Í þessari skref-fyrir-skref handbók mun ég segja þér hvernig á að setja upp Mikrotik þannig að bannaðar síður séu opnaðar sjálfkrafa í gegnum þetta VPN og þú getur forðast að dansa með bumbum: settu það upp einu sinni og allt virkar.
Ég valdi SoftEther sem VPN: það er eins auðvelt að setja það upp og og jafn hratt. Á VPN netþjóninum kveikti ég á Secure NAT; engar aðrar stillingar voru gerðar.
Ég leit á RRAS sem valkost, en Mikrotik veit ekki hvernig á að vinna með það. Tengingin er komin á, VPN virkar, en Mikrotik getur ekki viðhaldið tengingunni án sífelldra endurtenginga og villna í skránni.
Uppsetningin var framkvæmd með því að nota dæmið um RB3011UiAS-RM á vélbúnaðarútgáfu 6.46.11.
Nú, í röð, hvað og hvers vegna.
1. Komdu á VPN-tengingu
Auðvitað var SoftEther, L2TP með fyrirfram deilt lykli, valið sem VPN lausn. Þetta öryggisstig er nóg fyrir hvern sem er, því aðeins beininn og eigandi hans vita lykilinn.
Farðu í tengihlutann. Fyrst bætum við við nýju viðmóti og sláum síðan inn ip, innskráningu, lykilorði og sameiginlegum lykil inn í viðmótið. Smelltu á ok.
Sama skipun:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther mun virka án þess að breyta ipsec tillögum og ipsec prófílum, við erum ekki að íhuga að setja þá upp, en höfundurinn skildi eftir skjáskot af prófílunum sínum, svona til öryggis.
Fyrir RRAS í IPsec tillögur, breyttu bara PFS Group í engan.
Nú þarftu að standa á bak við NAT þessa VPN netþjóns. Til að gera þetta þurfum við að fara í IP> Firewall> NAT.
Hér virkum við grímugerð fyrir tiltekið eða öll PPP tengi. Bein höfundar er tengd við þrjú VPN í einu, svo ég gerði þetta:
Sama skipun:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Bættu reglum við Mangle
Það fyrsta sem ég vil auðvitað er að vernda allt sem er verðmætast og varnarlaust, nefnilega DNS og HTTP umferð. Byrjum á HTTP.
Farðu í IP → Firewall → Mangle og búðu til nýja reglu.
Í reglunni, Keðja, veldu Prerouting.
Ef það er Smart SFP eða annar beini fyrir framan beininn og þú vilt tengjast honum í gegnum vefviðmótið, í Dst reitnum. Heimilisfang sem þú þarft að slá inn IP-tölu þess eða undirnet og setja neikvætt merki til að nota Mangle ekki á heimilisfangið eða þetta undirnet. Höfundur er með SFP GPON ONU í brúarstillingu, þannig að höfundur hélt möguleikanum á að tengjast vefviðmótinu sínu.
Sjálfgefið mun Mangle beita reglunni sinni á öll NAT ríki, þetta mun gera áframsendingu hafna yfir hvíta IP þinn ómögulega, þannig að í Connection NAT State setjum við hak við dstnat og neikvætt merki. Þetta gerir okkur kleift að senda út umferð um netið í gegnum VPN, en samt áframsenda höfn í gegnum hvíta IP okkar.
Næst skaltu á Action flipanum velja merkja leið, kalla það Nýtt leiðarmerki svo það verði okkur ljóst í framtíðinni og haldið áfram.
Sama skipun:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Nú skulum við halda áfram í DNS vernd. Í þessu tilviki þarftu að búa til tvær reglur. Annar fyrir beininn, hinn fyrir tæki sem tengd eru við beininn.
Ef þú notar DNS sem er innbyggt í beininn, sem höfundur gerir, þarf líka að vernda það. Þess vegna, fyrir fyrstu regluna, eins og hér að ofan, veljum við keðjuforleiðingu, fyrir þá seinni þurfum við að velja framleiðsla.
Framleiðsla er hringrásin sem beininn sjálfur notar til að gera beiðnir með því að nota virkni þess. Allt hér er svipað og HTTP, UDP samskiptareglur, höfn 53.
Sömu skipanir:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Byggja leið í gegnum VPN
Farðu í IP → Leiðir og búðu til nýjar leiðir.
Leið til að beina HTTP yfir VPN. Við tilgreinum heiti VPN viðmóta okkar og veljum leiðarmerki.
Á þessu stigi hefur þú þegar fundið hvernig símafyrirtækið þitt hefur hætt .
Sama skipun:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Reglurnar fyrir DNS vernd munu líta nákvæmlega eins út, veldu bara viðeigandi merki:
Þá fannst þér hvernig DNS beiðnir þínar hættu að hlusta á. Sömu skipanir:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Jæja, á endanum skulum við opna Rutracker. Allt undirnetið tilheyrir honum, þannig að undirnetið er tilgreint.
Svo auðvelt var að fá internetið þitt aftur. Lið:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Á nákvæmlega sama hátt og með rót rekja spor einhvers geturðu beint fyrirtækjaauðlindum og öðrum læstum síðum.
Höfundur vonast til að þú kunnir að meta þægindin við að skrá þig inn á rótarsporið og fyrirtækjagáttina á sama tíma án þess að fara úr peysunni.
Heimild: www.habr.com