Di vê rêberê gav-bi-gav de, ez ê ji we re vebêjim ka meriv çawa Mikrotik saz dike da ku malperên qedexe bixweber bi riya vê VPN-ê vebin û hûn ji dansa bi tembûran dûr bixin: carekê saz bikin û her tişt dixebite.
Min SoftEther wekî VPN hilbijart: sazkirina wê ew qas hêsan e û bi heman lez. Li aliyê servera VPN, min Secure NAT çalak kir; tu mîhengên din nehatin çêkirin.
Min RRAS wekî alternatîfek dît, lê Mikrotik nizane bi wê re çawa bixebite. Têkilî hate saz kirin, VPN kar dike, lê Mikrotik nikare bêyî girêdanên domdar û xeletiyên di têketinê de pêwendiyê bidomîne.
Sazkirin bi mînaka RB3011UiAS-RM li ser guhertoya firmware 6.46.11 hate pêkanîn.
Niha, bi rêz, çi û çima.
1. Têkiliyek VPN saz bikin
Bê guman, SoftEther, L2TP bi mifteyek pêş-parvekirî, wekî çareseriyek VPN hate hilbijartin. Ev asta ewlehiyê ji her kesî re bes e, ji ber ku tenê router û xwediyê wê mifteyê dizanin.
Biçe beşa pêwendiyan. Pêşîn, em navgînek nû lê zêde dikin, û dûv re ip, têketin, şîfre û mifteya hevpar têkevin navberê. ok bikirtînin.
Heman ferman:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther dê bêyî guheztina pêşniyarên ipsec û profîlên ipsec bixebite, em nafikirin ku wan saz bikin, lê nivîskar dîmenên profîlên xwe hiştin, tenê di rewşê de.
Ji bo RRAS di Pêşniyarên IPsec de, tenê Koma PFS-ê biguhezînin tune.
Naha hûn hewce ne ku li pişt NAT-a vê servera VPN-ê bisekinin. Ji bo vê yekê divê em biçin IP> Firewall> NAT.
Li vir em masquerade ji bo navbeynek taybetî an hemî PPP çalak dikin. Routera nivîskar yekcar bi sê VPN ve girêdayî ye, ji ber vê yekê min ev kir:
Heman ferman:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Zêdekirina qaîdeyên ji bo Mangle
Yekem tiştê ku ez dixwazim, bê guman, ev e ku ez her tiştê ku herî bi nirx û bêparastin e, ango seyrûsefera DNS û HTTP biparêze. Ka em bi HTTP dest pê bikin.
Biçe IP → Firewall → Mangle û qaîdeyek nû biafirîne.
Di qaîdeyê de, Zincîre, Prerouting hilbijêrin.
Ger li ber routerê Smart SFP an rêwerzek din hebe, û hûn dixwazin bi navbeynkariya webê, di qada Dst de, pê ve girêbidin. Navnîşan pêdivî ye ku hûn navnîşana IP-ya wê an jêrtora wê têkevin û nîşanek neyînî deynin da ku hûn Mangle li navnîşan an li ser vê jêrtorê bicîh nekin. Nivîskar di moda pirê de SFP GPON ONU heye, ji ber vê yekê nivîskar şiyana girêdana bi navbeynkariya xweya webê ve girêdide.
Ji hêla xwerû, Mangle dê qaîdeya xwe li hemî Dewletên NAT-ê bicîh bîne, ev ê şandina portê li ser IP-ya weya spî ne mumkun bike, ji ber vê yekê di Dewleta NAT-a Girêdanê de em nîşanek li ser dstnat û nîşanek neyînî danîn. Ev ê bihêle ku em seyrûsefera derketinê li ser torê bi navgîniya VPN bişînin, lê dîsa jî bi navgîniya IP-ya xweya spî porta bişînin.
Dûv re, li ser tabloya Çalakiyê, rêça nîşankirinê hilbijêrin, jê re bibêjin Nîşana Rêvekirina Nû, da ku ew ê di pêşerojê de ji me re zelal bibe û bi pêş ve biçin.
Heman ferman:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Naha em biçin ser parastina DNS. Di vê rewşê de, hûn hewce ne ku du rêbazan çêbikin. Yek ji bo routerê, ya din ji bo cîhazên ku bi routerê ve girêdayî ne.
Ger hûn DNS-ya ku di nav routerê de hatî çêkirin bikar bînin, ya ku nivîskar dike, ew jî pêdivî ye ku were parastin. Ji ber vê yekê, ji bo qaîdeya yekem, wekî li jor, em pêşdibistanên zincîrê hilbijêrin, ji bo ya duyemîn jî em hewce ne ku derketinê hilbijêrin.
Derket çerxa ku router bixwe bikar tîne da ku bi karanîna fonksiyona xwe daxwaz bike. Her tişt li vir mîna HTTP, protokola UDP, port 53 ye.
Heman ferman:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Avakirina rêyek bi rêya VPN
Herin IP → Routes û rêyên nû biafirînin.
Rêya ji bo rêvekirina HTTP li ser VPN. Em navê navberên xwe yên VPN destnîşan dikin û Nîşana Rêvekirinê hilbijêrin.
Di vê qonaxê de, we berê hîs kir ku operatorê we çawa rawestiyaye .
Heman ferman:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Rêgezên ji bo parastina DNS dê tam heman xuya bikin, tenê etîketa xwestî hilbijêrin:
Dûv re we hîs kir ku çawa daxwazên weyên DNS nayên guhdarî kirin. Heman ferman:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Welê, di dawiyê de, em Rutracker vekin. Tevahiya subnet aîdî wî ye, ji ber vê yekê subnet tête diyar kirin.
Bi vî rengî ew qas hêsan bû ku hûn înterneta xwe vegerînin. Kom:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Bi tam bi heman rengî wekî bi şopgerek root re, hûn dikarin çavkaniyên pargîdanî û malperên din ên astengkirî rêve bibin.
Nivîskar hêvî dike ku hûn ê rehetiya têketina nav şopînerê root û portala pargîdanî di heman demê de bêyî ku şûjina xwe ji holê rakin teqdîr bikin.
Source: www.habr.com