Amin'ity torolΓ lana manaraka ity dia holazaiko anao ny fomba fametrahana Mikrotik mba hisokatra ho azy amin'ny alalan'ity VPN ity ny tranokala voarara ary azonao atao ny misoroka ny dihy miaraka amin'ny ampongatapaka: amboary indray mandeha ary mandeha ny zava-drehetra.
Nisafidy SoftEther ho VPN aho: mora apetraka toy ny ary haingana toy izany koa. Eo amin'ny lafiny mpizara VPN dia navelako ny Secure NAT; tsy nisy fanovana hafa natao.
Noheveriko ho safidy hafa ny RRAS, saingy tsy hain'i Mikrotik ny fomba fiasa aminy. Miorina ny fifandraisana, miasa ny VPN, saingy tsy afaka mitazona ny fifandraisana i Mikrotik raha tsy misy ny fampifandraisana tsy tapaka sy ny fahadisoana ao amin'ny log.
Ny fametrahana dia natao tamin'ny fampiasana ny ohatra RB3011UiAS-RM amin'ny firmware version 6.46.11.
Ankehitriny, araka ny filaharany, inona ary nahoana.
1. Mametraha fifandraisana VPN
Mazava ho azy, SoftEther, L2TP miaraka amin'ny fanalahidy efa nozaraina, no voafidy ho vahaolana VPN. Io haavon'ny fiarovana dia ampy ho an'ny rehetra, satria ny router sy ny tompony ihany no mahalala ny fanalahidy.
Mandehana any amin'ny fizarana interfaces. Voalohany, manampy interface vaovao izahay, ary ampidiro ao amin'ny interface ny ip, login, tenimiafina ary fanalahidy iombonana. Tsindrio ok.
Ny baiko mitovy:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther dia hiasa tsy hanova ny tolo-kevitry ny ipsec sy ny mombamomba ny ipsec, tsy mieritreritra ny hametraka azy ireo izahay, fa namela pikantsarin'ny mombamomba azy ny mpanoratra, raha tsy izany.
Ho an'ny RRAS ao amin'ny IPsec Proposals, ovay fotsiny ny PFS Group ho tsy misy.
Ankehitriny dia mila mijoro ao ambadiky ny NAT an'ity mpizara VPN ity ianao. Mba hanaovana izany dia mila mandeha any amin'ny IP> Firewall> NAT.
Eto izahay dia mamela ny masquerade ho an'ny fifandraisana manokana na PPP rehetra. Ny router an'ny mpanoratra dia mifandray amin'ny VPN telo indray mandeha, ka nanao izao aho:
Ny baiko mitovy:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Ampio fitsipika amin'ny Mangle
Ny zavatra voalohany tiako, mazava ho azy, dia ny fiarovana izay rehetra sarobidy sy tsy misy fiarovana, dia ny fifamoivoizana DNS sy HTTP. Andao hanomboka amin'ny HTTP.
Mandehana any amin'ny IP β Firewall β Mangle ary mamorona fitsipika vaovao.
Ao amin'ny fitsipika, Chain, mifidiana Prerouting.
Raha misy Smart SFP na router hafa eo anoloan'ny router, ary te-hifandray amin'izany amin'ny alΓ lan'ny interface web ianao, ao amin'ny saha Dst. Adiresy mila ampidirinao ny adiresy IP na ny subnet ary asio marika ratsy mba tsy hampiharana an'i Mangle amin'ny adiresy na amin'ity subnet ity. Ny mpanoratra dia manana SFP GPON ONU amin'ny fomba tetezana, noho izany ny mpanoratra dia nitazona ny fahafahana mifandray amin'ny tranonkalany.
Amin'ny alΓ lan'ny default, hampihatra ny fitsipiny amin'ny fanjakana NAT rehetra i Mangle, izany dia hahatonga ny seranan-tsambo amin'ny IP fotsy anao tsy ho azo atao, ka ao amin'ny Connection NAT State dia mametraka marika eo amin'ny dstnat sy marika ratsy isika. Izany dia ahafahantsika mandefa fifamoivoizana mivoaka amin'ny tambajotra amin'ny alΓ lan'ny VPN, fa mbola mandroso seranana amin'ny alΓ lan'ny IP fotsy.
Avy eo, eo amin'ny tabilao Action, safidio ny marika routing, antsoy izany New Routing Mark mba hazava amintsika amin'ny ho avy ary mandroso.
Ny baiko mitovy:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Andeha isika hifindra amin'ny fiarovana DNS. Amin'ity tranga ity, mila mamorona fitsipika roa ianao. Ny iray ho an'ny router, ny iray ho an'ny fitaovana mifandray amin'ny router.
Raha mampiasa ny DNS napetraka ao amin'ny router ianao, izay ataon'ny mpanoratra, dia mila arovana ihany koa. Noho izany, ho an'ny fitsipika voalohany, toy ny etsy ambony, dia mifidy rojo prerouting, ho an'ny faharoa dia mila mifidy ny vokatra.
Ny Output dia ny circuit izay ampiasain'ny router mihitsy mba hanaovana fangatahana amin'ny fampiasana ny asany. Ny zava-drehetra eto dia mitovy amin'ny HTTP, protocol UDP, port 53.
Ny baiko mitovy:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Manangana lalana amin'ny alalan'ny VPN
Mandehana any amin'ny IP β Routes ary mamorona lalana vaovao.
Lalan'ny fandefasana HTTP amin'ny VPN. Manondro ny anaran'ny fifandraisana VPN izahay ary mifidiana Routing Mark.
Amin'ity dingana ity dia efa tsapanao ny fomba nijanonan'ny mpandraharaha anao .
Ny baiko mitovy:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Ny fitsipika momba ny fiarovana DNS dia hitovy tanteraka, safidio fotsiny ny marika tianao:
Avy eo dia nahatsapa ianao fa tsy nihaino ny fangatahana DNS-nao. Ny baiko mitovy:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Eny ary, amin'ny farany, andao hanaisotra ny Rutracker. Ny subnet manontolo dia azy, ka ny subnet dia voafaritra.
Tena mora ny namerina ny Internet anao. Ekipa:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Amin'ny fomba mitovy amin'ny amin'ny root tracker, azonao atao ny mamily ny loharanon-karenan'ny orinasa sy ny tranokala hafa voasakana.
Manantena ny mpanoratra fa hankasitraka ny fahafaham-po amin'ny fidirana amin'ny root tracker sy ny vavahadin-tseraseran'ny orinasa miaraka ianao nefa tsy manala ny akanjonao.
Source: www.habr.com