Бұл қадамдық нұсқаулықта тыйым салынған сайттар осы VPN арқылы автоматты түрде ашылатын және сіз бубенмен билеуден аулақ болу үшін Микротикті қалай орнату керектігін айтамын: оны бір рет орнатыңыз және бәрі жұмыс істейді.
Мен VPN ретінде SoftEther таңдадым: оны орнату оңай және дәл солай жылдам. Мен VPN сервер жағында Secure NAT қостым, басқа параметрлер жасалмады.
Мен RRAS балама ретінде қарастырдым, бірақ Микротик онымен қалай жұмыс істеу керектігін білмейді. Байланыс орнатылды, VPN жұмыс істейді, бірақ Микротик тұрақты қайта қосылмай және журналдағы қателерсіз қосылымды сақтай алмайды.
Параметр 3011 микробағдарлама нұсқасындағы RB6.46.11UiAS-RM мысалында жасалды.
Енді, ретімен, не және неге.
1. VPN қосылымын орнатыңыз
VPN шешімі ретінде, әрине, SoftEther, алдын ала ортақ кілті бар L2TP таңдалды. Қауіпсіздіктің бұл деңгейі кез келген адам үшін жеткілікті, себебі кілтті тек маршрутизатор мен оның иесі ғана біледі.
Интерфейстер бөліміне өтіңіз. Алдымен біз жаңа интерфейсті қосамыз, содан кейін интерфейске IP, логин, пароль және ортақ кілт енгіземіз. OK түймесін басыңыз.
Бірдей пәрмен:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther ipsec ұсыныстарын және ipsec профильдерін өзгертпей жұмыс істейді, біз олардың конфигурациясын қарастырмаймыз, бірақ автор өз профильдерінің скриншоттарын қалдырды.
IPsec ұсыныстарындағы RRAS үшін PFS тобын ешқайсысына өзгертіңіз.
Енді сіз осы VPN серверінің NAT артында тұруыңыз керек. Ол үшін IP > Firewall > NAT тармағына өтуіміз керек.
Мұнда біз белгілі бір немесе барлық PPP интерфейстері үшін маскарадты қосамыз. Автордың маршрутизаторы бірден үш VPN желісіне қосылған, сондықтан мен мұны істедім:
Бірдей пәрмен:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Mangle бағдарламасына ережелерді қосыңыз
Әрине, ең бірінші қажет нәрсе - ең құнды және қорғансыз барлық нәрсені, атап айтқанда DNS және HTTP трафигін қорғау. HTTP арқылы бастайық.
IP → Брандмауэр → Mangle тармағына өтіп, жаңа ереже жасаңыз.
Ережеде Chain Алдын ала бағыттауды таңдайды.
Маршрутизатордың алдында Smart SFP немесе басқа маршрутизатор болса және оған веб-интерфейс арқылы қосылғыңыз келсе, Dst. Мекенжай өзінің IP мекенжайын немесе ішкі желіні енгізіп, мекенжайға немесе сол ішкі желіге Mangle қолданбау үшін теріс белгі қоюы керек. Автордың көпір режимінде SFP GPON ONU бар, сондықтан автор өзінің веб-мордына қосылу мүмкіндігін сақтап қалды.
Әдепкі бойынша, Mangle өз ережесін барлық NAT күйлеріне қолданады, бұл сіздің ақ IP мекенжайыңыздағы портты қайта жіберуді мүмкін емес етеді, сондықтан қосылым NAT күйінде dstnat және теріс белгіні тексеріңіз. Бұл VPN арқылы желі арқылы шығыс трафикті жіберуге мүмкіндік береді, бірақ әлі де ақ IP арқылы порттарды жібереді.
Әрі қарай, «Әрекет» қойындысында бағдарлауды белгілеу опциясын таңдап, болашақта бізге түсінікті болу үшін Жаңа маршруттау белгісін атаңыз және әрі қарай жылжытыңыз.
Бірдей пәрмен:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Енді DNS-ті қорғауға көшейік. Бұл жағдайда сіз екі ережені жасауыңыз керек. Біреуі маршрутизаторға, екіншісі маршрутизаторға қосылған құрылғыларға арналған.
Егер сіз автор жасайтын маршрутизаторға орнатылған DNS-ті пайдалансаңыз, ол да қорғалуы керек. Сондықтан, бірінші ереже үшін, жоғарыдағыдай, біз тізбекті алдын ала бағыттауды таңдаймыз, екіншісі үшін шығысты таңдау керек.
Шығару - маршрутизатордың өзі функционалдығын пайдаланып сұраулар үшін пайдаланатын тізбек. Мұнда барлығы HTTP, UDP протоколы, 53 портына ұқсас.
Бірдей пәрмендер:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. VPN арқылы маршрут құру
IP → Маршруттар тармағына өтіп, жаңа маршруттар жасаңыз.
VPN арқылы HTTP бағыттау маршруты. VPN интерфейстеріміздің атын көрсетіңіз және Маршрутизация белгісін таңдаңыз.
Осы кезеңде сіз өзіңіздің операторыңыздың қалай тоқтағанын сездіңіз .
Бірдей пәрмен:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
DNS қорғау ережелері дәл солай көрінеді, жай ғана қажетті белгіні таңдаңыз:
Мұнда сіз DNS сұрауларыңыз тыңдауды тоқтатқанын сездіңіз. Бірдей пәрмендер:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Соңында Rutracker құлпын ашыңыз. Бүкіл ішкі желі оған тиесілі, сондықтан ішкі желі көрсетіледі.
Интернетті қайтару оңай болды. Команда:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Түбірлік трекер сияқты, сіз корпоративтік ресурстарды және басқа блокталған сайттарды бағыттай аласыз.
Автор жемпіріңізді шешпей-ақ, түбірлік трекер мен корпоративтік порталға бір уақытта қол жеткізудің ыңғайлылығын бағалайсыз деп үміттенеді.
Ақпарат көзі: www.habr.com