W tym przewodniku krok po kroku powiem ci, jak skonfigurować Mikrotik, aby zabronione strony otwierały się automatycznie przez tę sieć VPN i można było uniknąć tańczenia z tamburynami: skonfiguruj to raz i wszystko działa.
Wybrałem SoftEther jako moją sieć VPN: jest tak łatwa w konfiguracji jak i tak samo szybko. Włączyłem Secure NAT po stronie serwera VPN, nie wprowadzono żadnych innych ustawień.
Rozważałem RRAS jako alternatywę, ale Mikrotik nie wie, jak z tym pracować. Połączenie jest ustanowione, VPN działa, ale Mikrotik nie może utrzymać połączenia bez ciągłych ponownych połączeń i błędów w logu.
Ustawienie zostało wykonane na przykładzie RB3011UiAS-RM na firmware w wersji 6.46.11.
A teraz po kolei, co i dlaczego.
1. Skonfiguruj połączenie VPN
Jako rozwiązanie VPN wybrano oczywiście SoftEther, L2TP z kluczem wstępnym. Ten poziom bezpieczeństwa jest wystarczający dla każdego, ponieważ tylko router i jego właściciel znają klucz.
Przejdź do sekcji interfejsów. Najpierw dodajemy nowy interfejs, a następnie w interfejsie wpisujemy ip, login, hasło i klucz współdzielony. Wciśnij OK.
To samo polecenie:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther będzie działać bez zmiany propozycji ipsec i profili ipsec, nie bierzemy pod uwagę ich konfiguracji, ale autor na wszelki wypadek zostawił zrzuty ekranu swoich profili.
W przypadku RRAS w propozycjach IPsec po prostu zmień grupę PFS na brak.
Teraz musisz stanąć za NAT tego serwera VPN. Aby to zrobić, musimy przejść do IP> Zapora sieciowa> NAT.
Tutaj włączamy maskaradę dla określonego lub wszystkich interfejsów PPP. Router autora jest podłączony do trzech sieci VPN jednocześnie, więc zrobiłem to:
To samo polecenie:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Dodaj reguły do Mangle
Pierwszą rzeczą, której chcesz, jest oczywiście ochrona wszystkiego, co najcenniejsze i bezbronne, a mianowicie ruchu DNS i HTTP. Zacznijmy od HTTP.
Przejdź do IP → Firewall → Mangle i utwórz nową regułę.
W regule Chain wybierz Prerouting.
Jeśli przed routerem znajduje się Smart SFP lub inny router i chcesz się z nim połączyć przez interfejs sieciowy, w Dst. Adres musi wprowadzić swój adres IP lub podsieć i umieścić znak ujemny, aby nie stosować Mangle do adresu lub do tej podsieci. Autor posiada SFP GPON ONU w trybie bridge, dzięki czemu autor zachował możliwość łączenia się ze swoim webmordem.
Domyślnie Mangle zastosuje swoją regułę do wszystkich stanów NAT, co uniemożliwi przekierowanie portów na twoim białym IP, więc w stanie połączenia NAT sprawdź dstnat i znak ujemny. Umożliwi nam to wysyłanie ruchu wychodzącego przez sieć przez VPN, ale nadal przekierowuje porty przez nasze białe IP.
Następnie na zakładce Action wybieramy mark routing, nazwijmy New Routing Mark aby było to dla nas jasne w przyszłości i przejdźmy dalej.
To samo polecenie:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Przejdźmy teraz do zabezpieczania DNS. W takim przypadku musisz utworzyć dwie reguły. Jeden dla routera, drugi dla urządzeń podłączonych do routera.
Jeśli korzystasz z DNS wbudowanego w router, co robi autor, musi być również chroniony. Dlatego dla pierwszej reguły, jak wyżej, wybieramy prerouting łańcucha, ale dla drugiej musimy wybrać wyjście.
Wyjście to łańcuch, którego sam router używa do żądań wykorzystujących jego funkcjonalność. Wszystko tutaj jest podobne do protokołu HTTP, UDP, port 53.
Te same polecenia:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Budowanie trasy przez VPN
Przejdź do IP → Trasy i utwórz nowe trasy.
Trasa dla routingu HTTP przez VPN. Podaj nazwę naszych interfejsów VPN i wybierz Routing Mark.
Na tym etapie już poczułeś, jak Twój operator się zatrzymał .
To samo polecenie:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Zasady ochrony DNS będą wyglądać dokładnie tak samo, wystarczy wybrać odpowiednią etykietę:
Tutaj poczułeś, jak twoje zapytania DNS przestały nasłuchiwać. Te same polecenia:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Cóż, w końcu odblokuj Rutrackera. Cała podsieć należy do niego, więc podsieć jest określona.
Tak łatwo było odzyskać Internet. Zespół:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
W dokładnie taki sam sposób, jak w przypadku modułu śledzącego root, możesz kierować zasoby korporacyjne i inne zablokowane witryny.
Autor ma nadzieję, że docenisz wygodę jednoczesnego dostępu do root trackera i portalu korporacyjnego bez zdejmowania swetra.
Źródło: www.habr.com