F'din il-gwida pass pass, ser ngħidlek kif twaqqaf Mikrotik sabiex is-siti projbiti jinfetħu awtomatikament permezz ta 'din il-VPN u tkun tista' tevita li tiżfen bit-tambourines: waqqafha darba u kollox jaħdem.
Għażilt SoftEther bħala l-VPN tiegħi: huwa faċli li titwaqqaf daqs u daqstant mgħaġġel. Ippermettiet Secure NAT fuq in-naħa tas-server VPN, ma saru l-ebda settings oħra.
Jien ikkunsidrajt RRAS bħala alternattiva, iżda Mikrotik ma tafx kif taħdem magħha. Il-konnessjoni hija stabbilita, il-VPN taħdem, iżda Mikrotik ma tistax iżżomm konnessjoni mingħajr reconnects kostanti u żbalji fil-log.
L-issettjar sar fuq l-eżempju ta 'RB3011UiAS-RM fuq il-verżjoni tal-firmware 6.46.11.
Issa, fl-ordni, xiex u għaliex.
1. Twaqqaf konnessjoni VPN
Bħala soluzzjoni VPN, ovvjament, intgħażlet SoftEther, L2TP b'ċavetta preshared. Dan il-livell ta 'sigurtà huwa biżżejjed għal kulħadd, għaliex ir-router u sid tiegħu biss jafu ċ-ċavetta.
Mur fit-taqsima tal-interfaces. L-ewwel, inżidu interface ġdid, u mbagħad nidħlu ip, login, password u ċavetta maqsuma fl-interface. Agħfas ok.
L-istess kmand:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther se jaħdem mingħajr ma jbiddel il-proposti ipsec u l-profili ipsec, ma nqisux il-konfigurazzjoni tagħhom, iżda l-awtur ħalla screenshots tal-profili tiegħu, fil-każ.
Għal RRAS fil-Proposti IPsec, ibdel il-Grupp PFS għal xejn.
Issa trid toqgħod wara n-NAT ta’ dan is-server VPN. Biex tagħmel dan, irridu mmorru IP > Firewall > NAT.
Hawnhekk nippermettu masquerade għal interfaces PPP speċifiċi, jew kollha. Ir-router tal-awtur huwa konness ma 'tliet VPNs f'daqqa, għalhekk għamilt dan:
L-istess kmand:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Żid Regoli għal Mangle
L-ewwel ħaġa li trid, ovvjament, hija li tipproteġi dak kollu li huwa l-aktar siewi u bla difiża, jiġifieri t-traffiku DNS u HTTP. Nibdew bl HTTP.
Mur IP → Firewall → Mangle u oħloq regola ġdida.
Fir-regola, Katina tagħżel Prerouting.
Jekk hemm Smart SFP jew router ieħor quddiem ir-router, u trid tikkonnettja miegħu permezz tal-interface tal-web, fid-Dst. L-indirizz jeħtieġ li jdaħħal l-indirizz IP jew is-subnet tiegħu u jpoġġi sinjal negattiv biex ma japplikax Mangle għall-indirizz jew għal dik is-subnet. L-awtur għandu SFP GPON ONU fil-modalità pont, għalhekk l-awtur żamm il-ħila li jgħaqqad mal-webmord tiegħu.
B'mod awtomatiku, Mangle se japplika r-regola tiegħu għall-Istati NAT kollha, dan se jagħmel port forwarding fuq l-IP abjad tiegħek impossibbli, għalhekk fl-Istat NAT tal-Konnessjoni, iċċekkja dstnat u sinjal negattiv. Dan se jippermettilna nibagħtu traffiku 'l barra fuq in-netwerk permezz tal-VPN, iżda xorta ngħaddu l-portijiet permezz tal-IP abjad tagħna.
Sussegwentement, fuq it-tab Azzjoni, agħżel ir-routing tal-marka, semmi New Routing Mark sabiex ikun ċar għalina fil-futur u nimxu 'l quddiem.
L-istess kmand:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Issa ejja nkomplu biex niżguraw id-DNS. F'dan il-każ, għandek bżonn toħloq żewġ regoli. Waħda għar-router, l-oħra għall-apparati konnessi mar-router.
Jekk tuża d-DNS mibni fir-router, li jagħmel l-awtur, għandu jkun protett ukoll. Għalhekk, għall-ewwel regola, bħal hawn fuq, aħna nagħżlu katina prerouting, għat-tieni, għandna bżonn nagħżlu l-output.
L-output huwa katina li r-router innifsu juża għal talbiet li juża l-funzjonalità tiegħu. Kollox hawnhekk huwa simili għal HTTP, protokoll UDP, port 53.
L-istess kmandi:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Bini ta 'rotta permezz ta' VPN
Mur IP → Rotot u oħloq rotot ġodda.
Rotta għal rotta HTTP fuq VPN. Speċifika l-isem tal-interfaces VPN tagħna u agħżel Marka tar-Rotot.
F'dan l-istadju, diġà ħassejt kif l-operatur tiegħek waqaf .
L-istess kmand:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Ir-regoli għall-protezzjoni tad-DNS se jidhru eżattament l-istess, agħżel biss it-tikketta mixtieqa:
Hawnhekk ħassejt kif il-mistoqsijiet tad-DNS tiegħek waqfu jisimgħu. L-istess kmandi:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Ukoll, fl-aħħar, nisfruttaw Rutracker. Is-subnet kollu jappartjeni lilu, għalhekk is-subnet hija speċifikata.
Hekk kien faċli li tikseb l-Internet lura. Tim:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Eżattament bl-istess mod bħall-tracker tal-għeruq, tista 'rotta riżorsi korporattivi u siti oħra mblukkati.
L-awtur jittama li tapprezza l-konvenjenza li taċċessa t-tracker tal-għeruq u l-portal korporattiv fl-istess ħin mingħajr ma tneħħi s-sweaper tiegħek.
Sors: www.habr.com