បិទអ៊ីនធឺណិតដោយប្រើ Mikrotik និង VPN៖ ការបង្រៀនលម្អិត

នៅក្នុងការណែនាំជាជំហានៗនេះ ខ្ញុំនឹងប្រាប់អ្នកពីរបៀបដំឡើង Mikrotik ដើម្បីឱ្យគេហទំព័រហាមឃាត់បើកដោយស្វ័យប្រវត្តិតាមរយៈ VPN នេះហើយអ្នកអាចជៀសវាងការរាំជាមួយ tambourines៖ ដំឡើងវាម្តង ហើយអ្វីៗដំណើរការ។

ខ្ញុំបានជ្រើសរើស SoftEther ជា VPN របស់ខ្ញុំ៖ វាងាយស្រួលរៀបចំដូច RRAS ហើយលឿនដូចគេ។ ខ្ញុំបានបើក Secure NAT នៅលើផ្នែកម៉ាស៊ីនមេ VPN មិនមានការកំណត់ផ្សេងទៀតត្រូវបានធ្វើឡើងទេ។

ខ្ញុំបានចាត់ទុក RRAS ជាជម្រើសមួយ ប៉ុន្តែ Mikrotik មិនដឹងពីរបៀបធ្វើការជាមួយវាទេ។ ការតភ្ជាប់ត្រូវបានបង្កើតឡើង VPN ដំណើរការ ប៉ុន្តែ Mikrotik មិនអាចរក្សាការតភ្ជាប់ដោយគ្មានការតភ្ជាប់ឡើងវិញថេរ និងកំហុសនៅក្នុងកំណត់ហេតុនោះទេ។

ការកំណត់ត្រូវបានធ្វើឡើងនៅលើឧទាហរណ៍នៃ RB3011UiAS-RM នៅលើកម្មវិធីបង្កប់កំណែ 6.46.11 ។
ឥឡូវនេះតាមលំដាប់លំដោយ អ្វី និងហេតុអ្វី។

1. ដំឡើងការភ្ជាប់ VPN

ជាដំណោះស្រាយ VPN ពិតណាស់ SoftEther, L2TP ដែលមានកូនសោដែលបានចែករំលែកជាមុនត្រូវបានជ្រើសរើស។ កម្រិតសុវត្ថិភាពនេះគឺគ្រប់គ្រាន់សម្រាប់នរណាម្នាក់ ព្រោះមានតែរ៉ោតទ័រ និងម្ចាស់របស់វាប៉ុណ្ណោះដែលដឹងពីសោរ។

ទៅកាន់ផ្នែកចំណុចប្រទាក់។ ដំបូងយើងបន្ថែមចំណុចប្រទាក់ថ្មីហើយបន្ទាប់មកយើងបញ្ចូល ip, ចូល, ពាក្យសម្ងាត់និងកូនសោដែលបានចែករំលែកទៅក្នុងចំណុចប្រទាក់។ ចុចយល់ព្រម។

ពាក្យបញ្ជាដូចគ្នា៖

/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"

SoftEther នឹងដំណើរការដោយមិនផ្លាស់ប្តូរសំណើ ipsec និងទម្រង់ ipsec យើងមិនគិតពីការកំណត់របស់ពួកគេទេ ប៉ុន្តែអ្នកនិពន្ធបានចាកចេញពីរូបថតអេក្រង់នៃទម្រង់របស់គាត់ នៅក្នុងករណី។

សម្រាប់ RRAS ក្នុង IPsec Proposals គ្រាន់តែប្តូរ PFS Group ទៅគ្មាន។

ឥឡូវអ្នកត្រូវឈរនៅពីក្រោយ NAT នៃម៉ាស៊ីនមេ VPN នេះ។ ដើម្បីធ្វើដូចនេះយើងត្រូវចូលទៅកាន់ IP > Firewall > NAT ។

នៅទីនេះយើងបើកដំណើរការ masquerade សម្រាប់ចំណុចប្រទាក់ PPP ជាក់លាក់ ឬទាំងអស់ រ៉ោតទ័ររបស់អ្នកនិពន្ធត្រូវបានភ្ជាប់ទៅ VPNs បីក្នុងពេលតែមួយ ដូច្នេះខ្ញុំបានធ្វើដូចនេះ៖

ពាក្យបញ្ជាដូចគ្នា៖

/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp

2. បន្ថែមច្បាប់ទៅ Mangle

ជាការពិតរឿងដំបូងដែលអ្នកចង់បានគឺការពារអ្វីគ្រប់យ៉ាងដែលមានតម្លៃបំផុត និងគ្មានការការពារ ពោលគឺចរាចរ DNS និង HTTP។ តោះចាប់ផ្តើមជាមួយ HTTP ។

ចូលទៅកាន់ IP → Firewall → Mangle ហើយបង្កើតច្បាប់ថ្មីមួយ។

នៅក្នុងច្បាប់ ខ្សែសង្វាក់ជ្រើសរើស Prerouting ។

ប្រសិនបើមាន Smart SFP ឬរ៉ោតទ័រផ្សេងទៀតនៅពីមុខរ៉ោតទ័រ ហើយអ្នកចង់ភ្ជាប់ទៅវាតាមរយៈចំណុចប្រទាក់បណ្ដាញនៅក្នុង Dst ។ អាស័យដ្ឋានត្រូវបញ្ចូលអាសយដ្ឋាន IP ឬបណ្តាញរងរបស់វា ហើយដាក់សញ្ញាអវិជ្ជមាន ដើម្បីមិនអនុវត្ត Mangle ទៅអាសយដ្ឋាន ឬបណ្តាញរងនោះ។ អ្នកនិពន្ធមាន SFP GPON ONU នៅក្នុងរបៀបស្ពាន ដូច្នេះអ្នកនិពន្ធរក្សាសមត្ថភាពក្នុងការភ្ជាប់ទៅ webmord របស់គាត់។

តាមលំនាំដើម Mangle នឹងអនុវត្តច្បាប់របស់វាចំពោះរដ្ឋ NAT ទាំងអស់ វានឹងធ្វើឱ្យការបញ្ជូនបន្តច្រកនៅលើ IP ពណ៌សរបស់អ្នកមិនអាចទៅរួច ដូច្នេះនៅក្នុងរដ្ឋ Connection NAT សូមពិនិត្យមើល dstnat និងសញ្ញាអវិជ្ជមាន។ វានឹងអនុញ្ញាតឱ្យយើងផ្ញើចរាចរចេញក្រៅបណ្តាញតាមរយៈ VPN ប៉ុន្តែនៅតែបញ្ជូនច្រកតាមរយៈ IP ពណ៌សរបស់យើង។

បន្ទាប់មក នៅលើផ្ទាំងសកម្មភាព ជ្រើសរើសការសម្គាល់ផ្លូវ កំណត់ឈ្មោះ New Routing Mark ដើម្បីឱ្យវាច្បាស់សម្រាប់យើងនាពេលអនាគត ហើយបន្តទៅមុខទៀត។

ពាក្យបញ្ជាដូចគ្នា៖

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80

ឥឡូវនេះសូមបន្តទៅការធានា DNS ។ ក្នុងករណីនេះអ្នកត្រូវបង្កើតច្បាប់ពីរ។ មួយសម្រាប់រ៉ោតទ័រ មួយទៀតសម្រាប់ឧបករណ៍ដែលភ្ជាប់ទៅរ៉ោតទ័រ។

ប្រសិនបើអ្នកប្រើ DNS ដែលបានបង្កើតឡើងនៅក្នុងរ៉ោតទ័រ ដែលអ្នកនិពន្ធធ្វើ វាក៏ត្រូវតែការពារផងដែរ។ ដូច្នេះហើយ សម្រាប់ច្បាប់ទីមួយ ដូចខាងលើ យើងជ្រើសរើស chain prerouting សម្រាប់ទីពីរ យើងត្រូវជ្រើសរើស output។

ទិន្នផលគឺជាខ្សែសង្វាក់ដែលរ៉ោតទ័រខ្លួនវាប្រើសម្រាប់ការស្នើសុំដោយប្រើមុខងាររបស់វា។ អ្វីគ្រប់យ៉ាងនៅទីនេះគឺស្រដៀងនឹង HTTP, UDP protocol, port 53។

ពាក្យបញ្ជាដូចគ្នា៖

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53

3. ការកសាងផ្លូវតាមរយៈ VPN

ចូលទៅកាន់ IP → Routes ហើយបង្កើតផ្លូវថ្មី។

ផ្លូវសម្រាប់ HTTP បញ្ជូនតាម VPN ។ បញ្ជាក់ឈ្មោះចំណុចប្រទាក់ VPN របស់យើង ហើយជ្រើសរើស Routing Mark ។

នៅដំណាក់កាលនេះ អ្នកបានដឹងពីរបៀបដែលប្រតិបត្តិកររបស់អ្នកបានឈប់ហើយ។ បង្កប់ការផ្សាយពាណិជ្ជកម្មនៅក្នុងចរាចរណ៍ HTTP របស់អ្នក។.

ពាក្យបញ្ជាដូចគ្នា៖

/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP

ច្បាប់សម្រាប់ការការពារ DNS នឹងមើលទៅដូចគ្នា គ្រាន់តែជ្រើសរើសស្លាកដែលចង់បាន៖

នៅទីនេះអ្នកមានអារម្មណ៍ពីរបៀបដែលសំណួរ DNS របស់អ្នកឈប់ស្តាប់។ ពាក្យបញ្ជាដូចគ្នា៖

/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router

ជាការប្រសើរណាស់, នៅទីបញ្ចប់, ដោះសោ Rutracker ។ បណ្តាញរងទាំងមូលជាកម្មសិទ្ធិរបស់គាត់ ដូច្នេះបណ្តាញរងត្រូវបានបញ្ជាក់។

នោះហើយជារបៀបដែលវាមានភាពងាយស្រួលក្នុងការទទួលបានអ៊ីនធឺណិតមកវិញ។ ក្រុម៖

/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org

តាមរបៀបដូចគ្នាទៅនឹងកម្មវិធីតាមដានឫស អ្នកអាចបញ្ជូនធនធានសាជីវកម្ម និងគេហទំព័រដែលត្រូវបានរារាំងផ្សេងទៀត។

អ្នកនិពន្ធសង្ឃឹមថាអ្នកនឹងពេញចិត្តក្នុងការស្តាប់ភាពងាយស្រួលនៃការចូលប្រើកម្មវិធីតាមដានឫស និងវិបផតថលសាជីវកម្មក្នុងពេលតែមួយដោយមិនចាំបាច់ដោះអាវយឺតរបស់អ្នក។

ប្រភព: www.habr.com