ביטול חסימת האינטרנט באמצעות Mikrotik ו-VPN: הדרכה מפורטת

במדריך שלב אחר שלב זה, אספר לכם כיצד להגדיר את Mikrotik כך שאתרים אסורים ייפתחו אוטומטית דרך ה-VPN הזה ותוכלו להימנע מריקוד עם טמבורינים: הגדר את זה פעם אחת והכל יעבוד.

בחרתי ב-SoftEther כ-VPN: קל להגדיר אותו RRAS ומהר באותה מידה. בצד שרת ה-VPN, הפעלתי את Secure NAT; לא בוצעו הגדרות אחרות.

שקלתי את RRAS כאלטרנטיבה, אבל מיקרוטיק לא יודע איך לעבוד איתה. החיבור נוצר, ה-VPN עובד, אך מיקרוטיק לא מצליחה לשמור על החיבור ללא חיבורים מתמידים ושגיאות ביומן.

ההגדרה בוצעה באמצעות הדוגמה של RB3011UiAS-RM בגרסת קושחה 6.46.11.
עכשיו, לפי הסדר, מה ולמה.

1. צור חיבור VPN

כמובן, SoftEther, L2TP עם מפתח משותף מראש, נבחר כפתרון VPN. רמת האבטחה הזו מספיקה לכל אחד, כי רק הנתב ובעליו יודעים את המפתח.

עבור לקטע ממשקים. ראשית, אנו מוסיפים ממשק חדש, ולאחר מכן מכניסים את ה-IP, הכניסה, הסיסמה והמפתח המשותף לממשק. לחץ על אישור.

אותה פקודה:

/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"

SoftEther יעבוד בלי לשנות את הצעות ipsec ופרופילי ipsec, אנחנו לא שוקלים להגדיר אותם, אבל המחבר השאיר צילומי מסך של הפרופילים שלו, ליתר ביטחון.

עבור RRAS בהצעות IPsec, פשוט שנה את קבוצת PFS ללא.

כעת עליך לעמוד מאחורי ה-NAT של שרת ה-VPN הזה. לשם כך עלינו לעבור אל IP > חומת אש > NAT.

כאן אנו מאפשרים מסכות עבור ממשקי PPP ספציפיים או כל. הנתב של המחבר מחובר לשלושה VPN בו זמנית, אז עשיתי את זה:

אותה פקודה:

/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp

2. הוסף כללים ל-Mangle

הדבר הראשון שאני רוצה, כמובן, הוא להגן על כל מה שהכי יקר וחסר הגנה, כלומר תעבורת DNS ו-HTTP. נתחיל עם HTTP.

עבור אל IP → חומת אש → Mangle וצור כלל חדש.

בכלל, שרשרת, בחר ניתוב מראש.

אם יש סמארט SFP או נתב אחר מול הנתב, וברצונכם להתחבר אליו דרך ממשק האינטרנט, בשדה Dst. כתובת אתה צריך להזין את כתובת ה-IP שלה או תת רשת ולשים סימן שלילי כדי לא להחיל Mangle על הכתובת או על תת רשת זו. למחבר יש SFP GPON ONU במצב גשר, כך שהמחבר שמר על היכולת להתחבר לממשק האינטרנט שלו.

כברירת מחדל, Mangle יחיל את הכלל שלו על כל מדינות ה-NAT, זה יהפוך את העברת הפורטים דרך ה-IP הלבן שלך לבלתי אפשרי, אז ב-Connection NAT State שמנו סימן ביקורת על dstnat וסימן שלילי. זה יאפשר לנו לשלוח תעבורה יוצאת דרך הרשת דרך ה-VPN, אבל עדיין להעביר יציאות דרך ה-IP הלבן שלנו.

לאחר מכן, בלשונית Action בחרו ב-mark routing, קראו לזה New Routing Mark כדי שזה יהיה ברור לנו בעתיד ותמשיכו הלאה.

אותה פקודה:

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80

כעת נעבור להגנת DNS. במקרה זה, עליך ליצור שני כללים. אחד לנתב, השני למכשירים המחוברים לנתב.

אם אתה משתמש ב-DNS המובנה בנתב, מה שעושה המחבר, הוא גם צריך להיות מוגן. לכן, עבור הכלל הראשון, כמו לעיל, אנו בוחרים ב-prerouting של שרשרת, עבור השני אנו צריכים לבחור פלט.

פלט הוא המעגל שבו משתמש הנתב עצמו כדי לבצע בקשות תוך שימוש בפונקציונליות שלו. הכל כאן דומה ל-HTTP, פרוטוקול UDP, יציאה 53.

אותן פקודות:

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53

3. בניית מסלול באמצעות VPN

עבור אל IP ← מסלולים וצור מסלולים חדשים.

מסלול לניתוב HTTP דרך VPN. אנו מציינים את השם של ממשקי ה-VPN שלנו ובוחרים סימון ניתוב.

בשלב זה כבר הרגשתם איך המפעיל שלכם נעצר להטמיע פרסום בתעבורת ה-HTTP שלך.

אותה פקודה:

/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP

הכללים להגנת DNS ייראו בדיוק אותו הדבר, פשוט בחר את התווית הרצויה:

ואז הרגשת איך בקשות ה-DNS שלך מפסיקות להאזין. אותן פקודות:

/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router

ובכן, בסופו של דבר, בואו נבטל את החסימה של Rutracker. רשת המשנה כולה שייכת לו, ולכן רשת המשנה מצוינת.

עד כדי כך קל היה להחזיר את האינטרנט שלך. קְבוּצָה:

/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org

בדיוק באותו אופן כמו עם מעקב שורש, אתה יכול לנתב משאבים ארגוניים ואתרים חסומים אחרים.

המחבר מקווה שתעריך את הנוחות של כניסה ל-Root Tracker ולפורטל הארגוני בו-זמנית מבלי להוריד את הסוודר.

מקור: www.habr.com