Mikrotik နှင့် VPN ဖြင့်အင်တာနက်ကိုဖွင့်ပါ- အသေးစိတ်သင်ခန်းစာ

ဤတစ်ဆင့်ပြီးတစ်ဆင့်လမ်းညွှန်တွင်၊ တားမြစ်ထားသောဆိုဒ်များကို ဤ VPN မှတစ်ဆင့် အလိုအလျောက်ဖွင့်နိုင်စေရန်အတွက် Mikrotik ကို စနစ်ထည့်သွင်းနည်းကို ကျွန်ုပ်ပြောပြမည်ဖြစ်ပြီး၊ ၎င်းကို တစ်ကြိမ်တည်းသတ်မှတ်ပြီး အရာအားလုံး အဆင်ပြေမည်ဖြစ်သည်။

ကျွန်ုပ်သည် SoftEther ကို ကျွန်ုပ်၏ VPN အဖြစ် ရွေးချယ်ခဲ့သည်- ၎င်းသည် စနစ်ထည့်သွင်းရန် လွယ်ကူပါသည်။ RRAS မြန်မြန်။ VPN ဆာဗာဘက်ခြမ်းတွင် Secure NAT ကိုဖွင့်ထားသော်လည်း အခြားဆက်တင်များမပြုလုပ်ခဲ့ပါ။

RRAS ကို အခြားရွေးချယ်စရာတစ်ခုအဖြစ် ကျွန်တော်ယူဆခဲ့သော်လည်း Mikrotik သည် ၎င်းနှင့် မည်သို့လုပ်ဆောင်ရမည်ကို မသိပါ။ ချိတ်ဆက်မှုကို တည်ဆောက်ထားပြီး၊ VPN သည် အလုပ်လုပ်သော်လည်း မှတ်တမ်းတွင် အဆက်မပြတ်ပြန်လည်ချိတ်ဆက်မှုများနှင့် အမှားအယွင်းများမရှိဘဲ Mikrotik သည် ချိတ်ဆက်မှုကို မထိန်းသိမ်းနိုင်ပါ။

firmware ဗားရှင်း 3011 တွင် RB6.46.11UiAS-RM ၏ နမူနာတွင် ဆက်တင်ကို ပြုလုပ်ထားသည်။
ကဲ၊ ဘာနဲ့ဘာဖြစ်လို့လဲ။

1. VPN ချိတ်ဆက်မှုကို သတ်မှတ်ပါ။

VPN ဖြေရှင်းချက်အနေဖြင့်၊ SoftEther၊ L2TP ကို ​​ကြိုတင်မျှဝေထားသောသော့ဖြင့် ရွေးချယ်ခဲ့သည်။ Router နှင့် ၎င်း၏ပိုင်ရှင်သာလျှင် သော့ကိုသိသောကြောင့် ဤလုံခြုံရေးအဆင့်သည် မည်သူမဆိုအတွက် လုံလောက်ပါသည်။

အင်တာဖေ့စ်ကဏ္ဍကို သွားပါ။ ပထမဦးစွာ၊ ကျွန်ုပ်တို့သည် အင်တာဖေ့စ်အသစ်တစ်ခုကို ပေါင်းထည့်ပြီးနောက် အင်တာဖေ့စ်ထဲသို့ ip၊ လော့ဂ်အင်၊ စကားဝှက်နှင့် မျှဝေထားသောသော့တို့ကို ထည့်ပါ။ ok နှိပ်ပါ။

တူညီသောအမိန့်

/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"

SoftEther သည် ipsec အဆိုပြုချက်များနှင့် ipsec ပရိုဖိုင်များကို ပြောင်းလဲခြင်းမပြုဘဲ လုပ်ဆောင်သွားမည်ဖြစ်ပြီး၊ ၎င်းတို့၏ဖွဲ့စည်းပုံကို ကျွန်ုပ်တို့ ထည့်သွင်းစဉ်းစားမည်မဟုတ်သော်လည်း စာရေးသူသည် ၎င်း၏ပရိုဖိုင်များ၏ screenshots များကို ချန်ထားခဲ့သည်။

IPsec အဆိုပြုချက်များရှိ RRAS အတွက်၊ PFS Group ကို မည်သည်ကိုမျှ ပြောင်းလဲပါ။

ယခု သင်သည် ဤ VPN ဆာဗာ၏ NAT နောက်ကွယ်တွင် ရပ်တည်ရန် လိုအပ်ပါသည်။ ဒါကိုလုပ်ဖို့၊ IP > Firewall > NAT ကိုသွားရပါမယ်။

ဤနေရာတွင် ကျွန်ုပ်တို့သည် တိကျသော သို့မဟုတ် PPP အင်တာဖေ့စ်များအားလုံးအတွက် ဟန်ဆောင်မှုကို ဖွင့်ထားသည်။ စာရေးသူ၏ router သည် VPN သုံးခုကို တစ်ပြိုင်နက် ချိတ်ဆက်ထားသောကြောင့် ကျွန်ုပ်ဤသို့လုပ်ခဲ့သည်-

တူညီသောအမိန့်

/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp

2. စည်းကမ်းများကို Mangle သို့ထည့်ပါ။

သင်လိုချင်သည်မှာ ပထမဆုံးအချက်မှာ တန်ဖိုးအရှိဆုံးနှင့် အကာအကွယ်မဲ့ဖြစ်သည့် DNS နှင့် HTTP အသွားအလာများကို ကာကွယ်ရန်ဖြစ်သည်။ HTTP နဲ့ စလိုက်ရအောင်။

IP → Firewall → Manngle သို့သွားကာ စည်းမျဉ်းအသစ်တစ်ခုကို ဖန်တီးပါ။

စည်းမျဉ်းတွင်၊ Chain သည် Prerouting ကိုရွေးချယ်သည်။

အကယ်၍ Smart SFP သို့မဟုတ် router ၏ရှေ့တွင် အခြားသော router တစ်ခုရှိ၍ Dst တွင် ဝဘ်အင်တာဖေ့စ်မှတစ်ဆင့် ၎င်းနှင့်ချိတ်ဆက်လိုပါသည်။ လိပ်စာသည် ၎င်း၏ IP လိပ်စာ သို့မဟုတ် ကွန်ရက်ခွဲကို ထည့်သွင်းရန် လိုအပ်ပြီး Manngle ကို လိပ်စာ သို့မဟုတ် ထိုကွန်ရက်ခွဲသို့ မသက်ရောက်စေရန် အနုတ်လက္ခဏာဆောင်သည့် သင်္ကေတကို ထားရပါမည်။ စာရေးသူသည် တံတားမုဒ်တွင် SFP GPON ONU ပါရှိသောကြောင့် စာရေးသူသည် ၎င်း၏ webmord နှင့် ချိတ်ဆက်နိုင်စွမ်းကို ဆက်လက်ထိန်းသိမ်းထားသည်။

မူရင်းအားဖြင့်၊ Mangle သည် ၎င်း၏စည်းမျဉ်းကို NAT ပြည်နယ်အားလုံးတွင် အသုံးပြုမည်ဖြစ်ပြီး၊ ၎င်းသည် သင်၏အဖြူရောင် IP ပေါ်တွင် ဆိပ်ကမ်းကို ထပ်ဆင့်ပို့ရန် မဖြစ်နိုင်သောကြောင့် ချိတ်ဆက်မှု NAT ပြည်နယ်တွင်၊ dstnat နှင့် အနှုတ်လက္ခဏာကို စစ်ဆေးပါ။ ၎င်းသည် ကျွန်ုပ်တို့အား VPN မှတစ်ဆင့် ကွန်ရက်ပေါ်ရှိ ပြင်ပလမ်းကြောင်းကို ပေးပို့နိုင်စေမည်ဖြစ်ပြီး၊ ကျွန်ုပ်တို့၏အဖြူရောင် IP မှတစ်ဆင့် ဆိပ်ကမ်းများကို ဆက်လက်ပေးပို့နိုင်မည်ဖြစ်သည်။

ထို့နောက်၊ လုပ်ဆောင်ချက်တက်ဘ်တွင်၊ အမှတ်အသားလမ်းကြောင်းကိုရွေးချယ်ပါ၊ နောင်တွင်ကျွန်ုပ်တို့အတွက်ရှင်းလင်းပြတ်သားစေရန်နှင့် ရှေ့ဆက်ရန် New Routing Mark ဟုအမည်ပေးပါ။

တူညီသောအမိန့်

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80

ယခု DNS လုံခြုံခြင်းသို့ ဆက်သွားကြပါစို့။ ဤကိစ္စတွင်သင်သည်စည်းမျဉ်းနှစ်ခုဖန်တီးရန်လိုအပ်သည်။ တစ်ခုက router အတွက်၊ နောက်တစ်ခုက router နဲ့ ချိတ်ဆက်ထားတဲ့ စက်တွေအတွက်ပါ။

စာရေးသူလုပ်ဆောင်သော router တွင်တည်ဆောက်ထားသော DNS ကို သင်အသုံးပြုပါက၊ ၎င်းကိုလည်း ကာကွယ်ရပါမည်။ ထို့ကြောင့်၊ ပထမစည်းမျဉ်းအတွက်၊ အထက်တွင်ဖော်ပြခဲ့သည့်အတိုင်း၊ ကျွန်ုပ်တို့သည် ကွင်းဆက်ကိုကြိုတင်ပြင်ဆင်ခြင်းကိုရွေးချယ်သည်၊ ဒုတိယအတွက်၊ ကျွန်ုပ်တို့သည် output ကိုရွေးချယ်ရန်လိုအပ်သည်။

Output သည် ၎င်း၏လုပ်ဆောင်နိုင်စွမ်းကို အသုံးပြု၍ တောင်းဆိုမှုများအတွက် router ကိုယ်တိုင်အသုံးပြုသည့် ကွင်းဆက်တစ်ခုဖြစ်သည်။ ဤနေရာတွင် အရာအားလုံးသည် HTTP၊ UDP ပရိုတိုကော၊ port 53 နှင့် ဆင်တူသည်။

တူညီသောအမိန့်များ-

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53

3. VPN မှတဆင့်လမ်းကြောင်းတစ်ခုတည်ဆောက်ခြင်း။

IP → လမ်းကြောင်းများသို့သွားကာ လမ်းကြောင်းအသစ်များဖန်တီးပါ။

VPN ကိုကျော်၍ HTTP လမ်းကြောင်းအတွက် လမ်းကြောင်း။ ကျွန်ုပ်တို့၏ VPN အင်တာဖေ့စ်အမည်ကို သတ်မှတ်ပြီး Routing Mark ကို ရွေးချယ်ပါ။

ဤအဆင့်တွင်၊ သင့်အော်ပရေတာသည် မည်သို့ရပ်တန့်သွားသည်ကို သင်ခံစားပြီးဖြစ်သည်။ သင်၏ HTTP အသွားအလာတွင် ကြော်ငြာများကို ထည့်သွင်းပါ။.

တူညီသောအမိန့်

/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP

DNS ကာကွယ်ရေးအတွက် စည်းမျဉ်းများသည် အတိအကျတူညီနေမည်ဖြစ်ပြီး လိုချင်သောအညွှန်းကို ရွေးရုံသာဖြစ်သည်-

ဤတွင် သင်၏ DNS မေးမြန်းချက်များသည် နားမထောင်ခြင်းကို ရပ်တန့်သွားပုံကို ခံစားလိုက်ရပါသည်။ တူညီသောအမိန့်များ-

/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router

ကောင်းပြီ၊ နောက်ဆုံးတွင်၊ Rutracker ကိုသော့ဖွင့်ပါ။ subnet တစ်ခုလုံးသည် သူပိုင်သောကြောင့် subnet ကိုသတ်မှတ်ထားသည်။

အင်တာနက်ပြန်ရဖို့က ဘယ်လောက်လွယ်လဲ။ အသင်းအဖွဲ့:

/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org

root tracker ကဲ့သို့ပင်၊ သင်သည် ကော်ပိုရိတ်အရင်းအမြစ်များနှင့် အခြားပိတ်ဆို့ထားသောဆိုက်များကို လမ်းကြောင်းပေးနိုင်သည်။

သင်၏ဆွယ်တာအင်္ကျီကိုမချွတ်ဘဲတစ်ပြိုင်နက်တည်း root tracker နှင့်ကော်ပိုရိတ်ပေါ်တယ်ကိုသင်ဝင်ရောက်ခြင်း၏အဆင်ပြေမှုကိုနားလည်သဘောပေါက်လိမ့်မည်ဟုစာရေးသူမှမျှော်လင့်ပါသည်။

source: www.habr.com