Dalam panduan langkah demi langkah ini, saya akan memberi tahu Anda cara menyiapkan Mikrotik sehingga situs terlarang terbuka secara otomatis melalui VPN ini dan Anda dapat menghindari menari dengan rebana: atur sekali dan semuanya berfungsi.
Saya memilih SoftEther sebagai VPN saya: mudah diatur dan sama cepatnya. Saya mengaktifkan NAT Aman di sisi server VPN, tidak ada pengaturan lain yang dibuat.
Saya menganggap RRAS sebagai alternatif, tetapi Mikrotik tidak tahu cara menggunakannya. Koneksi dibuat, VPN berfungsi, tetapi Mikrotik tidak dapat mempertahankan koneksi tanpa koneksi ulang yang konstan dan kesalahan dalam log.
Pengaturan dilakukan pada contoh RB3011UiAS-RM pada firmware versi 6.46.11.
Sekarang, secara berurutan, apa dan mengapa.
1. Siapkan koneksi VPN
Sebagai solusi VPN, tentu saja dipilih SoftEther, L2TP dengan kunci preshared. Tingkat keamanan ini cukup untuk siapa saja, karena hanya router dan pemiliknya yang mengetahui kuncinya.
Pergi ke bagian antarmuka. Pertama, kami menambahkan antarmuka baru, lalu kami memasukkan ip, login, kata sandi, dan kunci bersama ke antarmuka. Tekan OK.
Perintah yang sama:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther akan bekerja tanpa mengubah proposal ipsec dan profil ipsec, kami tidak mempertimbangkan konfigurasinya, tetapi penulis meninggalkan tangkapan layar profilnya, untuk berjaga-jaga.
Untuk RRAS di Proposal IPsec, ubah saja Grup PFS menjadi tidak ada.
Sekarang Anda harus berdiri di belakang NAT server VPN ini. Untuk melakukan ini, kita perlu pergi ke IP > Firewall > NAT.
Di sini kami mengaktifkan penyamaran untuk antarmuka PPP tertentu, atau semua. Perute penulis terhubung ke tiga VPN sekaligus, jadi saya melakukan ini:
Perintah yang sama:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Tambahkan Aturan ke Mangle
Hal pertama yang Anda inginkan tentu saja adalah melindungi semua yang paling berharga dan tidak berdaya, yaitu lalu lintas DNS dan HTTP. Mari kita mulai dengan HTTP.
Buka IP β Firewall β Mangle dan buat aturan baru.
Pada aturannya, Chain pilih Prerouting.
Jika ada Smart SFP atau router lain di depan router, dan Anda ingin menyambungkannya melalui antarmuka web, di Dst. Alamat harus memasukkan alamat IP atau subnetnya dan memberi tanda negatif untuk tidak menerapkan Mangle ke alamat atau ke subnet itu. Penulis memiliki SFP GPON ONU dalam mode bridge, sehingga penulis mempertahankan kemampuan untuk terhubung ke webmord-nya.
Secara default, Mangle akan menerapkan aturannya ke semua Negara NAT, ini akan membuat penerusan port pada IP putih Anda menjadi tidak mungkin, jadi di Negara Koneksi NAT, centang dstnat dan tanda negatif. Ini akan memungkinkan kami mengirim lalu lintas keluar melalui jaringan melalui VPN, tetapi masih meneruskan port melalui IP putih kami.
Selanjutnya, pada tab Tindakan, pilih tandai perutean, beri nama Tanda Perutean Baru agar jelas bagi kami di masa mendatang dan lanjutkan.
Perintah yang sama:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Sekarang mari beralih ke mengamankan DNS. Dalam hal ini, Anda perlu membuat dua aturan. Satu untuk router, yang lainnya untuk perangkat yang terhubung ke router.
Jika Anda menggunakan DNS bawaan di router, seperti yang dilakukan pembuatnya, itu juga harus dilindungi. Oleh karena itu, untuk aturan pertama, seperti di atas, kami memilih praperutean rantai, untuk yang kedua, kami perlu memilih keluaran.
Output adalah rantai yang digunakan router itu sendiri untuk permintaan menggunakan fungsinya. Semuanya di sini mirip dengan HTTP, protokol UDP, port 53.
Perintah yang sama:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Membangun rute melalui VPN
Buka IP β Rute dan buat rute baru.
Rute untuk perutean HTTP melalui VPN. Tentukan nama antarmuka VPN kami dan pilih Routing Mark.
Pada tahap ini, Anda sudah merasakan bagaimana operator Anda berhenti .
Perintah yang sama:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Aturan perlindungan DNS akan terlihat persis sama, cukup pilih label yang diinginkan:
Di sini Anda merasakan bagaimana kueri DNS Anda berhenti mendengarkan. Perintah yang sama:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Nah, pada akhirnya, buka kunci Rutracker. Seluruh subnet miliknya, jadi subnet ditentukan.
Betapa mudahnya untuk mendapatkan kembali Internet. Tim:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Dengan cara yang persis sama dengan pelacak root, Anda dapat merutekan sumber daya perusahaan dan situs lain yang diblokir.
Penulis berharap Anda akan menghargai kenyamanan mengakses root tracker dan portal perusahaan secara bersamaan tanpa melepas sweter Anda.
Sumber: www.habr.com