Այս քայլ առ քայլ ուղեցույցում ես ձեզ կասեմ, թե ինչպես կարգավորել Mikrotik-ը, որպեսզի արգելված կայքերը ավտոմատ կերպով բացվեն այս VPN-ի միջոցով, և դուք կարողանաք խուսափել դափերի հետ պարելուց. կարգավորեք այն մեկ անգամ և ամեն ինչ աշխատում է:
Ես ընտրեցի SoftEther-ը որպես VPN. այն նույնքան հեշտ է տեղադրել, որքան
Ես RRAS-ը համարում էի այլընտրանք, բայց Mikrotik-ը չգիտի, թե ինչպես աշխատել դրա հետ: Կապը հաստատված է, VPN-ն աշխատում է, բայց Mikrotik-ը չի կարողանում կապը պահպանել առանց մշտական վերամիացումների և գրանցամատյանում սխալների։
Կարգավորումն իրականացվել է RB3011UiAS-RM-ի օրինակով 6.46.11 որոնվածի տարբերակում:
Հիմա, ըստ հերթականության, ինչ և ինչու:
1. Ստեղծեք VPN կապ
Իհարկե, որպես VPN լուծում ընտրվել է SoftEther-ը՝ L2TP-ը՝ նախապես համօգտագործվող բանալիով։ Անվտանգության այս մակարդակը բավարար է ցանկացածի համար, քանի որ միայն երթուղիչն ու դրա սեփականատերը գիտեն բանալին:
Գնացեք միջերեսների բաժին: Սկզբում մենք ավելացնում ենք նոր ինտերֆեյս, այնուհետև ինտերֆեյսի մեջ մուտքագրում ենք ip-ն, լոգինը, գաղտնաբառը և ընդհանուր բանալին: Սեղմեք լավ:
Նույն հրամանը.
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther-ը կաշխատի առանց ipsec առաջարկների և ipsec պրոֆիլների փոփոխության, մենք չենք քննարկում դրանք կարգավորելու հնարավորությունը, բայց հեղինակը թողել է իր պրոֆիլների սքրինշոթները, ամեն դեպքում:
IPsec առաջարկների RRAS-ի համար պարզապես փոխեք PFS Group-ը ոչ մեկի:
Այժմ դուք պետք է կանգնեք այս VPN սերվերի NAT-ի հետևում: Դա անելու համար մենք պետք է գնանք IP > Firewall > NAT:
Այստեղ մենք միացնում ենք դիմակահանդեսը հատուկ կամ բոլոր PPP միջերեսների համար: Հեղինակի երթուղիչը միացված է միանգամից երեք VPN-ի, ուստի ես արեցի սա.
Նույն հրամանը.
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Ավելացնել կանոններ Mangle-ում
Առաջին բանը, որ ես ուզում եմ, իհարկե, այն է, որ պաշտպանեմ այն ամենն, ինչ ամենաթանկն ու անպաշտպան է, այն է՝ DNS և HTTP տրաֆիկը: Սկսենք HTTP-ից:
Գնացեք IP → Firewall → Mangle և ստեղծեք նոր կանոն:
Կանոնում Chain ընտրեք Prerouting:
Եթե երթուղիչի դիմաց կա Smart SFP կամ այլ երթուղիչ, և դուք ցանկանում եք միանալ դրան վեբ ինտերֆեյսի միջոցով՝ Dst դաշտում։ Հասցե դուք պետք է մուտքագրեք դրա IP հասցեն կամ ենթացանցը և դրեք բացասական նշան, որպեսզի չկիրառեք Mangle հասցեին կամ այս ենթացանցին: Հեղինակն ունի SFP GPON ONU կամրջային ռեժիմում, ուստի հեղինակը պահպանել է իր վեբ ինտերֆեյսին միանալու հնարավորությունը:
Լռելյայնորեն, Mangle-ը կկիրառի իր կանոնը բոլոր NAT պետությունների վրա, դա անհնարին կդարձնի նավահանգիստների վերահասցեավորումը ձեր սպիտակ IP-ի միջոցով, ուստի Connection NAT State-ում մենք դնում ենք ստուգման նշան dstnat-ի վրա և բացասական նշան: Սա թույլ կտա մեզ ուղարկել ելքային տրաֆիկ ցանցի միջոցով VPN-ի միջոցով, բայց դեռևս փոխանցել նավահանգիստները մեր սպիտակ IP-ի միջոցով:
Հաջորդը «Գործողություն» ներդիրում ընտրեք նշանի երթուղում, այն անվանեք «Նոր երթուղի» նշան, որպեսզի ապագայում մեզ համար պարզ լինի և շարունակենք:
Նույն հրամանը.
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Այժմ եկեք անցնենք DNS պաշտպանությանը: Այս դեպքում դուք պետք է ստեղծեք երկու կանոն. Մեկը երթուղիչի համար, մյուսը՝ երթուղիչին միացված սարքերի համար:
Եթե դուք օգտագործում եք երթուղիչի մեջ ներկառուցված DNS, ինչը հեղինակն է անում, այն նույնպես պետք է պաշտպանված լինի: Հետևաբար, առաջին կանոնի համար, ինչպես վերևում, մենք ընտրում ենք շղթայի նախնական երթևեկում, երկրորդի համար մենք պետք է ընտրենք ելքը:
Արդյունքը այն շղթան է, որը երթուղիչն ինքն է օգտագործում իր ֆունկցիոնալությամբ հարցումներ կատարելու համար: Այստեղ ամեն ինչ նման է HTTP-ին, UDP արձանագրությանը, 53-րդ պորտին:
Նույն հրամանները.
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. VPN-ի միջոցով երթուղու կառուցում
Գնացեք IP → Routes և ստեղծեք նոր երթուղիներ:
VPN-ի միջոցով HTTP-ն ուղղորդելու երթուղի: Մենք նշում ենք մեր VPN ինտերֆեյսի անվանումը և ընտրում ենք Routing Mark:
Այս փուլում դուք արդեն զգացել եք, թե ինչպես է ձեր օպերատորը կանգ առել
Նույն հրամանը.
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
DNS պաշտպանության կանոնները միանգամայն նույն տեսք կունենան, պարզապես ընտրեք ցանկալի պիտակը.
Հետո զգացիք, թե ինչպես ձեր DNS հարցումները դադարեցին լսել: Նույն հրամանները.
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Դե, ի վերջո, եկեք ապաշրջափակենք Rutracker-ը: Ամբողջ ենթացանցը պատկանում է նրան, ուստի ենթացանցը նշված է:
Ահա թե որքան հեշտ էր վերադարձնել ձեր ինտերնետը: Թիմ:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Ճիշտ նույն ձևով, ինչպես արմատային թրեյքերով, դուք կարող եք ուղղորդել կորպորատիվ ռեսուրսները և այլ արգելափակված կայքերը:
Հեղինակը հուսով է, որ դուք կգնահատեք root tracker և կորպորատիվ պորտալ միաժամանակ մուտք գործելու հարմարավետությունը՝ առանց ձեր սվիտերը հանելու:
Source: www.habr.com