Nesta guía paso a paso, vouche dicir como configurar Mikrotik para que os sitios prohibidos se abran automaticamente a través desta VPN e poidas evitar bailar con pandeiretas: configúrao unha vez e todo funciona.
Escollín SoftEther como a miña VPN: é tan fácil de configurar como e igual de rápido. Activei Secure NAT no lado do servidor VPN, non se fixo ningunha outra configuración.
Considerei RRAS como unha alternativa, pero Mikrotik non sabe como traballar con el. Establécese a conexión, a VPN funciona, pero Mikrotik non pode manter unha conexión sen conexións constantes e erros no rexistro.
A configuración realizouse no exemplo de RB3011UiAS-RM na versión de firmware 6.46.11.
Agora, en orde, que e por que.
1. Configure unha conexión VPN
Como solución VPN, por suposto, escolleuse SoftEther, L2TP cunha clave previamente compartida. Este nivel de seguridade é suficiente para calquera, porque só o enrutador e o seu propietario coñecen a chave.
Vaia á sección de interfaces. En primeiro lugar, engadimos unha nova interface e, a continuación, introducimos ip, inicio de sesión, contrasinal e chave compartida na interface. Preme ok.
O mesmo comando:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther funcionará sen cambiar as propostas ipsec e os perfís ipsec, non consideramos a súa configuración, pero o autor deixou capturas de pantalla dos seus perfís, por se acaso.
Para RRAS en propostas IPsec, simplemente cambie o grupo PFS a ningún.
Agora debes estar detrás do NAT deste servidor VPN. Para iso, necesitamos ir a IP > Firewall > NAT.
Aquí activamos a mascarada para unhas interfaces PPP específicas ou todas. O enrutador do autor está conectado a tres VPN á vez, así que fixen isto:
O mesmo comando:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Engade regras a Mangle
O primeiro que queres, por suposto, é protexer todo o que é máis valioso e indefenso, é dicir, o tráfico DNS e HTTP. Comecemos por HTTP.
Vaia a IP → Firewall → Mangle e crea unha nova regra.
Na regra, Chain escolla Prerouting.
Se hai un Smart SFP ou outro enrutador diante do enrutador, e quere conectarse a el a través da interface web, no Dst. O enderezo debe introducir o seu enderezo IP ou subrede e poñer un signo negativo para non aplicar Mangle ao enderezo ou a esa subrede. O autor ten SFP GPON ONU en modo ponte, polo que o autor mantivo a posibilidade de conectarse ao seu webmord.
De forma predeterminada, Mangle aplicará a súa regra a todos os estados NAT, isto fará imposible o reenvío de portos na túa IP branca, polo que no Estado NAT de conexión, marca dstnat e un signo negativo. Isto permitiranos enviar tráfico de saída pola rede a través da VPN, pero aínda así reenviar portos a través da nosa IP branca.
A continuación, na pestana Acción, seleccione marcar enrutamento, nomee New Routing Mark para que nolo quede claro no futuro e continúe.
O mesmo comando:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Agora pasemos a protexer o DNS. Neste caso, cómpre crear dúas regras. Un para o enrutador, o outro para os dispositivos conectados ao enrutador.
Se usa o DNS integrado no enrutador, que fai o autor, tamén debe estar protexido. Polo tanto, para a primeira regra, como anteriormente, seleccionamos o preenrutamento en cadea, para a segunda, necesitamos seleccionar a saída.
A saída é unha cadea que o propio router usa para as solicitudes mediante a súa funcionalidade. Todo aquí é semellante a HTTP, protocolo UDP, porto 53.
Os mesmos comandos:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Construír unha ruta a través da VPN
Vaia a IP → Rutas e crea novas rutas.
Ruta para o enrutamento HTTP a través de VPN. Especifique o nome das nosas interfaces VPN e seleccione Marca de enrutamento.
Nesta fase, xa sentiches como o teu operador parou .
O mesmo comando:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
As regras para a protección DNS terán o mesmo aspecto, só tes que seleccionar a etiqueta desexada:
Aquí sentiches como deixaron de escoitar as túas consultas de DNS. Os mesmos comandos:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Ben, ao final, desbloquea Rutracker. Toda a subrede pertence a el, polo que se especifica a subrede.
Así de fácil foi recuperar Internet. Equipo:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Do mesmo xeito que co rastreador raíz, pode enrutar recursos corporativos e outros sitios bloqueados.
O autor espera que apreciarás a comodidade de acceder ao rastreador raíz e ao portal corporativo ao mesmo tempo sen quitarte o xersei.
Fonte: www.habr.com