Mikrotik 및 VPN으로 인터넷 차단 해제: 자세한 자습서

이 단계별 가이드에서는 이 VPN을 통해 금지된 사이트가 자동으로 열리고 탬버린과 춤추는 것을 피할 수 있도록 Mikrotik을 설정하는 방법을 알려드립니다. 한 번 설정하면 모든 것이 작동합니다.

VPN으로 SoftEther를 선택했습니다. RRAS 그리고 빨리. VPN 서버 측에서 보안 NAT를 활성화했으며 다른 설정은 하지 않았습니다.

RRAS를 대안으로 생각했지만 Mikrotik은 RRAS로 작업하는 방법을 모릅니다. 연결이 설정되고 VPN이 작동하지만 Mikrotik은 지속적인 재연결과 로그 오류 없이는 연결을 유지할 수 없습니다.

설정은 펌웨어 버전 3011의 RB6.46.11UiAS-RM 예제에서 이루어졌습니다.
이제 순서대로 무엇을 왜.

1. VPN 연결 설정

VPN 솔루션으로는 당연히 SoftEther, 사전 공유 키가 있는 L2TP가 선택되었습니다. 라우터와 소유자만이 키를 알고 있기 때문에 이 수준의 보안은 누구에게나 충분합니다.

인터페이스 섹션으로 이동합니다. 먼저 새 인터페이스를 추가한 다음 인터페이스에 ip, 로그인, 암호 및 공유 키를 입력합니다. 확인을 누릅니다.

같은 명령:

/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"

SoftEther는 ipsec 제안 및 ipsec 프로필을 변경하지 않고 작동하며 구성을 고려하지 않지만 작성자는 자신의 프로필 스크린샷을 남겼습니다.

IPsec 제안의 RRAS의 경우 PFS 그룹을 없음으로 변경하기만 하면 됩니다.

이제 이 VPN 서버의 NAT 뒤에 서 있어야 합니다. 이렇게 하려면 IP > 방화벽 > NAT로 이동해야 합니다.

여기에서 특정 또는 모든 PPP 인터페이스에 대해 마스커레이드를 활성화합니다. 저자의 라우터는 한 번에 세 개의 VPN에 연결되어 있으므로 다음과 같이 했습니다.

같은 명령:

/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp

2. Mangle에 규칙 추가

물론 가장 먼저 원하는 것은 가장 가치 있고 무방비 상태인 모든 것, 즉 DNS 및 HTTP 트래픽을 보호하는 것입니다. HTTP부터 시작하겠습니다.

IP → Firewall → Mangle로 이동하여 새 규칙을 만듭니다.

규칙에서 Chain은 Prerouting을 선택합니다.

라우터 앞에 Smart SFP 또는 다른 라우터가 있고 웹 인터페이스를 통해 연결하려는 경우 Dst. 주소는 IP 주소 또는 서브넷을 입력하고 주소 또는 해당 서브넷에 Mangle을 적용하지 않으려면 음수 부호를 입력해야 합니다. 작성자는 브리지 모드에서 SFP GPON ONU를 가지고 있으므로 작성자는 자신의 웹 모드에 연결할 수 있는 기능을 유지했습니다.

기본적으로 Mangle은 모든 NAT 상태에 규칙을 적용하므로 흰색 IP에서 포트 포워딩이 불가능하므로 연결 NAT 상태에서 dstnat 및 음수 부호를 확인하십시오. 이렇게 하면 VPN을 통해 네트워크를 통해 아웃바운드 트래픽을 보낼 수 있지만 여전히 흰색 IP를 통해 포트를 전달할 수 있습니다.

다음으로 작업 탭에서 표시 라우팅을 선택하고 새 라우팅 표시로 이름을 지정하여 나중에 명확하게 표시하고 계속 진행합니다.

같은 명령:

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80

이제 DNS 보안으로 넘어 갑시다. 이 경우 두 가지 규칙을 만들어야 합니다. 하나는 라우터용이고 다른 하나는 라우터에 연결된 장치용입니다.

작성자가 하는 라우터에 내장된 DNS를 사용하는 경우에도 보호되어야 합니다. 따라서 첫 번째 규칙의 경우 위와 같이 체인 프리라우팅을 선택하고 두 번째 규칙의 경우 출력을 선택해야 합니다.

출력은 라우터 자체가 기능을 사용하여 요청에 사용하는 체인입니다. 여기의 모든 것은 HTTP, UDP 프로토콜, 포트 53과 유사합니다.

동일한 명령:

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53

3. VPN을 통한 경로 구축

IP → 경로로 이동하여 새 경로를 만듭니다.

VPN을 통한 HTTP 라우팅을 위한 경로. VPN 인터페이스의 이름을 지정하고 라우팅 표시를 선택합니다.

이 단계에서 운영자가 어떻게 멈췄는지 이미 느꼈습니다. HTTP 트래픽에 광고 삽입.

같은 명령:

/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP

DNS 보호 규칙은 정확히 동일하게 보입니다. 원하는 레이블을 선택하기만 하면 됩니다.

여기에서 DNS 쿼리가 수신을 중지하는 방법을 느꼈습니다. 동일한 명령:

/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router

글쎄, 결국 Rutracker를 잠금 해제하십시오. 전체 서브넷이 그에게 속하므로 서브넷이 지정됩니다.

인터넷을 다시 얻는 것이 얼마나 쉬웠는지입니다. 팀:

/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org

루트 트래커와 동일한 방식으로 회사 리소스 및 기타 차단된 사이트를 라우팅할 수 있습니다.

저자는 당신이 스웨터를 벗지 않고 루트 트래커와 기업 포털에 동시에 액세스할 수 있는 편리함을 높이 평가하기를 바랍니다.

출처 : habr.com