Šiame nuosekliame vadove papasakosiu, kaip sukonfigūruoti „Mikrotik“, kad per šį VPN automatiškai atsidarytų draudžiamos svetainės ir būtų išvengta šokių su tamburinais: nustatykite vieną kartą ir viskas veiks.
Aš pasirinkau SoftEther kaip savo VPN: jį taip pat lengva nustatyti ir lygiai taip pat greitai. Įjungiau saugų NAT VPN serverio pusėje, jokių kitų nustatymų nebuvo atlikta.
Aš svarsčiau RRAS kaip alternatyvą, bet Mikrotik nežino, kaip su ja dirbti. Ryšys užmegztas, VPN veikia, bet Mikrotik negali palaikyti ryšio be nuolatinių prisijungimų ir klaidų žurnale.
Nustatymas atliktas naudojant RB3011UiAS-RM pavyzdį, naudojant 6.46.11 programinės įrangos versiją.
Dabar eilės tvarka, kas ir kodėl.
1. Nustatykite VPN ryšį
Kaip VPN sprendimas, žinoma, buvo pasirinktas SoftEther, L2TP su iš anksto bendrintu raktu. Tokio saugumo lygio pakanka bet kam, nes raktą žino tik maršrutizatorius ir jo savininkas.
Eikite į sąsajų skyrių. Pirmiausia pridedame naują sąsają, o tada į sąsają įvedame IP, prisijungimo vardą, slaptažodį ir bendrinamą raktą. Paspauskite ok.
Ta pati komanda:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
„SoftEther“ veiks nekeičiant „ipsec“ pasiūlymų ir „ipsec“ profilių, mes neatsižvelgiame į jų konfigūraciją, tačiau autorius paliko savo profilių ekrano kopijas bet kuriuo atveju.
Jei naudojate RRAS IPsec pasiūlymuose, tiesiog pakeiskite PFS grupę į None.
Dabar turite stovėti už šio VPN serverio NAT. Norėdami tai padaryti, turime eiti į IP> Ugniasienė> NAT.
Čia mes įjungiame maskaradą konkrečioms arba visoms PPP sąsajoms. Autoriaus maršrutizatorius yra prijungtas prie trijų VPN vienu metu, todėl aš padariau taip:
Ta pati komanda:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Pridėkite taisykles prie Mangle
Pirmas dalykas, kurio norite, žinoma, yra apsaugoti viską, kas yra vertingiausia ir neapsaugota, būtent DNS ir HTTP srautą. Pradėkime nuo HTTP.
Eikite į IP → Firewall → Mangle ir sukurkite naują taisyklę.
Taisyklėje Grandinė pasirinkite Išankstinis maršrutas.
Jei prieš maršruto parinktuvą yra Smart SFP ar kitas maršrutizatorius ir norite prie jo prisijungti per žiniatinklio sąsają, Dst. Adresas turi įvesti savo IP adresą arba potinklį ir įdėti neigiamą ženklą, kad adresui ar tam potinkliui nebūtų taikomas „Mangle“. Autorius turi SFP GPON ONU tilto režimu, todėl autorius išlaikė galimybę prisijungti prie savo webmord.
Pagal numatytuosius nustatymus „Mangle“ taikys savo taisyklę visoms NAT būsenoms, todėl jūsų baltojo IP prievado persiuntimas bus neįmanomas, todėl ryšio NAT būsenoje patikrinkite dstnat ir neigiamą ženklą. Tai leis mums siųsti išeinantį srautą per tinklą per VPN, bet vis tiek persiųsti prievadus per mūsų baltą IP.
Tada skirtuke „Veiksmas“ pasirinkite „mark routing“, pavadinkite „New Routing Mark“, kad ateityje tai būtų aišku, ir judėkite toliau.
Ta pati komanda:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Dabar pereikime prie DNS apsaugos. Tokiu atveju turite sukurti dvi taisykles. Vienas skirtas maršrutizatoriui, kitas – prie maršrutizatoriaus prijungtiems įrenginiams.
Jei naudojate maršrutizatoriuje įmontuotą DNS, ką daro autorius, jis taip pat turi būti apsaugotas. Todėl pirmajai taisyklei, kaip nurodyta aukščiau, pasirenkame išankstinį grandinės maršrutą, antrajai turime pasirinkti išvestį.
Išvestis yra grandinė, kurią pats maršrutizatorius naudoja užklausoms, naudodamas savo funkcijas. Viskas čia panašu į HTTP, UDP protokolą, 53 prievadą.
Tos pačios komandos:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Maršruto sukūrimas per VPN
Eikite į IP → Maršrutai ir sukurkite naujus maršrutus.
HTTP maršruto parinkimo per VPN maršrutas. Nurodykite mūsų VPN sąsajų pavadinimus ir pasirinkite maršruto žymėjimas.
Šiame etape jau pajutote, kaip jūsų operatorius sustojo .
Ta pati komanda:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
DNS apsaugos taisyklės atrodys lygiai taip pat, tiesiog pasirinkite norimą etiketę:
Čia pajutote, kaip jūsų DNS užklausos nustojo klausytis. Tos pačios komandos:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Na, galų gale atrakinkite „Rutracker“. Visas potinklis priklauso jam, todėl nurodomas potinklis.
Taip lengva buvo susigrąžinti internetą. Komanda:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Lygiai taip pat, kaip ir naudodami šakninį stebėjimo priemonę, galite nukreipti įmonės išteklius ir kitas užblokuotas svetaines.
Autorius tikisi, kad įvertinsite patogumą pasiekti root tracker ir įmonės portalą tuo pačiu metu nenusivilkę megztinio.
Šaltinis: www.habr.com