Mikrotik र VPN को साथ इन्टरनेट अनब्लक गर्नुहोस्: विस्तृत ट्यूटोरियल

यस चरण-दर-चरण गाइडमा, म तपाईंलाई Mikrotik कसरी सेटअप गर्ने भनेर बताउनेछु ताकि निषेधित साइटहरू स्वचालित रूपमा यस VPN मार्फत खुल्छन् र तपाईं टम्बोरिनसँग नाच्नबाट बच्न सक्नुहुन्छ: यसलाई एक पटक सेट गर्नुहोस् र सबै काम गर्दछ।

मैले मेरो VPN को रूपमा SoftEther छनोट गरे: यो सेटअप गर्न सजिलो छ RRAS र जस्तै छिटो। मैले VPN सर्भर साइडमा सुरक्षित NAT सक्षम गरें, कुनै अन्य सेटिङहरू बनाइएन।

मैले RRAS लाई विकल्पको रूपमा सोचें, तर Mikrotik सँग कसरी काम गर्ने थाहा छैन। जडान स्थापित भयो, VPN काम गर्दछ, तर Mikrotik ले लगमा निरन्तर पुन: जडान र त्रुटिहरू बिना जडान कायम गर्न सक्दैन।

सेटिङ फर्मवेयर संस्करण 3011 मा RB6.46.11UiAS-RM को उदाहरणमा बनाइएको थियो।
अब, क्रम मा, के र किन।

1. VPN जडान सेटअप गर्नुहोस्

VPN समाधानको रूपमा, निस्सन्देह, SoftEther, L2TP पहिले साझा गरिएको कुञ्जीसँग छनोट गरिएको थियो। सुरक्षाको यो स्तर जो कोहीको लागि पर्याप्त छ, किनभने केवल राउटर र यसको मालिकलाई कुञ्जी थाहा छ।

इन्टरफेस सेक्सनमा जानुहोस्। पहिले, हामी नयाँ इन्टरफेस थप्छौं, र त्यसपछि हामी इन्टरफेसमा आईपी, लगइन, पासवर्ड र साझा कुञ्जी प्रविष्ट गर्छौं। ठीक थिच्नुहोस्।

एउटै आदेश:

/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"

SoftEther ले ipsec प्रस्तावहरू र ipsec प्रोफाइलहरू परिवर्तन नगरिकन काम गर्नेछ, हामी तिनीहरूको कन्फिगरेसनलाई विचार गर्दैनौं, तर लेखकले आफ्नो प्रोफाइलहरूको स्क्रिनसटहरू छोडेका छन्, केवल मामलामा।

IPsec प्रस्तावहरूमा RRAS को लागि, PFS समूहलाई कुनै पनि नबनाउनुहोस्।

अब तपाईले यो VPN सर्भरको NAT पछाडि उभिनु आवश्यक छ। यो गर्नको लागि, हामीले IP> Firewall> NAT मा जानुपर्छ।

यहाँ हामी एक विशिष्ट, वा सबै, PPP इन्टरफेसहरूको लागि मास्करेड सक्षम गर्दछौं। लेखकको राउटर एकै पटक तीन VPN मा जोडिएको छ, त्यसैले मैले यो गरें:

एउटै आदेश:

/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp

2. Mangle मा नियमहरू थप्नुहोस्

तपाईले चाहानु भएको पहिलो कुरा, निस्सन्देह, सबै भन्दा मूल्यवान र रक्षाहीन, अर्थात् DNS र HTTP ट्राफिकको सुरक्षा गर्नु हो। HTTP बाट सुरु गरौं।

IP → Firewall → Mangle मा जानुहोस् र नयाँ नियम सिर्जना गर्नुहोस्।

नियममा, चेनले प्रिरुटिङ रोज्नुहोस्।

यदि राउटरको अगाडि स्मार्ट SFP वा अर्को राउटर छ, र तपाइँ वेब इन्टरफेस मार्फत जडान गर्न चाहनुहुन्छ भने, Dst मा। ठेगानाले यसको IP ठेगाना वा सबनेट प्रविष्ट गर्न आवश्यक छ र ठेगाना वा त्यो सबनेटमा Mangle लागू नगर्न नकारात्मक चिन्ह राख्नु पर्छ। लेखकसँग ब्रिज मोडमा SFP GPON ONU छ, त्यसैले लेखकले आफ्नो वेबमोर्डमा जडान गर्ने क्षमता राख्यो।

पूर्वनिर्धारित रूपमा, Mangle ले सबै NAT राज्यहरूमा यसको नियम लागू गर्नेछ, यसले तपाईंको सेतो IP मा पोर्ट फर्वार्डिङ असम्भव बनाउनेछ, त्यसैले जडान NAT राज्यमा, dstnat र नकारात्मक चिन्ह जाँच गर्नुहोस्। यसले हामीलाई VPN मार्फत नेटवर्कमा आउटबाउन्ड ट्राफिक पठाउन अनुमति दिनेछ, तर अझै पनि हाम्रो सेतो IP मार्फत पोर्टहरू फर्वार्ड गर्नुहोस्।

अर्को, कार्य ट्याबमा, मार्क राउटिङ चयन गर्नुहोस्, नयाँ राउटिङ मार्क नाम दिनुहोस् ताकि भविष्यमा यो हामीलाई स्पष्ट होस् र अगाडि बढ्नुहोस्।

एउटै आदेश:

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80

अब DNS सुरक्षित गर्न अगाडि बढौं। यस अवस्थामा, तपाईंले दुई नियमहरू सिर्जना गर्न आवश्यक छ। एउटा राउटरको लागि, अर्को राउटरमा जडान भएका यन्त्रहरूको लागि।

यदि तपाइँ राउटरमा निर्मित DNS प्रयोग गर्नुहुन्छ, जुन लेखकले गर्छ, यो पनि सुरक्षित हुनुपर्छ। त्यसकारण, पहिलो नियमको लागि, माथिको रूपमा, हामीले चेन प्रिरोउटिंग चयन गर्छौं, दोस्रोको लागि, हामीले आउटपुट चयन गर्न आवश्यक छ।

आउटपुट एक श्रृंखला हो जुन राउटरले यसको कार्यक्षमता प्रयोग गरेर अनुरोधहरूको लागि प्रयोग गर्दछ। यहाँ सबै HTTP, UDP प्रोटोकल, पोर्ट 53 जस्तै छ।

एउटै आदेश:

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53

3. VPN मार्फत मार्ग निर्माण गर्दै

IP → मार्गहरूमा जानुहोस् र नयाँ मार्गहरू सिर्जना गर्नुहोस्।

VPN मा HTTP राउटिङको लागि मार्ग। हाम्रो VPN इन्टरफेसहरूको नाम निर्दिष्ट गर्नुहोस् र रूटिङ मार्क चयन गर्नुहोस्।

यस चरणमा, तपाईंले पहिले नै महसुस गर्नुभएको छ कि तपाईंको अपरेटर कसरी रोकिएको छ तपाईंको HTTP ट्राफिकमा विज्ञापनहरू इम्बेड गर्नुहोस्.

एउटै आदेश:

/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP

DNS सुरक्षाका लागि नियमहरू ठ्याक्कै उस्तै देखिनेछन्, केवल इच्छित लेबल चयन गर्नुहोस्:

यहाँ तपाईंले महसुस गर्नुभयो कि कसरी तपाईंको DNS प्रश्नहरू सुन्न बन्द भयो। एउटै आदेश:

/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router

ठीक छ, अन्तमा, Rutracker अनलक गर्नुहोस्। सम्पूर्ण सबनेट उहाँको हो, त्यसैले सबनेट निर्दिष्ट गरिएको छ।

यो इन्टरनेट फिर्ता प्राप्त गर्न कति सजिलो थियो। टोली:

/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org

रूट ट्र्याकरको साथ जस्तै, तपाइँ कर्पोरेट स्रोतहरू र अन्य अवरुद्ध साइटहरू मार्ग गर्न सक्नुहुन्छ।

लेखकले आशा गर्दछ कि तपाईले रूट ट्र्याकर र कर्पोरेट पोर्टल एकै समयमा पहुँच गर्ने सुविधाको कदर गर्नुहुनेछ तपाईको स्वेटर नउठाएर।

स्रोत: www.habr.com