U ovom vodiču korak po korak reći ću vam kako postaviti Mikrotik da se preko ovog VPN-a automatski otvaraju zabranjene stranice i da izbjegnete ples s tamburašima: postavite jednom i sve radi.
Izabrao sam SoftEther kao svoj VPN: jednostavno ga je postaviti kao i jednako brzo. Omogućio sam Secure NAT na strani VPN poslužitelja, nikakve druge postavke nisu napravljene.
Razmatrao sam RRAS kao alternativu, ali Mikrotik ne zna raditi s njim. Veza je uspostavljena, VPN radi, ali Mikrotik ne može održavati vezu bez stalnih rekonektiranja i grešaka u logu.
Postavka je napravljena na primjeru RB3011UiAS-RM na verziji firmvera 6.46.11.
Sad po redu što i zašto.
1. Postavite VPN vezu
Kao VPN rješenje, naravno, odabran je SoftEther, L2TP s preshared ključem. Ova razina sigurnosti je dovoljna za svakoga, jer samo ruter i njegov vlasnik znaju ključ.
Idite na odjeljak sučelja. Prvo dodamo novo sučelje, a zatim u sučelje unesemo ip, prijavu, lozinku i zajednički ključ. Pritisnite ok.
Ista naredba:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther će raditi bez mijenjanja ipsec prijedloga i ipsec profila, ne uzimamo u obzir njihovu konfiguraciju, ali autor je ostavio snimke zaslona svojih profila, za svaki slučaj.
Za RRAS u IPsec prijedlozima samo promijenite PFS grupu u ništa.
Sada morate stajati iza NAT-a ovog VPN poslužitelja. Da bismo to učinili, moramo otići na IP > Vatrozid > NAT.
Ovdje omogućujemo maskenbal za određena ili sva PPP sučelja. Autorov router spojen je na tri VPN-a odjednom, pa sam napravio ovo:
Ista naredba:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Dodajte pravila u Mangle
Prva stvar koju želite, naravno, je zaštititi sve ono što je najvrjednije i bespomoćno, naime DNS i HTTP promet. Počnimo s HTTP-om.
Idite na IP → Vatrozid → Mangle i kreirajte novo pravilo.
U pravilu, Lanac odaberite Preusmjeravanje.
Ako se ispred routera nalazi Smart SFP ili neki drugi router, a na njega se želite spojiti preko web sučelja, u Dst. Adresa mora unijeti svoju IP adresu ili podmrežu i staviti negativan predznak da se Mangle ne primijeni na adresu ili na tu podmrežu. Autor ima SFP GPON ONU u bridge modu, tako da je autor zadržao mogućnost spajanja na svoj webmord.
Prema zadanim postavkama, Mangle će primijeniti svoje pravilo na sva NAT stanja, to će onemogućiti prosljeđivanje porta na vaš bijeli IP, stoga u Connection NAT State označite dstnat i negativni predznak. To će nam omogućiti slanje izlaznog prometa preko mreže putem VPN-a, ali i dalje prosljeđivanje portova kroz naš bijeli IP.
Zatim na kartici Action izaberemo mark routing, imenujemo New Routing Mark da nam bude jasno u budućnosti i idemo dalje.
Ista naredba:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Sada prijeđimo na osiguranje DNS-a. U ovom slučaju morate stvoriti dva pravila. Jedan za ruter, drugi za uređaje spojene na ruter.
Ako koristite DNS ugrađen u ruter, što autor radi, on također mora biti zaštićen. Stoga, za prvo pravilo, kao gore, odabiremo lančano predusmjeravanje, za drugo moramo odabrati izlaz.
Izlaz je lanac koji sam router koristi za zahtjeve koristeći svoju funkcionalnost. Ovdje je sve slično HTTP-u, UDP protokol, port 53.
Iste naredbe:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Izgradnja rute kroz VPN
Idite na IP → Rute i kreirajte nove rute.
Ruta za HTTP usmjeravanje preko VPN-a. Navedite naziv naših VPN sučelja i odaberite Routing Mark.
U ovoj ste fazi već osjetili kako se vaš operater zaustavio .
Ista naredba:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Pravila za DNS zaštitu izgledat će potpuno isto, samo odaberite željenu oznaku:
Ovdje ste osjetili kako su vaši DNS upiti prestali slušati. Iste naredbe:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Pa, na kraju, otključajte Rutracker. Cijela podmreža pripada njemu, pa je podmreža navedena.
Tako je lako bilo vratiti internet. Tim:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Na točno isti način kao i s root trackerom, možete usmjeravati korporativne resurse i druga blokirana mjesta.
Autor se nada da ćete cijeniti praktičnost pristupa root trackeru i korporativnom portalu u isto vrijeme bez skidanja džempera.
Izvor: www.habr.com