Šajā detalizētajā rokasgrāmatā es jums pastāstīšu, kā iestatīt Mikrotik, lai aizliegtās vietnes tiktu automātiski atvērtas, izmantojot šo VPN, un jūs varētu izvairīties no dejām ar tamburīniem: iestatiet to vienreiz, un viss darbojas.
Es izvēlējos SoftEther kā VPN: to ir tikpat viegli iestatīt kā un tikpat ātri. VPN servera pusē es iespējoju drošo NAT; citi iestatījumi netika veikti.
Es uzskatīju RRAS kā alternatīvu, bet Mikrotik nezina, kā ar to strādāt. Savienojums ir izveidots, VPN darbojas, bet Mikrotik nevar uzturēt savienojumu bez pastāvīgiem atkārtotiem savienojumiem un kļūdām žurnālā.
Iestatīšana tika veikta, izmantojot RB3011UiAS-RM piemēru programmaparatūras versijā 6.46.11.
Tagad, kārtībā, kas un kāpēc.
1. Izveidojiet VPN savienojumu
Protams, kā VPN risinājums tika izvēlēts SoftEther, L2TP ar iepriekš koplietotu atslēgu. Šāds drošības līmenis ir pietiekams ikvienam, jo atslēgu zina tikai maršrutētājs un tā īpašnieks.
Dodieties uz saskarņu sadaļu. Pirmkārt, mēs pievienojam jaunu saskarni un pēc tam saskarnē ievadām IP, pieteikumvārdu, paroli un koplietoto atslēgu. Noklikšķiniet uz ok.
Tā pati komanda:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther darbosies, nemainot ipsec piedāvājumus un ipsec profilus, mēs neapsveram iespēju tos iestatīt, taču autors katram gadījumam atstāja savu profilu ekrānuzņēmumus.
RRAS IPsec priekšlikumos vienkārši mainiet PFS grupu uz Nav.
Tagad jums ir jāstāv aiz šī VPN servera NAT. Lai to izdarītu, mums jāiet uz IP> Ugunsmūris> NAT.
Šeit mēs iespējojam maskēšanu noteiktai vai visām PPP saskarnēm. Autora maršrutētājs ir savienots ar trim VPN vienlaikus, tāpēc es rīkojos šādi:
Tā pati komanda:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Pievienojiet noteikumus Mangle
Pirmā lieta, ko es vēlos, protams, ir aizsargāt visu, kas ir visvērtīgākais un neaizsargātākais, proti, DNS un HTTP trafiku. Sāksim ar HTTP.
Dodieties uz IP → Ugunsmūris → Mangle un izveidojiet jaunu noteikumu.
Noteikumā Ķēde atlasiet Iepriekšēja maršrutēšana.
Ja maršrutētāja priekšā ir Smart SFP vai cits maršrutētājs un vēlaties izveidot savienojumu ar to, izmantojot tīmekļa saskarni, laukā Dst. Adrese ir jāievada tās IP adrese vai apakštīkls un jāievieto negatīva zīme, lai adresei vai šim apakštīklam netiktu lietots Mangle. Autoram ir SFP GPON ONU tilta režīmā, tāpēc autors saglabāja iespēju izveidot savienojumu ar savu tīmekļa saskarni.
Pēc noklusējuma Mangle piemēros savu noteikumu visiem NAT stāvokļiem, tāpēc portu pārsūtīšana pa jūsu balto IP būs neiespējama, tāpēc savienojuma NAT stāvoklī mēs atzīmējam dstnat un negatīvo zīmi. Tas ļaus mums nosūtīt izejošo trafiku tīklā, izmantojot VPN, bet joprojām pārsūtīt portus caur mūsu balto IP.
Pēc tam cilnē Darbība atlasiet maršrutēšanas marķēšanu, nosauciet to par Jaunu maršruta atzīmi, lai tas mums būtu skaidrs nākotnē, un turpiniet.
Tā pati komanda:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Tagad pāriesim pie DNS aizsardzības. Šajā gadījumā jums ir jāizveido divi noteikumi. Viens maršrutētājam, otrs ierīcēm, kas savienotas ar maršrutētāju.
Ja izmantojat maršrutētājā iebūvēto DNS, ko autors dara, tas arī ir jāaizsargā. Tāpēc pirmajam noteikumam, kā minēts iepriekš, mēs izvēlamies ķēdes iepriekšēju maršrutēšanu, bet otrajam mums ir jāizvēlas izvade.
Izvade ir ķēde, ko pats maršrutētājs izmanto, lai veiktu pieprasījumus, izmantojot savu funkcionalitāti. Šeit viss ir līdzīgs HTTP, UDP protokolam, 53. portam.
Tās pašas komandas:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Maršruta izveide, izmantojot VPN
Dodieties uz IP → Maršruti un izveidojiet jaunus maršrutus.
Maršruts HTTP maršrutēšanai, izmantojot VPN. Mēs norādām mūsu VPN saskarņu nosaukumus un atlasām maršrutēšanas atzīme.
Šajā posmā jūs jau esat sajutuši, kā jūsu operators ir apstājies .
Tā pati komanda:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
DNS aizsardzības noteikumi izskatīsies tieši tādi paši, vienkārši atlasiet vajadzīgo etiķeti:
Tad jūs jutāt, kā jūsu DNS pieprasījumi vairs netiek uzklausīti. Tās pašas komandas:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Visbeidzot, atbloķēsim Rutracker. Viss apakštīkls pieder viņam, tāpēc apakštīkls ir norādīts.
Tik vienkārši bija atgūt savu internetu. Komanda:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Tieši tāpat kā ar saknes izsekotāju, varat maršrutēt korporatīvos resursus un citas bloķētās vietnes.
Autore cer, ka novērtēsiet ērtības, kas ļauj vienlaikus pieteikties saknes izsekotājā un korporatīvajā portālā, nenovelkot džemperi.
Avots: www.habr.com