I denne trinnvise guiden vil jeg fortelle deg hvordan du setter opp Mikrotik slik at forbudte nettsteder automatisk åpnes gjennom denne VPN-en, og du kan unngå å danse med tamburiner: konfigurer den en gang og alt fungerer.
Jeg valgte SoftEther som VPN: det er like enkelt å sette opp som og like raskt. På VPN-serversiden aktiverte jeg Secure NAT; ingen andre innstillinger ble gjort.
Jeg vurderte RRAS som et alternativ, men Mikrotik vet ikke hvordan det skal jobbes med det. Forbindelsen er opprettet, VPN fungerer, men Mikrotik klarer ikke å opprettholde forbindelsen uten konstante retilkoblinger og feil i loggen.
Oppsettet ble utført ved å bruke eksemplet med RB3011UiAS-RM på fastvareversjon 6.46.11.
Nå, i rekkefølge, hva og hvorfor.
1. Etabler en VPN-tilkobling
Selvfølgelig ble SoftEther, L2TP med en forhåndsdelt nøkkel, valgt som VPN-løsning. Dette sikkerhetsnivået er nok for alle, fordi bare ruteren og eieren kjenner nøkkelen.
Gå til grensesnittdelen. Først legger vi til et nytt grensesnitt, og skriver deretter inn ip, pålogging, passord og delt nøkkel i grensesnittet. Klikk ok.
Samme kommando:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther vil fungere uten å endre ipsec-forslag og ipsec-profiler, vi vurderer ikke å sette dem opp, men forfatteren la skjermbilder av profilene sine, for sikkerhets skyld.
For RRAS i IPsec-forslag, bare endre PFS Group til ingen.
Nå må du stå bak NAT-en til denne VPN-serveren. For å gjøre dette må vi gå til IP> Brannmur> NAT.
Her aktiverer vi maskerade for et spesifikt eller alle PPP-grensesnitt. Forfatterens ruter er koblet til tre VPN-er samtidig, så jeg gjorde dette:
Samme kommando:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Legg til regler i Mangle
Det første jeg ønsker er selvfølgelig å beskytte alt som er mest verdifullt og forsvarsløst, nemlig DNS- og HTTP-trafikk. La oss starte med HTTP.
Gå til IP → Brannmur → Mangle og lag en ny regel.
I regelen Kjede, velg Forhåndsruting.
Hvis det er en Smart SFP eller en annen ruter foran ruteren, og du ønsker å koble til den via webgrensesnittet, i Dst-feltet. Adresse du må angi IP-adressen eller subnettet og sette et negativt tegn for ikke å bruke Mangle på adressen eller på dette subnettet. Forfatteren har en SFP GPON ONU i bromodus, så forfatteren beholdt muligheten til å koble til sitt nettgrensesnitt.
Som standard vil Mangle bruke sin regel på alle NAT-stater, dette vil gjøre portvideresending over din hvite IP umulig, så i Connection NAT State setter vi en hake på dstnat og et negativt tegn. Dette vil tillate oss å sende utgående trafikk over nettverket gjennom VPN, men fortsatt videresende porter gjennom vår hvite IP.
Deretter, på Action-fanen, velger du merke ruting, kall det New Routing Mark slik at det blir klart for oss i fremtiden og gå videre.
Samme kommando:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
La oss nå gå videre til DNS-beskyttelse. I dette tilfellet må du lage to regler. En for ruteren, den andre for enheter koblet til ruteren.
Hvis du bruker DNS innebygd i ruteren, som forfatteren gjør, må den også beskyttes. Derfor, for den første regelen, som ovenfor, velger vi kjedeforruting, for den andre må vi velge utgang.
Utgang er kretsen som ruteren selv bruker til å gjøre forespørsler ved hjelp av funksjonaliteten. Alt her ligner på HTTP, UDP-protokoll, port 53.
De samme kommandoene:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Bygge en rute via VPN
Gå til IP → Ruter og lag nye ruter.
Rute for ruting av HTTP over VPN. Vi angir navnet på VPN-grensesnittene våre og velger Ruting Mark.
På dette stadiet har du allerede følt hvordan operatøren din har stoppet .
Samme kommando:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Reglene for DNS-beskyttelse vil se nøyaktig like ut, bare velg ønsket etikett:
Da følte du hvordan DNS-forespørslene dine sluttet å bli lyttet til. De samme kommandoene:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Vel, til slutt, la oss fjerne blokkeringen av Rutracker. Hele subnettet tilhører ham, så subnettet er spesifisert.
Så enkelt var det å få tilbake internett. Team:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
På nøyaktig samme måte som med en root tracker, kan du rute bedriftsressurser og andre blokkerte nettsteder.
Forfatteren håper at du vil sette pris på det praktiske ved å logge på rotsporeren og bedriftsportalen samtidig uten å ta av deg genseren.
Kilde: www.habr.com