Nan gid etap-pa-etap sa a, m ap di w kouman pou w tabli Mikrotik pou sit entèdi yo louvri otomatikman atravè VPN sa a epi ou ka evite danse ak tanbourin: mete l kanpe yon fwa epi tout bagay ap mache.
Mwen te chwazi SoftEther kòm yon VPN: li se osi fasil pou mete sou pye tankou ak menm jan vit. Sou bò sèvè VPN, mwen te pèmèt Secure NAT; pa gen okenn lòt paramèt.
Mwen konsidere RRAS kòm yon altènatif, men Mikrotik pa konnen ki jan yo travay avèk li. Koneksyon an etabli, VPN a ap travay, men Mikrotik pa kapab kenbe koneksyon an san rekoneksyon konstan ak erè nan boutèy la.
Te konfigirasyon an te pote soti lè l sèvi avèk egzanp lan nan RB3011UiAS-RM sou firmwèr vèsyon 6.46.11.
Koulye a, nan lòd, ki sa ak poukisa.
1. Etabli yon koneksyon VPN
Natirèlman, SoftEther, L2TP ak yon kle pre-pataje, te chwazi kòm yon solisyon VPN. Nivo sekirite sa a ase pou nenpòt moun, paske se sèlman routeur la ak pwopriyetè li ki konnen kle a.
Ale nan seksyon interfaces. Premyèman, nou ajoute yon nouvo koòdone, ak Lè sa a, antre nan ip, login, modpas ak kle pataje nan koòdone a. Klike ok.
Menm kòmandman an:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther pral travay san yo pa chanje pwopozisyon ipsec ak pwofil ipsec, nou pa ap konsidere mete kanpe yo, men otè a kite Ekran nan pwofil li yo, jis nan ka.
Pou RRAS nan Pwopozisyon IPsec, jis chanje Gwoup PFS a okenn.
Koulye a, ou bezwen kanpe dèyè NAT a nan sèvè VPN sa a. Pou fè sa nou bezwen ale nan IP > Firewall > NAT.
Isit la nou pèmèt Masquerade pou yon espesifik oswa tout koòdone PPP. Routeur otè a konekte ak twa VPN alafwa, se konsa mwen te fè sa:
Menm kòmandman an:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Ajoute règ nan Mangle
Premye bagay mwen vle, nan kou, se pwoteje tout bagay ki gen plis valè ak san defans, sètadi DNS ak HTTP trafik. Ann kòmanse ak HTTP.
Ale nan IP → Firewall → Mangle epi kreye yon nouvo règ.
Nan règ la, Chèn, chwazi Prerouting.
Si gen yon Smart SFP oswa yon lòt routeur devan routeur la, epi ou vle konekte ak li atravè koòdone entènèt la, nan jaden an Dst. Adrès ou bezwen antre adrès IP li oswa subnet epi mete yon siy negatif pou pa aplike Mangle nan adrès la oswa nan subnet sa a. Otè a gen yon SFP GPON ONU nan mòd pon, kidonk otè a kenbe kapasite pou konekte ak koòdone entènèt li.
Pa default, Mangle pral aplike règ li a nan tout eta NAT, sa a pral fè transmisyon pò sou IP blan ou enposib, kidonk nan Koneksyon NAT Eta nou mete yon mak sou dstnat ak yon siy negatif. Sa a pral pèmèt nou voye trafik sòtan sou rezo a atravè VPN a, men yo toujou voye pò nan IP blan nou an.
Apre sa, sou tab la Aksyon, chwazi make routage, rele li New Routing Mark pou ke li pral klè pou nou nan tan kap vini an epi kontinye.
Menm kòmandman an:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Koulye a, ann ale nan pwoteksyon DNS. Nan ka sa a, ou bezwen kreye de règ. Youn pou routeur la, lòt la pou aparèy ki konekte ak routeur la.
Si ou itilize dns ki te konstwi nan routeur a, ki otè a fè, li tou bezwen pou pwoteje. Se poutèt sa, pou premye règ la, tankou pi wo a, nou chwazi chèn prerouting, pou dezyèm lan nou bezwen chwazi pwodiksyon an.
Sòti se kous la ke routeur la tèt li itilize pou fè demann lè l sèvi avèk fonksyonalite li yo. Tout bagay isit la sanble ak HTTP, pwotokòl UDP, pò 53.
Menm kòmandman yo:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Bati yon wout atravè VPN
Ale nan IP → Wout epi kreye nouvo wout.
Wout pou routage HTTP sou VPN. Nou endike non koòdone VPN nou yo epi chwazi Mak routage.
Nan etap sa a, ou te deja santi ki jan operatè ou te sispann .
Menm kòmandman an:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Règ yo pou pwoteksyon DNS ap gade egzakteman menm jan an, jis chwazi etikèt la vle:
Lè sa a, ou te santi kijan demann DNS ou te sispann koute. Menm kòmandman yo:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Oke, nan fen a, ann debloke Rutracker. Tout sous-rezo a se pou li, kidonk se sou-rezo a espesifye.
Se konsa li te fasil pou jwenn entènèt ou tounen. Ekip:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Nan egzakteman menm jan ak yon tracker rasin, ou ka wout resous antrepriz ak lòt sit bloke.
Otè a espere ke ou pral apresye konvenyans nan antre nan tracker la rasin ak pòtal la antrepriz an menm tan an san yo pa wete chanday ou.
Sous: www.habr.com