Ebben a lépésről-lépésre szóló útmutatóban elmondom, hogyan állítsd be a Mikrotik-ot úgy, hogy a tiltott oldalak automatikusan megnyíljanak ezen a VPN-en keresztül, és elkerüld a tamburákkal való táncot: állítsd be egyszer, és minden működik.
A SoftEthert választottam VPN-nek: olyan egyszerű beállítani, mint és ugyanolyan gyorsan. A VPN-kiszolgáló oldalon engedélyeztem a Secure NAT-ot, más beállításokat nem állítottam be.
Alternatívaként az RRAS-t fontolgattam, de a Mikrotik nem tudja, hogyan kell vele dolgozni. A kapcsolat létrejött, a VPN működik, de a Mikrotik nem tudja fenntartani a kapcsolatot folyamatos újracsatlakozások és hibák nélkül a naplóban.
A beállítás az RB3011UiAS-RM példájával történt a 6.46.11-es firmware-verzión.
Most sorrendben, mit és miért.
1. Hozzon létre egy VPN-kapcsolatot
Természetesen a SoftEther, az előre megosztott kulccsal rendelkező L2TP-t választották VPN-megoldásnak. Ez a biztonsági szint bárki számára elegendő, mert csak a router és a tulajdonosa ismeri a kulcsot.
Lépjen az interfészek részhez. Először egy új felületet adunk hozzá, majd a felületre írjuk be az ip-t, a bejelentkezési nevet, a jelszót és a megosztott kulcsot. Kattintson az OK gombra.
Ugyanaz a parancs:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
A SoftEther az ipsec-javaslatok és az ipsec-profilok megváltoztatása nélkül fog működni, ezek beállítását nem fontolgatjuk, de a szerző minden esetre képernyőképeket hagyott a profiljairól.
Az RRAS esetében az IPsec-javaslatokban egyszerűen módosítsa a PFS-csoportot none értékre.
Most ennek a VPN-kiszolgálónak a NAT-ja mögé kell állnia. Ehhez az IP > Tűzfal > NAT menüpontba kell lépnünk.
Itt engedélyezzük a maszkolást egy adott vagy az összes PPP interfészhez. A szerző útválasztója egyszerre három VPN-hez csatlakozik, ezért ezt tettem:
Ugyanaz a parancs:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Szabályok hozzáadása a Mangle-hez
Az első dolog, amit természetesen szeretnék, az, hogy mindent megvédjek, ami a legértékesebb és legvédtelenebb, nevezetesen a DNS- és HTTP-forgalmat. Kezdjük a HTTP-vel.
Válassza az IP → Tűzfal → Mangle menüpontot, és hozzon létre egy új szabályt.
A Lánc szabályban válassza az Előútválasztás lehetőséget.
Ha a router előtt van Smart SFP vagy más router, és a webes felületen keresztül akarunk hozzá csatlakozni, akkor a Dst mezőben. A címet meg kell adnia annak IP-címét vagy alhálózatát, és negatív előjelet kell tennie, hogy ne alkalmazza a Mangle-t a címre vagy az alhálózatra. A szerző SFP GPON ONU-val rendelkezik bridge módban, így a szerző megtartotta a csatlakozás lehetőségét a webes felületéhez.
Alapértelmezés szerint a Mangle minden NAT-állapotra alkalmazza a szabályát, ez lehetetlenné teszi a fehér IP-címen keresztüli porttovábbítást, ezért a Connection NAT State-ben pipát teszünk a dstnat-ra és egy negatív előjelet. Ez lehetővé teszi számunkra, hogy kimenő forgalmat küldjünk a hálózaton keresztül a VPN-en keresztül, de továbbra is továbbítsuk a portokat a fehér IP-címünkön keresztül.
Ezután a Művelet lapon válassza ki az útválasztás megjelölését, nevezze el New Routing Mark-nak, hogy a jövőben egyértelmű legyen számunkra, és lépjen tovább.
Ugyanaz a parancs:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Most térjünk át a DNS-védelemre. Ebben az esetben két szabályt kell létrehoznia. Az egyik a routerhez, a másik a routerhez csatlakoztatott eszközökhöz.
Ha a routerbe épített DNS-t használod, amit a szerző is, akkor azt is védeni kell. Ezért az első szabályhoz, mint fent, a lánc előútvonalat választjuk, a másodikhoz pedig a kimenetet kell kiválasztanunk.
A kimenet az az áramkör, amelyet maga az útválasztó használ kérések lebonyolításához a funkcióinak használatával. Itt minden hasonló a HTTP-hez, UDP protokollhoz, 53-as porthoz.
Ugyanazok a parancsok:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Útvonal építése VPN-en keresztül
Válassza az IP → Útvonalak menüpontot, és hozzon létre új útvonalakat.
Útvonal a HTTP VPN-n keresztüli irányításához. Megjelenítjük VPN-interfészeink nevét, és kiválasztjuk az Útválasztási jelet.
Ebben a szakaszban már érezte, hogyan állt meg a kezelője .
Ugyanaz a parancs:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
A DNS-védelem szabályai pontosan ugyanúgy fognak kinézni, csak válassza ki a kívánt címkét:
Aztán érezte, hogy a DNS-kérelmeire nem hallgatnak többé. Ugyanazok a parancsok:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Nos, a végén oldjuk fel a Rutracker blokkolását. Az egész alhálózat az övé, tehát az alhálózat meg van adva.
Ilyen egyszerű volt visszaszerezni az internetet. Csapat:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Pontosan ugyanúgy, mint a gyökérkövetővel, irányíthatja a vállalati erőforrásokat és más blokkolt webhelyeket.
A szerző reméli, hogy értékelni fogja azt a kényelmet, amellyel egyszerre jelentkezhet be a root trackerbe és a vállalati portálba anélkül, hogy levenné a pulóverét.
Forrás: will.com