मिकरोटिक और वीपीएन के साथ इंटरनेट अनब्लॉक करें: विस्तृत ट्यूटोरियल

इस चरण-दर-चरण मार्गदर्शिका में, मैं आपको बताऊंगा कि मिकरोटिक को कैसे सेट किया जाए ताकि प्रतिबंधित साइटें इस वीपीएन के माध्यम से स्वचालित रूप से खुल जाएं और आप टैम्बोरिन के साथ नृत्य करने से बच सकें: इसे एक बार सेट करें और सब कुछ काम करेगा।

मैंने सॉफ्टईथर को वीपीएन के रूप में चुना: इसे स्थापित करना उतना ही आसान है आरआरएएस और उतनी ही तेजी से. वीपीएन सर्वर साइड पर, मैंने सिक्योर NAT सक्षम किया; कोई अन्य सेटिंग नहीं की गई।

मैंने आरआरएएस को एक विकल्प के रूप में माना, लेकिन मिकरोटिक नहीं जानता कि इसके साथ कैसे काम किया जाए। कनेक्शन स्थापित हो गया है, वीपीएन काम करता है, लेकिन मिकरोटिक लगातार पुन: कनेक्शन और लॉग में त्रुटियों के बिना कनेक्शन बनाए रखने में असमर्थ है।

फर्मवेयर संस्करण 3011 पर RB6.46.11UiAS-RM के उदाहरण का उपयोग करके सेटअप किया गया था।
अब, क्रम में, क्या और क्यों।

1. एक वीपीएन कनेक्शन स्थापित करें

बेशक, पूर्व-साझा कुंजी के साथ SoftEther, L2TP को वीपीएन समाधान के रूप में चुना गया था। सुरक्षा का यह स्तर किसी के लिए भी पर्याप्त है, क्योंकि केवल राउटर और उसके मालिक को ही कुंजी पता होती है।

इंटरफ़ेस अनुभाग पर जाएँ. सबसे पहले, हम एक नया इंटरफ़ेस जोड़ते हैं, और फिर इंटरफ़ेस में आईपी, लॉगिन, पासवर्ड और साझा कुंजी दर्ज करते हैं। ओके पर क्लिक करें।

वही आदेश:

/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"

सॉफ्टईथर, आईपीएससी प्रस्तावों और आईपीएससी प्रोफाइल को बदले बिना काम करेगा, हम उन्हें स्थापित करने पर विचार नहीं कर रहे हैं, लेकिन लेखक ने, शायद, अपनी प्रोफाइल के स्क्रीनशॉट छोड़ दिए हैं।

IPsec प्रस्तावों में RRAS के लिए, बस PFS समूह को कोई नहीं में बदलें।

अब आपको इस वीपीएन सर्वर के NAT के पीछे खड़ा होना होगा। ऐसा करने के लिए हमें IP > फ़ायरवॉल > NAT पर जाना होगा।

यहां हम एक विशिष्ट या सभी पीपीपी इंटरफेस के लिए बहाना सक्षम करते हैं। लेखक का राउटर एक साथ तीन वीपीएन से जुड़ा है, इसलिए मैंने यह किया:

वही आदेश:

/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp

2. मैंगल में नियम जोड़ें

निस्संदेह, पहली चीज़ जो मैं चाहता हूँ, वह है उन सभी चीज़ों की सुरक्षा करना जो सबसे मूल्यवान और रक्षाहीन हैं, अर्थात् DNS और HTTP ट्रैफ़िक। चलिए HTTP से शुरू करते हैं।

आईपी ​​→ फ़ायरवॉल → मैंगल पर जाएं और एक नया नियम बनाएं।

नियम, चेन में, प्रीरूटिंग का चयन करें।

यदि राउटर के सामने स्मार्ट एसएफपी या कोई अन्य राउटर है, और आप इसे वेब इंटरफेस के माध्यम से कनेक्ट करना चाहते हैं, तो डीएसटी फ़ील्ड में। पता आपको इसका आईपी पता या सबनेट दर्ज करना होगा और एक नकारात्मक चिह्न लगाना होगा ताकि पते या इस सबनेट पर मैंगल लागू न हो। लेखक के पास ब्रिज मोड में एक एसएफपी जीपीओएन ओएनयू है, इसलिए लेखक ने अपने वेब इंटरफेस से जुड़ने की क्षमता बरकरार रखी है।

डिफ़ॉल्ट रूप से, मैंगल अपने नियम को सभी NAT राज्यों पर लागू करेगा, इससे आपके सफेद आईपी पर पोर्ट अग्रेषण असंभव हो जाएगा, इसलिए कनेक्शन NAT राज्य में हम dstnat पर एक चेकमार्क और एक नकारात्मक चिह्न लगाते हैं। यह हमें वीपीएन के माध्यम से नेटवर्क पर आउटगोइंग ट्रैफ़िक भेजने की अनुमति देगा, लेकिन फिर भी हमारे सफेद आईपी के माध्यम से पोर्ट को अग्रेषित करेगा।

इसके बाद, एक्शन टैब पर, मार्क रूटिंग का चयन करें, इसे न्यू रूटिंग मार्क कहें ताकि यह भविष्य में हमारे लिए स्पष्ट हो और आगे बढ़ें।

वही आदेश:

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80

अब चलिए DNS सुरक्षा पर चलते हैं। इस मामले में, आपको दो नियम बनाने होंगे. एक राउटर के लिए, दूसरा राउटर से जुड़े उपकरणों के लिए।

यदि आप राउटर में निर्मित डीएनएस का उपयोग करते हैं, जो लेखक करता है, तो इसे भी संरक्षित करने की आवश्यकता है। इसलिए, पहले नियम के लिए, जैसा कि ऊपर बताया गया है, हम चेन प्रीरूटिंग का चयन करते हैं, दूसरे के लिए हमें आउटपुट का चयन करने की आवश्यकता है।

आउटपुट वह सर्किट है जिसका उपयोग राउटर स्वयं अपनी कार्यक्षमता का उपयोग करके अनुरोध करने के लिए करता है। यहां सब कुछ HTTP, UDP प्रोटोकॉल, पोर्ट 53 के समान है।

वही आदेश:

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53

3. वीपीएन के माध्यम से मार्ग बनाना

आईपी ​​→ रूट पर जाएं और नए रूट बनाएं।

वीपीएन पर HTTP को रूट करने के लिए रूट। हम अपने वीपीएन इंटरफेस का नाम दर्शाते हैं और रूटिंग मार्क का चयन करते हैं।

इस स्तर पर, आप पहले ही महसूस कर चुके हैं कि आपका ऑपरेटर कैसे रुक गया है अपने HTTP ट्रैफ़िक में विज्ञापन एम्बेड करें.

वही आदेश:

/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP

DNS सुरक्षा के नियम बिल्कुल समान दिखेंगे, बस वांछित लेबल का चयन करें:

तब आपको महसूस हुआ कि कैसे आपके DNS अनुरोधों को सुना जाना बंद हो गया। वही आदेश:

/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router

खैर, अंत में, आइए रट्रैकर को अनब्लॉक करें। संपूर्ण सबनेट उसका है, इसलिए सबनेट निर्दिष्ट है।

अपना इंटरनेट वापस पाना कितना आसान था। टीम:

/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org

ठीक उसी तरह जैसे रूट ट्रैकर के साथ, आप कॉर्पोरेट संसाधनों और अन्य अवरुद्ध साइटों को रूट कर सकते हैं।

लेखक को उम्मीद है कि आप अपना स्वेटर उतारे बिना एक ही समय में रूट ट्रैकर और कॉर्पोरेट पोर्टल में लॉग इन करने की सुविधा की सराहना करेंगे।

स्रोत: www.habr.com