このステップバイステップのガイドでは、禁止されたサイトがこの VPN 経由で自動的に開き、タンバリンを持って踊ることを避けることができるように、Mikrotik をセットアップする方法を説明します。一度セットアップすれば、すべてが機能します。
私は VPN として SoftEther を選択しました。セットアップはとても簡単です。 そして同じくらい速いです。 VPN サーバー側で Secure NAT を有効にしました。その他の設定は何も行いませんでした。
代替手段として RRAS を検討しましたが、Mikrotik はそれをどのように操作すればよいのかわかりません。 接続は確立され、VPN は機能しますが、Mikrotik は定期的な再接続とログのエラーなしでは接続を維持できません。
ファームウェアバージョン3011のRB6.46.11UiAS-RMを例に設定しました。
さて、順番に、何を、そしてなぜ。
1. VPN接続をセットアップする
VPN ソリューションとしては、もちろん SoftEther、事前共有キーを使用した L2TP が選択されました。 キーを知っているのはルーターとその所有者だけであるため、このレベルのセキュリティは誰にとっても十分です。
インターフェースセクションに移動します。 まず、新しいインターフェイスを追加し、次にそのインターフェイスに IP、ログイン、パスワード、共有キーを入力します。 「OK」を押します。
同じコマンド:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther は ipsec プロポーザルと ipsec プロファイルを変更しなくても動作します。私たちはそれらの設定を考慮しませんが、作者は念のためにプロファイルのスクリーンショットを残しました。
IPsec プロポーザルの RRAS の場合は、PFS グループを none に変更するだけです。
次に、この VPN サーバーの NAT の背後に立つ必要があります。 これを行うには、[IP] > [ファイアウォール] > [NAT] に移動する必要があります。
ここでは、特定またはすべての PPP インターフェイスのマスカレードを有効にします。 著者のルーターは同時に XNUMX つの VPN に接続しているので、次のようにしました。
同じコマンド:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2.マングルにルールを追加する
もちろん、最初に望むことは、最も価値があり無防備なもの、つまり DNS と HTTP トラフィックをすべて保護することです。 HTTP から始めましょう。
「IP」→「ファイアウォール」→「マングル」に移動し、新しいルールを作成します。
ルールで、「チェーン」で「Prerouting」を選択します。
ルーターの前にスマート SFP または別のルーターがあり、Web インターフェイス経由でそれに接続したい場合は、Dst. アドレスには、その IP アドレスまたはサブネットを入力し、アドレスまたはそのサブネットに Mangle を適用しないようにマイナス記号を付ける必要があります。 著者は SFP GPON ONU をブリッジ モードで使用しているため、ウェブモールドに接続する機能を保持していました。
デフォルトでは、Mangle はそのルールをすべての NAT 状態に適用します。これにより、白い IP でのポート転送が不可能になります。そのため、接続 NAT 状態で、dstnat と負符号を確認してください。 これにより、VPN 経由でネットワーク上にアウトバウンド トラフィックを送信できるようになりますが、ホワイト IP 経由でポートを転送することもできます。
次に、[アクション] タブで、マーク ルーティングを選択し、将来的にわかりやすいように [新しいルーティング マーク] という名前を付けて次に進みます。
同じコマンド:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
次に、DNS の保護に移りましょう。 この場合、XNUMX つのルールを作成する必要があります。 XNUMX つはルーター用で、もう XNUMX つはルーターに接続されているデバイス用です。
著者もそうしているように、ルーターに組み込まれた DNS を使用する場合は、それも保護する必要があります。 したがって、最初のルールでは、上記のようにチェーンの事前ルーティングを選択し、XNUMX 番目のルールでは出力を選択する必要があります。
出力は、ルーター自体がその機能を使用してリクエストに使用するチェーンです。 ここでのすべては、HTTP、UDP プロトコル、ポート 53 に似ています。
同じコマンド:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. VPN経由のルートの構築
「IP」→「ルート」に移動し、新しいルートを作成します。
VPN 経由の HTTP ルーティングのルート。 VPN インターフェイスの名前を指定し、[ルーティング マーク] を選択します。
この段階で、オペレーターがどのように停止したかをすでに感じています。 .
同じコマンド:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
DNS 保護のルールはまったく同じように見えますが、目的のラベルを選択するだけです。
ここで、DNS クエリがリッスンしなくなったことを感じました。 同じコマンド:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
さて、最終的には Rutracker のロックを解除します。 サブネット全体が彼のものであるため、サブネットが指定されます。
それほど簡単にインターネットを取り戻すことができたのです。 チーム:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
ルート トラッカーとまったく同じ方法で、企業リソースやその他のブロックされたサイトをルーティングできます。
著者は、セーターを脱がずにルート トラッカーと企業ポータルに同時にアクセスできる利便性を理解していただけることを願っています。
出所: habr.com