Бул кадам-кадам колдонмодо мен сизге Микротикти кантип орнотууну айтып берем, бул VPN аркылуу тыюу салынган сайттар автоматтык түрдө ачылып, сиз дап менен бийлөөдөн алыс боло аласыз: аны бир жолу орнотуңуз жана баары иштейт.
Мен VPN катары SoftEtherди тандадым: аны орнотуу оңой жана ошондой эле тез. Мен VPN сервер тарабында Secure NAT иштеттим, башка орнотуулар жасалган жок.
Мен RRASти альтернатива катары карадым, бирок Микротик аны менен кантип иштөөнү билбейт. Туташуу түзүлдү, VPN иштейт, бирок Микротик дайыма кайра туташуусуз жана журналда каталарсыз байланышты камсыздай албайт.
Орнотуу RB3011UiAS-RM мисалында микропрограмманын 6.46.11 версиясында жасалган.
Эми, ирети менен, эмне жана эмне үчүн.
1. VPN туташуусун орнотуңуз
VPN чечими катары, албетте, SoftEther, алдын ала бөлүшүлгөн ачкыч менен L2TP тандалган. Коопсуздуктун мындай деңгээли ар бир адам үчүн жетиштүү, анткени ачкычты роутер жана анын ээси гана билет.
Interfaces бөлүмүнө өтүңүз. Биринчиден, биз жаңы интерфейсти кошобуз, андан кийин интерфейске ip, логин, сырсөз жана жалпы ачкычты киргизебиз. OK басыңыз.
Ошол эле буйрук:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther ipsec сунуштарын жана ipsec профилдерин өзгөртпөстөн иштей берет, биз алардын конфигурациясын карабайбыз, бирок автор өзүнүн профилдеринин скриншотторун калтырган.
IPsec сунуштарындагы RRAS үчүн, жөн гана PFS тобун эч кимге өзгөртүңүз.
Эми сиз бул VPN серверинин NAT артында турушуңуз керек. Бул үчүн, биз IP> Firewall> NAT өтүшүбүз керек.
Бул жерде биз конкреттүү же бардык PPP интерфейстери үчүн маскарадды иштетебиз. Автордун роутери бир эле учурда үч VPNге туташкан, ошондуктан мен муну жасадым:
Ошол эле буйрук:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Mangleге эрежелерди кошуңуз
Сиз каалаган биринчи нерсе, албетте, эң баалуу жана корголбогон нерселердин бардыгын, атап айтканда DNS жана HTTP трафигин коргоо. HTTP менен баштайлы.
IP → Firewall → Mangle дегенге өтүп, жаңы эреже түзүңүз.
Эрежеде Chain Алдын ала багыттоо тандайт.
Эгер роутердин алдында Smart SFP же башка роутер болсо жана сиз ага веб-интерфейс аркылуу туташууну кааласаңыз, Dst. Дарек өзүнүн IP дарегин же көмөкчордонду киргизип, дарекке же ошол көмөкчү тармакка Mangle колдонбоо үчүн терс белги коюшу керек. Автордун SFP GPON ONU көпүрө режиминде бар, ошондуктан автор өзүнүн вебмордуна туташуу мүмкүнчүлүгүн сактап калган.
Демейки боюнча, Mangle өз эрежесин бардык NAT штаттарына колдонот, бул сиздин ак IPиңиздеги портту багыттоо мүмкүн эмес кылат, андыктан туташуу NAT абалында dstnat жана терс белгини текшериңиз. Бул VPN аркылуу тармак аркылуу чыгуучу трафикти жөнөтүүгө мүмкүндүк берет, бирок портторду ак IP аркылуу жөнөтөт.
Андан кийин, Аракет өтмөгүндө, маршруттук белгини тандаңыз, келечекте бизге түшүнүктүү болушу үчүн Жаңы Маршруттук Белги деп атаңыз жана улантыңыз.
Ошол эле буйрук:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Эми DNS коопсуздугун камсыздоого өтөбүз. Бул учурда, эки эреже түзүү керек. Бири роутер үчүн, экинчиси роутерге туташкан түзмөктөр үчүн.
Эгер сиз автор жасаган роутерге орнотулган DNSти колдонсоңуз, ал да корголушу керек. Ошондуктан, биринчи эреже үчүн, жогорудагыдай, биз чынжырдын алдын ала багытын тандайбыз, экинчиси үчүн чыгарууну тандоо керек.
Чыгуу - бул роутер өзүнүн функционалдуулугун колдонуу менен суроо-талаптар үчүн колдонгон чынжыр. Бул жерде бардыгы HTTP, UDP протоколуна, 53 портуна окшош.
Ошол эле буйруктар:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. VPN аркылуу маршрут куруу
IP → Маршруттарга өтүңүз жана жаңы маршруттарды түзүңүз.
VPN аркылуу HTTP багыттоо үчүн маршрут. VPN интерфейстерибиздин атын көрсөтүп, Маршруттук белгини тандаңыз.
Бул этапта сиз операторуңуздун кантип токтоп калганын сезгенсиз .
Ошол эле буйрук:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
DNS коргоо эрежелери так окшош болот, жөн гана керектүү белгини тандаңыз:
Бул жерде сиз DNS сурамдарыңыз кантип укпай калганын сездиңиз. Ошол эле буйруктар:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Акыр-аягы, Rutrackerдин кулпусун ачыңыз. Бүт ички тармак ага таандык, андыктан подтармак көрсөтүлгөн.
Интернетти кайтарып алуу ушунчалык оңой болду. Команда:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Түпкү трекердегидей эле, сиз корпоративдик ресурстарды жана башка бөгөттөлгөн сайттарды багыттай аласыз.
Автор сиз свитериңизди чечпестен эле тамыр трекерге жана корпоративдик порталга кирүүнүн ыңгайлуулугун баалайсыз деп үмүттөнөт.
Source: www.habr.com