Энэхүү алхам алхмаар гарын авлагад би хориотой сайтуудыг энэ VPN-ээр дамжуулан автоматаар нээж, хэнгэрэгээр бүжиглэхээс зайлсхийхийн тулд Mikrotik-ийг хэрхэн тохируулахыг танд хэлэх болно: үүнийг нэг удаа тохируулснаар бүх зүйл ажиллах болно.
Би SoftEther-ийг VPN-ээр сонгосон: үүнийг тохируулахад хялбар байдаг мөн адил хурдан. Би VPN сервер талд Secure NAT-г идэвхжүүлсэн, өөр тохиргоо хийгдээгүй.
Би RRAS-ийг өөр хувилбар гэж үзсэн боловч Микротик үүнтэй хэрхэн ажиллахаа мэдэхгүй байна. Холболт хийгдсэн, VPN ажиллаж байгаа боловч Микротик байнгын дахин холболтгүй, бүртгэлд алдаа гаргахгүйгээр холболтоо хадгалж чадахгүй.
Тохиргоог RB3011UiAS-RM-ийн жишээн дээр програм хангамжийн 6.46.11 хувилбар дээр хийсэн.
Одоо, дарааллаар нь, юу, яагаад.
1. VPN холболтыг тохируулна уу
Мэдээжийн хэрэг VPN шийдлийн хувьд SoftEther, урьдчилан хуваалцсан түлхүүр бүхий L2TP-ийг сонгосон. Түлхүүрийг зөвхөн чиглүүлэгч болон түүний эзэмшигч л мэддэг учраас энэ түвшний хамгаалалт нь хэнд ч хангалттай.
Интерфейс хэсэг рүү очно уу. Эхлээд бид шинэ интерфэйс нэмж, дараа нь интерфейс рүү IP, нэвтрэх, нууц үг, хуваалцсан түлхүүрийг оруулна. OK дарна уу.
Ижил тушаал:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther нь ipsec саналууд болон ipsec профайлыг өөрчлөхгүйгээр ажиллах болно, бид тэдгээрийн тохиргоог авч үзэхгүй, гэхдээ зохиогч өөрийн профайлын дэлгэцийн агшинг үлдээсэн.
IPsec Proposals дахь RRAS-ийн хувьд PFS Group-ийг байхгүй болгож өөрчлөхөд л хангалттай.
Одоо та энэ VPN серверийн NAT-ийн ард зогсох хэрэгтэй. Үүнийг хийхийн тулд бид IP > Firewall > NAT руу очих хэрэгтэй.
Энд бид тодорхой эсвэл бүх PPP интерфэйсүүдэд зориулсан хувиргалтыг идэвхжүүлдэг. Зохиогчийн чиглүүлэгч нь нэг дор гурван VPN-тэй холбогдсон тул би үүнийг хийсэн:
Ижил тушаал:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Mangle-д дүрэм нэмэх
Таны хүсч буй хамгийн эхний зүйл бол DNS болон HTTP траффик гэх мэт хамгийн үнэ цэнэтэй, хамгаалалтгүй бүх зүйлийг хамгаалах явдал юм. HTTP-ээс эхэлцгээе.
IP → Firewall → Mangle руу очоод шинэ дүрэм үүсгэ.
Дүрмээр бол Chain Урьдчилан чиглүүлэхийг сонгоно.
Хэрэв чиглүүлэгчийн өмнө Smart SFP эсвэл өөр чиглүүлэгч байгаа бол вэб интерфэйсээр холбогдохыг хүсвэл Dst. Хаяг нь өөрийн IP хаяг эсвэл дэд сүлжээг оруулж, тухайн хаяг эсвэл дэд сүлжээнд Mangle хэрэглэхгүй байхын тулд сөрөг тэмдэг тавих шаардлагатай. Зохиогч нь SFP GPON ONU гүүр горимд байгаа тул зохиогч өөрийн вэбмордтой холбогдох боломжийг хадгалсан.
Анхдагч байдлаар, Mangle өөрийн дүрмийг бүх NAT мужид хэрэглэх бөгөөд энэ нь таны цагаан IP дээр порт дамжуулах боломжгүй болох тул NAT холболтын төлөвт dstnat болон сөрөг тэмдгийг шалгана уу. Энэ нь VPN-ээр дамжуулан сүлжээгээр гадагшаа урсгалыг илгээх боломжийг бидэнд олгох боловч бидний цагаан IP-ээр дамжуулан портуудыг дамжуулах болно.
Дараа нь "Action" таб дээрээс "mark routing" -ийг сонгоод "New Routing Mark" гэж нэрлэснээр ирээдүйд бидэнд ойлгомжтой байх болно.
Ижил тушаал:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Одоо DNS-ийн хамгаалалт руу шилжье. Энэ тохиолдолд та хоёр дүрмийг бий болгох хэрэгтэй. Нэг нь чиглүүлэгчид, нөгөө нь чиглүүлэгчтэй холбогдсон төхөөрөмжүүдэд зориулагдсан.
Хэрэв та зохиогчийн хийдэг чиглүүлэгчид суулгасан DNS-г ашигладаг бол энэ нь бас хамгаалагдсан байх ёстой. Тиймээс, эхний дүрмийн хувьд дээр дурдсанчлан бид гинжин хэлхээний урьдчилсан чиглэлийг сонгох, хоёрдугаарт, гаралтыг сонгох хэрэгтэй.
Гаралт гэдэг нь чиглүүлэгч өөрөө өөрийн функцийг ашиглан хүсэлт гаргахад ашигладаг хэлхээ юм. Энд байгаа бүх зүйл HTTP, UDP протокол, порт 53-тай төстэй.
Үүнтэй ижил тушаалууд:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. VPN-ээр дамжуулан маршрут гаргах
IP → Routes руу очоод шинэ маршрут үүсгэ.
VPN-ээр дамжуулан HTTP чиглүүлэлтийн маршрут. Манай VPN интерфэйсүүдийн нэрийг зааж, Routing Mark-ийг сонгоно уу.
Энэ үе шатанд та өөрийн оператор хэрхэн зогссоныг аль хэдийн мэдэрсэн .
Ижил тушаал:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
DNS хамгаалалтын дүрмүүд яг адилхан харагдах болно, зүгээр л хүссэн шошгыг сонгоно уу:
Таны DNS асуулга хэрхэн сонсохоо больсныг та эндээс мэдэрсэн. Үүнтэй ижил тушаалууд:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Эцэст нь Rutracker-ийн түгжээг тайл. Дэд сүлжээ бүхэлдээ түүнд харьяалагддаг тул дэд сүлжээг зааж өгсөн болно.
Интернэтийг эргүүлж авахад ийм амархан байсан. Баг:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Root tracker-ийн нэгэн адил та байгууллагын нөөц болон бусад хаагдсан сайтуудыг чиглүүлэх боломжтой.
Зохиогч таныг цамцаа тайлалгүйгээр root tracker болон корпорацийн портал руу нэгэн зэрэг нэвтрэхэд таатай байх болно гэж найдаж байна.
Эх сурвалж: www.habr.com