Dalam panduan langkah demi langkah ini, saya akan memberitahu anda cara menyediakan Mikrotik supaya tapak terlarang dibuka secara automatik melalui VPN ini dan anda boleh mengelak daripada menari dengan rebana: sediakannya sekali dan semuanya berfungsi.
Saya memilih SoftEther sebagai VPN saya: ia semudah untuk disediakan dan sama pantas. Saya mendayakan Secure NAT pada bahagian pelayan VPN, tiada tetapan lain dibuat.
Saya menganggap RRAS sebagai alternatif, tetapi Mikrotik tidak tahu bagaimana untuk bekerja dengannya. Sambungan diwujudkan, VPN berfungsi, tetapi Mikrotik tidak dapat mengekalkan sambungan tanpa sambungan semula berterusan dan ralat dalam log.
Tetapan dibuat pada contoh RB3011UiAS-RM pada perisian tegar versi 6.46.11.
Sekarang, mengikut urutan, apa dan mengapa.
1. Sediakan sambungan VPN
Sebagai penyelesaian VPN, sudah tentu, SoftEther, L2TP dengan kunci prakongsi telah dipilih. Tahap keselamatan ini cukup untuk sesiapa sahaja, kerana hanya penghala dan pemiliknya mengetahui kuncinya.
Pergi ke bahagian antara muka. Mula-mula, kami menambah antara muka baharu, dan kemudian kami memasukkan ip, log masuk, kata laluan dan kunci kongsi ke dalam antara muka. Tekan ok.
Perintah yang sama:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther akan berfungsi tanpa mengubah cadangan ipsec dan profil ipsec, kami tidak mempertimbangkan konfigurasi mereka, tetapi pengarang meninggalkan tangkapan skrin profilnya, untuk berjaga-jaga.
Untuk RRAS dalam Cadangan IPsec, cuma tukar Kumpulan PFS kepada tiada.
Kini anda perlu berdiri di belakang NAT pelayan VPN ini. Untuk melakukan ini, kita perlu pergi ke IP > Firewall > NAT.
Di sini kami mendayakan penyamaran untuk antara muka PPP tertentu, atau semua. Penghala pengarang disambungkan kepada tiga VPN sekaligus, jadi saya melakukan ini:
Perintah yang sama:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Tambah Peraturan pada Mangle
Perkara pertama yang anda mahu, sudah tentu, adalah untuk melindungi semua yang paling berharga dan tidak berdaya, iaitu trafik DNS dan HTTP. Mari mulakan dengan HTTP.
Pergi ke IP β Firewall β Mangle dan buat peraturan baharu.
Dalam peraturan, Rantaian pilih Prerouting.
Jika terdapat SFP Pintar atau penghala lain di hadapan penghala, dan anda ingin menyambung kepadanya melalui antara muka web, dalam Dst. Alamat perlu memasukkan alamat IP atau subnetnya dan meletakkan tanda negatif untuk tidak menggunakan Mangle pada alamat atau subnet tersebut. Pengarang mempunyai SFP GPON ONU dalam mod jambatan, jadi pengarang mengekalkan keupayaan untuk menyambung ke webmordnya.
Secara lalai, Mangle akan menggunakan peraturannya kepada semua Negeri NAT, ini akan menjadikan pemajuan port pada IP putih anda mustahil, jadi dalam Negeri Sambungan NAT, semak dstnat dan tanda negatif. Ini akan membolehkan kami menghantar trafik keluar melalui rangkaian melalui VPN, tetapi masih memajukan port melalui IP putih kami.
Seterusnya, pada tab Tindakan, pilih laluan tanda, namakan Tanda Laluan Baharu supaya ia jelas kepada kami pada masa hadapan dan teruskan.
Perintah yang sama:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Sekarang mari kita beralih kepada mengamankan DNS. Dalam kes ini, anda perlu membuat dua peraturan. Satu untuk penghala, satu lagi untuk peranti yang disambungkan ke penghala.
Jika anda menggunakan DNS terbina dalam penghala, yang dilakukan oleh pengarang, ia juga mesti dilindungi. Oleh itu, untuk peraturan pertama, seperti di atas, kita pilih rantaian prerouting, untuk yang kedua, kita perlu memilih output.
Output ialah rantai yang digunakan oleh penghala itu sendiri untuk permintaan menggunakan fungsinya. Semuanya di sini serupa dengan HTTP, protokol UDP, port 53.
Perintah yang sama:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Membina laluan melalui VPN
Pergi ke IP β Laluan dan buat laluan baharu.
Laluan untuk penghalaan HTTP melalui VPN. Nyatakan nama antara muka VPN kami dan pilih Tanda Laluan.
Pada peringkat ini, anda telah merasakan bagaimana pengendali anda telah berhenti .
Perintah yang sama:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Peraturan untuk perlindungan DNS akan kelihatan sama, cuma pilih label yang dikehendaki:
Di sini anda merasakan bagaimana pertanyaan DNS anda berhenti mendengar. Perintah yang sama:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Nah, pada akhirnya, buka kunci Rutracker. Keseluruhan subnet adalah miliknya, jadi subnet ditentukan.
Begitulah mudahnya untuk mendapatkan kembali Internet. Pasukan:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Dengan cara yang sama seperti penjejak akar, anda boleh mengarahkan sumber korporat dan tapak lain yang disekat.
Penulis berharap anda akan menghargai kemudahan mengakses root tracker dan portal korporat pada masa yang sama tanpa menanggalkan sweater anda.
Sumber: www.habr.com