Ing pandhuan langkah-langkah iki, aku bakal menehi pitutur marang kowe carane nyiyapake Mikrotik supaya situs sing dilarang dibukak kanthi otomatis liwat VPN iki lan sampeyan ora bisa nari nganggo rebana: nyetel sepisan lan kabeh bisa digunakake.
Aku milih SoftEther minangka VPN: iku gampang kanggo nyiyapake minangka lan kaya cepet. Ing sisih server VPN, aku ngaktifake Secure NAT; ora ana setelan liyane sing digawe.
Aku dianggep RRAS minangka alternatif, nanging Mikrotik ora ngerti carane bisa karo. Sambungan ditetepake, VPN bisa digunakake, nanging Mikrotik ora bisa njaga sambungan tanpa reconnections pancet lan kasalahan ing log.
Persiyapan ditindakake kanthi nggunakake conto RB3011UiAS-RM ing versi firmware 6.46.11.
Saiki, ing urutan, apa lan ngapa.
1. Nggawe sambungan VPN
Mesthi, SoftEther, L2TP kanthi kunci sing wis dienggo bareng, dipilih minangka solusi VPN. Tingkat keamanan iki cukup kanggo sapa wae, amarga mung router lan pemilik sing ngerti kunci kasebut.
Pindhah menyang bagean antarmuka. Kaping pisanan, kita nambah antarmuka anyar, banjur ketik ip, login, sandhi lan tombol bareng menyang antarmuka. Klik ok.
Prentah sing padha:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther bakal bisa tanpa ngganti usulan-usulan ipsec lan profil ipsec, kita ora nimbang nyetel munggah, nanging penulis ninggalake gambar saka profil, mung ing kasus.
Kanggo RRAS ing Proposal IPsec, mung ganti PFS Group dadi ora ana.
Saiki sampeyan kudu ngadeg ing mburi NAT server VPN iki. Kanggo nindakake iki, kita kudu pindhah menyang IP> Firewall> NAT.
Ing kene kita ngaktifake masquerade kanggo antarmuka PPP tartamtu utawa kabeh. Router penulis disambungake menyang telung VPN bebarengan, mula aku nindakake iki:
Prentah sing padha:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Tambah aturan kanggo Mangle
Wangsulan: Bab ingkang pisanan aku pengin, mesthi, kanggo nglindhungi kabeh sing paling larang regane lan defenseless, yaiku DNS lan lalu lintas HTTP. Ayo dadi miwiti karo HTTP.
Pindhah menyang IP β Firewall β Mangle lan gawe aturan anyar.
Ing aturan, Chain, pilih Prerouting.
Yen ana Smart SFP utawa dalan liyane ing ngarepe dalan, lan sampeyan pengin nyambung menyang liwat antarmuka web, ing lapangan Dst. Alamat sampeyan kudu ngetik alamat IP utawa subnet lan sijine tandha negatif supaya ora kanggo aplikasi Mangle kanggo alamat utawa subnet iki. Penulis duwe SFP GPON ONU ing mode bridge, mula penulis nduweni kemampuan kanggo nyambung menyang antarmuka web.
Kanthi gawan, Mangle bakal ngetrapake aturan kasebut ing kabeh Negara NAT, iki bakal nggawe port forwarding liwat IP putih sampeyan ora mungkin, mula ing Connection NAT State kita menehi tandha tandha ing dstnat lan tandha negatif. Iki bakal ngidini kita ngirim lalu lintas metu liwat jaringan liwat VPN, nanging isih nerusake port liwat IP putih kita.
Sabanjure, ing tab Tindakan, pilih nuntun tandha, nyebat Tandha Rute Anyar supaya bisa jelas kanggo kita ing mangsa ngarep lan terusake.
Prentah sing padha:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Saiki ayo pindhah menyang proteksi DNS. Ing kasus iki, sampeyan kudu nggawe rong aturan. Siji kanggo router, liyane kanggo piranti sing disambungake menyang router.
Yen sampeyan nggunakake DNS sing dibangun ing router, sing ditindakake dening penulis, uga kudu direksa. Mulane, kanggo aturan pisanan, kaya ing ndhuwur, kita milih chain prerouting, kanggo kaloro kita kudu milih output.
Output yaiku sirkuit sing digunakake router dhewe kanggo nggawe panjalukan nggunakake fungsine. Kabeh ing kene padha karo HTTP, protokol UDP, port 53.
Prentah sing padha:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Mbangun rute liwat VPN
Pindhah menyang IP β Rute lan gawe rute anyar.
Rute kanggo nuntun HTTP liwat VPN. Kita nuduhake jeneng antarmuka VPN lan pilih Routing Mark.
Ing tahap iki, sampeyan wis ngrasakake kepiye operator sampeyan mandheg .
Prentah sing padha:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Aturan kanggo proteksi DNS bakal katon persis padha, mung pilih label sing dikarepake:
Banjur sampeyan rumangsa kepiye panjaluk DNS sampeyan mandheg dirungokake. Prentah sing padha:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Inggih, ing pungkasan, ayo mbukak blokir Rutracker. Kabeh subnet duweke dheweke, mula subnet kasebut ditemtokake.
Semono uga gampang kanggo njaluk internet maneh. Tim:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Kanthi cara sing padha karo tracker root, sampeyan bisa ngarahake sumber daya perusahaan lan situs liyane sing diblokir.
Penulis ngarep-arep supaya sampeyan bisa ngormati kenyamanan mlebu menyang root tracker lan portal perusahaan ing wektu sing padha tanpa njupuk sweter sampeyan.
Source: www.habr.com