An dësem Schrëtt-fir-Schrëtt Guide wäert ech Iech soen wéi Dir Mikrotik opstellt sou datt verbueden Siten automatesch duerch dëse VPN opgemaach ginn an Dir kënnt vermeiden mat Tambourinen ze danzen: setzt et eemol op an alles funktionnéiert.
Ech hunn SoftEther als VPN gewielt: et ass sou einfach ze konfiguréieren wéi a grad esou séier. Op der VPN Server Säit hunn ech Secure NAT aktivéiert; keng aner Astellunge goufen gemaach.
Ech hunn RRAS als Alternativ ugesinn, awer Mikrotik weess net wéi een domat schafft. D'Verbindung ass etabléiert, de VPN funktionnéiert, awer Mikrotik ass net fäeg d'Verbindung ouni konstante Reconnections a Feeler am Log ze halen.
De Setup gouf mam Beispill vum RB3011UiAS-RM op der Firmware Versioun 6.46.11 duerchgefouert.
Elo, an Uerdnung, wat a firwat.
1. Etabléiert eng VPN Verbindung
Natierlech gouf SoftEther, L2TP mat engem pre-shared Schlëssel, als VPN Léisung gewielt. Dëse Sécherheetsniveau ass genuch fir jiddereen, well nëmmen de Router a säi Besëtzer wëssen de Schlëssel.
Gitt an d'Interface Sektioun. Als éischt addéiere mir en neien Interface, a gitt dann d'IP, Login, Passwuert a gemeinsame Schlëssel an d'Interface. Klickt ok.
Dee selwechte Kommando:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther funktionnéiert ouni ipsec Propositiounen an ipsec Profiler z'änneren, mir betruechten se net opzestellen, awer den Auteur huet Screenshots vu senge Profiler hannerlooss, just am Fall.
Fir RRAS an IPsec Propositioune, ännert just PFS Group op kee.
Elo musst Dir hannert dem NAT vun dësem VPN Server stoen. Fir dëst ze maachen musse mir op IP> Firewall> NAT goen.
Hei aktivéiert mir Maskerad fir eng spezifesch oder all PPP Schnëttplazen. De Router vum Auteur ass mat dräi VPNs gläichzäiteg ugeschloss, also hunn ech dat gemaach:
Dee selwechte Kommando:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Dobäi Regelen ze Mangel
Dat éischt wat ech wëll, natierlech, ass alles ze schützen wat am wäertvollst a verdeedegt ass, nämlech DNS an HTTP Traffic. Loosst eis mat HTTP ufänken.
Gitt op IP → Firewall → Mangle a erstellt eng nei Regel.
An der Regel, Kette, wielt Prerouting.
Wann et e Smart SFP oder en anere Router virun der Router ass, an Dir wëllt mat der Web Interface konnektéieren, am Dst Feld. Adress Dir musst seng IP Adress oder Subnet aginn an en negativt Schëld setzen fir net Mangle op d'Adress oder op dëst Subnet ze gëllen. Den Auteur huet en SFP GPON ONU am Bréckmodus, sou datt den Auteur d'Fäegkeet behalen huet fir mat senger Webinterface ze verbannen.
Par défaut wäert Mangle seng Regel op all NAT Staaten uwenden, dëst wäert Port Forwarding iwwer Är wäiss IP onméiglech maachen, also am Connection NAT State setzen mir e Scheckzeechen op dstnat an en negativt Zeechen. Dëst erlaabt eis erausginn Traffic iwwer de Netz duerch de VPN ze schécken, awer ëmmer nach weider Ports duerch eis wäiss IP.
Als nächst, op der Aktioun Tab, wielt Mark Routing, nennt et Neie Routing Mark sou datt et eis an Zukunft kloer ass a weidergoen.
Dee selwechte Kommando:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Loosst eis elo op den DNS-Schutz goen. An dësem Fall musst Dir zwou Regelen erstellen. Ee fir de Router, déi aner fir Geräter déi mam Router verbonne sinn.
Wann Dir d'DNS benotzt, déi am Router agebaut ass, wat den Auteur mécht, muss et och geschützt ginn. Dofir, fir déi éischt Regel, wéi uewen, wielt mir Kette Prerouting, fir déi zweet musse mir d'Ausgab auswielen.
Ausgang ass de Circuit deen de Router selwer benotzt fir Ufroe mat senger Funktionalitéit ze maachen. Alles hei ass ähnlech wéi HTTP, UDP Protokoll, Port 53.
Déi selwecht Kommandoen:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Eng Streck iwwer VPN bauen
Gitt op IP → Routes a erstellt nei Strecken.
Route fir HTTP iwwer VPN ze routing. Mir weisen den Numm vun eise VPN Interfaces un a wielt Routing Mark.
Op dëser Etapp hutt Dir scho gefillt wéi Äre Bedreiwer opgehalen huet .
Dee selwechte Kommando:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
D'Regele fir den DNS Schutz wäerte genau d'selwecht ausgesinn, wielt just de gewënschten Label:
Dann hues du gefillt wéi Är DNS Ufroe gestoppt ginn ze héieren. Déi selwecht Kommandoen:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Gutt, zum Schluss, loosst eis Rutracker deblockéieren. De ganze Subnet gehéiert him, sou datt de Subnet spezifizéiert gëtt.
Dat ass wéi einfach et war Ären Internet zréck ze kréien. Equipe:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Genau op déiselwecht Manéier wéi mat engem Root Tracker, kënnt Dir Firmenressourcen an aner blockéiert Siten route.
Den Auteur hofft datt Dir d'Bequemlechkeet schätzt fir Iech an de Root Tracker an de Firmenportal zur selwechter Zäit ze protokolléieren ouni Är Pullover ofzehuelen.
Source: will.com