In deze stapsgewijze handleiding vertel ik je hoe je Mikrotik zo instelt dat verboden sites automatisch openen via deze VPN en je het dansen met tamboerijnen kunt vermijden: één keer instellen en alles werkt.
Ik koos SoftEther als mijn VPN: het is net zo eenvoudig in te stellen als en net zo snel. Ik heb Secure NAT aan de kant van de VPN-server ingeschakeld, er zijn geen andere instellingen gemaakt.
Ik heb RRAS overwogen als alternatief, maar Mikrotik weet niet hoe ermee te werken. De verbinding is tot stand gebracht, de VPN werkt, maar Mikrotik kan geen verbinding onderhouden zonder constant opnieuw verbinding te maken en fouten in het logboek.
De instelling is gemaakt op het voorbeeld van RB3011UiAS-RM op firmwareversie 6.46.11.
Nu, in volgorde, wat en waarom.
1. Zet een VPN-verbinding op
Als VPN-oplossing is natuurlijk gekozen voor SoftEther, L2TP met een preshared key. Dit beveiligingsniveau is voor iedereen voldoende, omdat alleen de router en de eigenaar de sleutel kennen.
Ga naar het gedeelte interfaces. Eerst voegen we een nieuwe interface toe en vervolgens voeren we ip, login, wachtwoord en gedeelde sleutel in de interface in. Druk op OK.
Zelfde commando:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther zal werken zonder ipsec-voorstellen en ipsec-profielen te wijzigen, we houden geen rekening met hun configuratie, maar de auteur heeft screenshots van zijn profielen achtergelaten, voor het geval dat.
Voor RRAS in IPsec-voorstellen wijzigt u gewoon de PFS-groep in geen.
Nu moet je achter de NAT van deze VPN-server gaan staan. Om dit te doen, moeten we naar IP> Firewall> NAT gaan.
Hier schakelen we maskerade in voor een specifieke of alle PPP-interfaces. De router van de auteur is verbonden met drie VPN's tegelijk, dus ik deed dit:
Zelfde commando:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Voeg regels toe aan Mangel
Het eerste dat u natuurlijk wilt, is alles beschermen wat het meest waardevol en weerloos is, namelijk DNS- en HTTP-verkeer. Laten we beginnen met HTTP.
Ga naar IP β Firewall β Mangle en maak een nieuwe regel aan.
Kies in de regel Chain voor Prerouting.
Als er een Smart SFP of een andere router voor de router staat, en je wilt daar verbinding mee maken via de webinterface, in de Dst. Adres moet zijn IP-adres of subnet invoeren en een negatief teken plaatsen om Mangle niet toe te passen op het adres of op dat subnet. De auteur heeft SFP GPON ONU in bridge-modus, dus de auteur behield de mogelijkheid om verbinding te maken met zijn webmord.
Standaard past Mangle zijn regel toe op alle NAT-staten, dit maakt port forwarding op uw witte IP onmogelijk, dus vink in de verbinding NAT-status dstnat en een negatief teken aan. Hierdoor kunnen we uitgaand verkeer over het netwerk verzenden via de VPN, maar nog steeds poorten doorsturen via ons witte IP-adres.
Selecteer vervolgens op het tabblad Actie markeerroutering, noem Nieuwe routeringsmarkering zodat het voor ons in de toekomst duidelijk is en ga verder.
Zelfde commando:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Laten we nu verder gaan met het beveiligen van DNS. In dit geval moet u twee regels maken. Een voor de router, de andere voor apparaten die op de router zijn aangesloten.
Als u de DNS gebruikt die in de router is ingebouwd, wat de auteur doet, moet deze ook worden beschermd. Daarom selecteren we voor de eerste regel, zoals hierboven, chain prerouting, voor de tweede moeten we uitvoer selecteren.
Uitvoer is een ketting die de router zelf gebruikt voor verzoeken met behulp van zijn functionaliteit. Alles is hier vergelijkbaar met HTTP, UDP-protocol, poort 53.
Dezelfde commando's:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Een route bouwen via VPN
Ga naar IP β Routes en maak nieuwe routes aan.
Route voor HTTP-routering via VPN. Specificeer de naam van onze VPN-interfaces en selecteer Routing Mark.
In dit stadium heeft u al gevoeld hoe uw operator is gestopt .
Zelfde commando:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
De regels voor DNS-bescherming zien er precies hetzelfde uit, selecteer gewoon het gewenste label:
Hier voelde je hoe je DNS-query's niet meer luisterden. Dezelfde commando's:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Ontgrendel uiteindelijk Rutracker. Het hele subnet is van hem, dus het subnet is gespecificeerd.
Zo gemakkelijk was het om internet terug te krijgen. Team:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Op precies dezelfde manier als met de root-tracker kunt u bedrijfsbronnen en andere geblokkeerde sites routeren.
De auteur hoopt dat u het gemak zult waarderen om tegelijkertijd toegang te krijgen tot de roottracker en het bedrijfsportaal zonder uw trui uit te doen.
Bron: www.habr.com