In questa guida passo passo, ti dirò come configurare Mikrotik in modo che i siti proibiti si aprano automaticamente attraverso questa VPN e tu possa evitare di ballare con i tamburelli: configuralo una volta e tutto funziona.
Ho scelto SoftEther come mia VPN: è facile da configurare come e altrettanto veloce. Ho abilitato Secure NAT sul lato server VPN, non sono state effettuate altre impostazioni.
Ho considerato RRAS come un'alternativa, ma Mikrotik non sa come lavorarci. La connessione è stabilita, la VPN funziona, ma Mikrotik non può mantenere una connessione senza continue riconnessioni ed errori nel registro.
L'impostazione è stata eseguita sull'esempio di RB3011UiAS-RM nella versione firmware 6.46.11.
Ora, in ordine, cosa e perché.
1. Configurare una connessione VPN
Come soluzione VPN, ovviamente, è stato scelto SoftEther, L2TP con una chiave precondivisa. Questo livello di sicurezza è sufficiente per chiunque, perché solo il router e il suo proprietario conoscono la chiave.
Vai alla sezione interfacce. Innanzitutto, aggiungiamo una nuova interfaccia, quindi inseriamo ip, login, password e chiave condivisa nell'interfaccia. Premere OK.
Stesso comando:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther funzionerà senza modificare le proposte ipsec e i profili ipsec, non consideriamo la loro configurazione, ma l'autore ha lasciato screenshot dei suoi profili, per ogni evenienza.
Per RRAS nelle proposte IPsec, basta modificare il gruppo PFS su nessuno.
Ora devi stare dietro il NAT di questo server VPN. Per fare questo, dobbiamo andare su IP > Firewall > NAT.
Qui abilitiamo il mascheramento per una specifica o per tutte le interfacce PPP. Il router dell'autore è connesso a tre VPN contemporaneamente, quindi ho fatto questo:
Stesso comando:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Aggiungi regole a Mangle
La prima cosa che vuoi, ovviamente, è proteggere tutto ciò che è più prezioso e indifeso, vale a dire il traffico DNS e HTTP. Iniziamo con HTTP.
Vai su IP → Firewall → Mangle e crea una nuova regola.
Nella regola Catena scegli Prerouting.
Se è presente uno Smart SFP o un altro router davanti al router e si desidera connettersi tramite l'interfaccia web, nel Dst. L'indirizzo deve inserire il proprio indirizzo IP o sottorete e mettere un segno negativo per non applicare Mangle all'indirizzo o a quella sottorete. L'autore ha SFP GPON ONU in modalità bridge, quindi l'autore ha mantenuto la possibilità di connettersi al suo webmord.
Per impostazione predefinita, Mangle applicherà la sua regola a tutti gli stati NAT, questo renderà impossibile il port forwarding sul tuo IP bianco, quindi nello stato NAT della connessione, controlla dstnat e un segno negativo. Ciò ci consentirà di inviare il traffico in uscita sulla rete tramite la VPN, ma inoltrare comunque le porte tramite il nostro IP bianco.
Successivamente, nella scheda Azione, seleziona contrassegna instradamento, denomina Nuovo indicatore di instradamento in modo che sia chiaro per noi in futuro e vai avanti.
Stesso comando:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Ora passiamo alla protezione del DNS. In questo caso, è necessario creare due regole. Uno per il router, l'altro per i dispositivi collegati al router.
Se usi il DNS integrato nel router, cosa che fa l'autore, anche questo deve essere protetto. Pertanto, per la prima regola, come sopra, selezioniamo il chain prerouting, per la seconda dobbiamo selezionare l'output.
L'output è una catena che il router stesso utilizza per le richieste utilizzando la sua funzionalità. Tutto qui è simile a HTTP, protocollo UDP, porta 53.
Gli stessi comandi:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Costruire un percorso tramite VPN
Vai su IP → Percorsi e crea nuovi percorsi.
Percorso per il routing HTTP su VPN. Specifica il nome delle nostre interfacce VPN e seleziona Routing Mark.
In questa fase, hai già sentito come il tuo operatore si è fermato .
Stesso comando:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Le regole per la protezione DNS saranno esattamente le stesse, basta selezionare l'etichetta desiderata:
Qui hai sentito come le tue query DNS hanno smesso di ascoltare. Gli stessi comandi:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Bene, alla fine, sblocca Rutracker. L'intera sottorete gli appartiene, quindi la sottorete è specificata.
È stato così facile riavere Internet. Squadra:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Esattamente come con il root tracker, puoi indirizzare le risorse aziendali e altri siti bloccati.
L'autore spera che apprezzerete la comodità di accedere contemporaneamente al root tracker e al portale aziendale senza togliervi il maglione.
Fonte: habr.com