Во овој чекор-по-чекор водич, ќе ви кажам како да го поставите Mikrotik така што забранетите страници автоматски се отвораат преку оваа VPN и можете да избегнете танцување со тамбураши: поставете го еднаш и сè работи.
Го избрав SoftEther како VPN: исто толку е лесно да се постави и исто толку брзо. На страната на серверот VPN, го овозможив Secure NAT; не беа направени други поставки.
Го сметав RRAS како алтернатива, но Микротик не знае како да работи со него. Врската е воспоставена, VPN-от работи, но Mikrotik не може да ја одржува врската без постојани повторни поврзувања и грешки во дневникот.
Поставувањето беше извршено користејќи го примерот на RB3011UiAS-RM на верзијата на фирмверот 6.46.11.
Сега, по ред, што и зошто.
1. Воспоставете VPN конекција
Се разбира, SoftEther, L2TP со претходно споделен клуч, беше избран како VPN решение. Ова ниво на безбедност е доволно за секого, бидејќи само рутерот и неговиот сопственик го знаат клучот.
Одете во делот за интерфејси. Прво, додаваме нов интерфејс, а потоа внесуваме ip, најавување, лозинка и споделен клуч во интерфејсот. Кликнете во ред.
Истата команда:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther ќе работи без менување на ipsec предлози и ipsec профили, не размислуваме да ги поставиме, но авторот остави слики од екранот од неговите профили, за секој случај.
За RRAS во предлозите за IPsec, само сменете ја групата PFS во нема.
Сега треба да застанете зад NAT на овој VPN сервер. За да го направите ова, треба да одиме до IP > Firewall > NAT.
Овде овозможуваме маскенбал за специфичен или сите PPP интерфејси. Рутерот на авторот е поврзан со три VPN одеднаш, па го направив ова:
Истата команда:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Додадете правила во Mangle
Првото нешто што сакам, се разбира, е да го заштитам сето она што е највредно и најбезобрано, имено сообраќајот DNS и HTTP. Да почнеме со HTTP.
Одете во IP → Firewall → Mangle и креирајте ново правило.
Во правилото, Chain, изберете Prerouting.
Ако пред рутерот има Smart SFP или друг рутер и сакате да се поврзете со него преку веб-интерфејсот, во полето Dst. Адреса треба да ја внесете нејзината IP адреса или подмрежа и да ставите негативен знак за да не го примените Mangle на адресата или на оваа подмрежа. Авторот има SFP GPON ONU во режим на мост, така што авторот ја задржал можноста да се поврзе со неговиот веб-интерфејс.
Стандардно, Mangle ќе го примени своето правило за сите NAT-состојби, ова ќе го направи невозможно препраќањето на портата преку вашата бела IP-адреса, така што во Connection NAT State ставаме ознака за проверка на dstnat и негативен знак. Ова ќе ни овозможи да испраќаме појдовен сообраќај преку мрежата преку VPN, но сепак да ги препраќаме портите преку нашата бела IP адреса.
Следно, на табулаторот Action изберете mark routing, наречете го New Routing Mark за да ни биде јасно во иднина и да продолжиме понатаму.
Истата команда:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Сега да преминеме на заштитата на DNS. Во овој случај, треба да креирате две правила. Едниот за рутерот, другиот за уредите поврзани со рутерот.
Ако користите DNS вграден во рутерот, што го прави авторот, тој исто така треба да биде заштитен. Затоа, за првото правило, како погоре, избираме прерутирање на синџирот, за второто треба да избереме излез.
Излезот е колото што самиот рутер го користи за поднесување барања користејќи ја неговата функционалност. Сè овде е слично на HTTP, UDP протокол, порта 53.
Истите команди:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Изградба на рута преку VPN
Одете во IP → Рути и креирајте нови рути.
Рута за рутирање на HTTP преку VPN. Го означуваме името на нашите VPN интерфејси и избираме Routing Mark.
Во оваа фаза, веќе сте почувствувале како застанал вашиот оператор .
Истата команда:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Правилата за заштита на DNS ќе изгледаат сосема исто, само изберете ја саканата ознака:
Потоа почувствувавте како вашите барања за DNS престанаа да се слушаат. Истите команди:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Па, на крајот, ајде да го деблокираме Rutracker. Целата подмрежа му припаѓа нему, така што подмрежата е наведена.
Така беше лесно да го вратите вашиот интернет. Тим:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
На истиот начин како и со root tracker, можете да насочувате корпоративни ресурси и други блокирани сајтови.
Авторот се надева дека ќе ја цените удобноста да се најавите во root tracker и корпоративниот портал во исто време без да го соблечете џемперот.
Извор: www.habr.com