Nesta guía paso a paso, vouche dicir como configurar Mikrotik para que os sitios prohibidos se abran automaticamente a través desta VPN e poidas evitar bailar con pandeiretas: configúrao unha vez e todo funciona.
Escollín SoftEther como a miña VPN: é tan fácil de configurar como
Considerei RRAS como unha alternativa, pero Mikrotik non sabe como traballar con el. Establécese a conexión, a VPN funciona, pero Mikrotik non pode manter unha conexión sen conexións constantes e erros no rexistro.
A configuración realizouse no exemplo de RB3011UiAS-RM na versión de firmware 6.46.11.
Agora, en orde, que e por que.
1. Configure unha conexión VPN
Como solución VPN, por suposto, escolleuse SoftEther, L2TP cunha clave previamente compartida. Este nivel de seguridade é suficiente para calquera, porque só o enrutador e o seu propietario coñecen a chave.
Vaia á sección de interfaces. En primeiro lugar, engadimos unha nova interface e, a continuación, introducimos ip, inicio de sesión, contrasinal e chave compartida na interface. Preme ok.
O mesmo comando:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther funcionará sen cambiar as propostas ipsec e os perfís ipsec, non consideramos a súa configuración, pero o autor deixou capturas de pantalla dos seus perfís, por se acaso.
Para RRAS en propostas IPsec, simplemente cambie o grupo PFS a ningún.
Agora debes estar detrás do NAT deste servidor VPN. Para iso, necesitamos ir a IP > Firewall > NAT.
Aquí activamos a mascarada para unhas interfaces PPP específicas ou todas. O enrutador do autor está conectado a tres VPN á vez, así que fixen isto:
O mesmo comando:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Engade regras a Mangle
O primeiro que queres, por suposto, é protexer todo o que é máis valioso e indefenso, é dicir, o tráfico DNS e HTTP. Comecemos por HTTP.
Vaia a IP → Firewall → Mangle e crea unha nova regra.
Na regra, Chain escolla Prerouting.
Se hai un Smart SFP ou outro enrutador diante do enrutador, e quere conectarse a el a través da interface web, no Dst. O enderezo debe introducir o seu enderezo IP ou subrede e poñer un signo negativo para non aplicar Mangle ao enderezo ou a esa subrede. O autor ten SFP GPON ONU en modo ponte, polo que o autor mantivo a posibilidade de conectarse ao seu webmord.
De forma predeterminada, Mangle aplicará a súa regra a todos os estados NAT, isto fará imposible o reenvío de portos na túa IP branca, polo que no Estado NAT de conexión, marca dstnat e un signo negativo. Isto permitiranos enviar tráfico de saída pola rede a través da VPN, pero aínda así reenviar portos a través da nosa IP branca.
A continuación, na pestana Acción, seleccione marcar enrutamento, nomee New Routing Mark para que nolo quede claro no futuro e continúe.
O mesmo comando:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Agora pasemos a protexer o DNS. Neste caso, cómpre crear dúas regras. Un para o enrutador, o outro para os dispositivos conectados ao enrutador.
Se usa o DNS integrado no enrutador, que fai o autor, tamén debe estar protexido. Polo tanto, para a primeira regra, como anteriormente, seleccionamos o preenrutamento en cadea, para a segunda, necesitamos seleccionar a saída.
A saída é unha cadea que o propio router usa para as solicitudes mediante a súa funcionalidade. Todo aquí é semellante a HTTP, protocolo UDP, porto 53.
Os mesmos comandos:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Construír unha ruta a través da VPN
Vaia a IP → Rutas e crea novas rutas.
Ruta para o enrutamento HTTP a través de VPN. Especifique o nome das nosas interfaces VPN e seleccione Marca de enrutamento.
Nesta fase, xa sentiches como o teu operador parou
O mesmo comando:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
As regras para a protección DNS terán o mesmo aspecto, só tes que seleccionar a etiqueta desexada:
Aquí sentiches como deixaron de escoitar as túas consultas de DNS. Os mesmos comandos:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Ben, ao final, desbloquea Rutracker. Toda a subrede pertence a el, polo que se especifica a subrede.
Así de fácil foi recuperar Internet. Equipo:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Do mesmo xeito que co rastreador raíz, pode enrutar recursos corporativos e outros sitios bloqueados.
O autor espera que apreciarás a comodidade de acceder ao rastreador raíz e ao portal corporativo ao mesmo tempo sen quitarte o xersei.
Fonte: www.habr.com