toiseach, cuiridh sinn eadar-aghaidh ùr ris, agus an uairsin cuiridh sinn a-steach ip, logadh a-steach, facal-faire agus iuchair roinnte a-steach don eadar-aghaidh. Brùth ok.
An aon òrdugh:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
Obraichidh SoftEther gun a bhith ag atharrachadh molaidhean ipsec agus pròifilean ipsec, cha bhith sinn a’ beachdachadh air an rèiteachadh aca, ach dh’ fhàg an t-ùghdar dealbhan-sgrìn de na pròifilean aige, gun fhios nach bi.
Airson RRAS ann am Molaidhean IPsec, dìreach atharraich am Buidheann PFS gu gin.
A-nis feumaidh tu seasamh air cùl NAT an fhrithealaiche VPN seo. Gus seo a dhèanamh, feumaidh sinn a dhol gu IP> Firewall> NAT.
An seo bidh sinn a’ comasachadh masquerade airson eadar-aghaidh PPP sònraichte, no gu h-iomlan. Tha router an ùghdair ceangailte ri trì VPNan aig an aon àm, agus mar sin rinn mi seo:
An aon òrdugh:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Cuir Riaghailtean ri Mangle
Is e a 'chiad rud a tha thu ag iarraidh, gu dearbh, a bhith a' dìon a h-uile rud as luachmhoire agus gun dìon, is e sin trafaig DNS agus HTTP. Feuch an tòisich sinn le HTTP.
Rach gu IP → Firewall → Mangle agus cruthaich riaghailt ùr.
Anns an riaghailt, tagh Chain Prerouting.
Ma tha Smart SFP no router eile air beulaibh an router, agus gu bheil thu airson ceangal ris tron eadar-aghaidh lìn, anns an Dst. Feumaidh an seòladh an seòladh IP no an subnet aige a chuir a-steach agus soidhne àicheil a chuir gus nach cuir thu Mangle ris an t-seòladh no ris an subnet sin. Tha SFP GPON ONU aig an ùghdar ann am modh drochaid, agus mar sin ghlèidh an t-ùghdar an comas ceangal ris a’ bhòrd-lìn aige.
Gu gnàthach, cuiridh Mangle an riaghailt aige an sàs anns a h-uile stàit NAT, nì seo do-dhèanta port a chuir air adhart air an IP geal agad, mar sin anns an Connection NAT State, thoir sùil air dstnat agus soidhne àicheil. Leigidh seo leinn trafaic a-mach a chuir thairis air an lìonra tron VPN, ach fhathast puirt air adhart tron IP geal againn.
An uairsin, air an taba Gnìomh, tagh slighe comharran, ainmich Comharra Slighe Ùr gus am bi e soilleir dhuinn san àm ri teachd agus gluais air adhart.
An aon òrdugh:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
A-nis gluaisidh sinn air adhart gu bhith a 'daingneachadh DNS. Anns a 'chùis seo, feumaidh tu dà riaghailt a chruthachadh. Aon airson an router, am fear eile airson innealan ceangailte ris an router.
Ma chleachdas tu an DNS a chaidh a thogail a-steach don router, a nì an t-ùghdar, feumaidh e a bhith air a dhìon cuideachd. Mar sin, airson a 'chiad riaghailt, mar gu h-àrd, tha sinn a' taghadh slabhraidh prerouting, airson an dàrna fear, feumaidh sinn toradh a thaghadh.
Is e sreath a th’ ann an toradh a bhios an router fhèin a’ cleachdadh airson iarrtasan a’ cleachdadh a ghnìomhachd. Tha a h-uile dad an seo coltach ri HTTP, protocol UDP, port 53.
Na h-aon òrduighean:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. A 'togail slighe tro VPN
Rach gu IP → Slighean agus cruthaich slighean ùra.
Slighe airson slighe HTTP thairis air VPN. Sònraich ainm an eadar-aghaidh VPN againn agus tagh Comharra Routing.
Aig an ìre seo, tha thu air faireachdainn mar-thà mar a tha an gnìomhaiche agad air stad .
An aon òrdugh:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Bidh na riaghailtean airson dìon DNS a 'coimhead dìreach mar an ceudna, dìreach tagh an leubail a tha thu ag iarraidh:
An seo bha thu a’ faireachdainn mar a sguir na ceistean DNS agad ag èisteachd. Na h-aon òrduighean:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Uill, aig a’ cheann thall, fosgail Rutracker. Buinidh an subnet gu lèir dha, agus mar sin tha an subnet air a shònrachadh.
Sin cho furasta ‘s a bha e an eadar-lìn fhaighinn air ais. Sgioba:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
San aon dòigh ris an rianadair freumh, faodaidh tu goireasan corporra agus làraich eile a tha air am bacadh a stiùireadh.
Tha an t-ùghdar an dòchas gun cuir thu meas air cho furasta ‘s a tha e faighinn chun rianadair freumha agus am portal corporra aig an aon àm gun a bhith a’ toirt dheth an geansaidh agad.
Source: www.habr.com