پدې مرحلې لارښود کې ، زه به تاسو ته ووایم چې څنګه مایکروټیک تنظیم کړئ ترڅو منع شوي سایټونه په اوتومات ډول د دې VPN له لارې خلاص شي او تاسو کولی شئ د تیمبورین سره نڅا مخه ونیسئ: یوځل یې تنظیم کړئ او هرڅه کار کوي.
ما SoftEther د خپل VPN په توګه غوره کړ: دا د تنظیم کولو لپاره خورا اسانه دی او هماغسې چټک. ما د VPN سرور اړخ کې خوندي NAT فعال کړ، نور هیڅ ترتیبات ندي جوړ شوي.
ما RRAS د بدیل په توګه ګڼلی، مګر مایکروټیک نه پوهیږي چې څنګه ورسره کار وکړي. پیوستون رامینځته شوی ، VPN کار کوي ، مګر مایکروټیک نشي کولی په لاګ کې د دوامداره بیا وصل کیدو او غلطیو پرته اړیکه وساتي.
ترتیب د فرم ویئر نسخه 3011 کې د RB6.46.11UiAS-RM په مثال کې رامینځته شوی.
اوس، په ترتیب سره، څه او ولې.
1. د VPN پیوستون تنظیم کړئ
د VPN حل په توګه، البته، SoftEther، L2TP د وړاندې شوي کیلي سره غوره شوی و. د امنیت دا کچه د هرچا لپاره کافي ده، ځکه چې یوازې روټر او مالک یې کلیدي پیژني.
د انٹرفیس برخې ته لاړشئ. لومړی، موږ یو نوی انٹرفیس اضافه کوو، او بیا موږ انٹرفیس ته ip، login، پاسورډ او شریک کیلي داخلوو. ښه فشار ورکړئ.
ورته حکم:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther به د ipsec وړاندیزونو او ipsec پروفایلونو بدلولو پرته کار وکړي ، موږ د دوی تنظیمات په پام کې نه نیسو ، مګر لیکوال د هغه پروفایلونو سکرین شاټونه پریښود ، یوازې په قضیه کې.
په IPsec وړاندیزونو کې د RRAS لپاره، یوازې د PFS ګروپ هیڅ ته بدل کړئ.
اوس تاسو اړتیا لرئ د دې VPN سرور NAT شاته ودریږئ. د دې کولو لپاره، موږ باید IP> Firewall> NAT ته لاړ شو.
دلته موږ د ځانګړي یا ټولو PPP انٹرفیسونو لپاره ماسکریډ فعال کوو. د لیکوال روټر په یو وخت کې له دریو VPNs سره وصل دی ، نو ما دا وکړل:
ورته حکم:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. منګل ته قواعد اضافه کړئ
لومړی شی چې تاسو یې غواړئ، البته، د هر هغه څه ساتنه ده چې خورا ارزښتناکه او بې دفاع وي، د بیلګې په توګه د DNS او HTTP ټرافيک. راځئ چې د HTTP سره پیل وکړو.
IP → Firewall → Mangle ته لاړ شئ او یو نوی قانون جوړ کړئ.
په قاعده کې، زنځیر پریروټینګ غوره کړئ.
که چیرې د روټر مخې ته سمارټ SFP یا بل روټر شتون ولري ، او تاسو غواړئ د ویب انٹرفیس له لارې دې سره وصل شئ ، په Dst کې. پته باید خپل IP پته یا فرعي نیټ ته ننوځي او منفي نښه ولګوي ترڅو په ادرس یا هغه فرعي نیټ کې منګل پلي نه کړي. لیکوال د پل موډ کې SFP GPON ONU لري، نو لیکوال د خپل ویبمورډ سره د نښلولو وړتیا ساتلې.
په ډیفالټ ، منګل به خپل قانون په ټولو NAT ایالتونو کې پلي کړي ، دا به ستاسو په سپینه IP کې د پورټ فارورډ کول ناممکن کړي ، نو د کنکشن NAT ریاست کې ، dstnat او منفي نښه چیک کړئ. دا به موږ ته اجازه راکړي چې د VPN له لارې بهر ته ټرافيک واستوو، مګر بیا هم زموږ د سپینې IP له لارې بندرونه وړاندې کوو.
بیا، د عمل په ټب کې، د مارک روټینګ غوره کړئ، د نوي روټینګ مارک نوم ورکړئ ترڅو په راتلونکي کې موږ ته روښانه شي او پرمخ لاړ شو.
ورته حکم:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
اوس راځئ چې د DNS خوندي کولو ته لاړ شو. په دې حالت کې، تاسو باید دوه مقررات جوړ کړئ. یو د روټر لپاره، بل د روټر سره وصل شوي وسیلو لپاره.
که تاسو په روټر کې جوړ شوی DNS کاروئ، کوم چې لیکوال یې کوي، دا هم باید خوندي وي. له همدې امله، د لومړي قاعدې لپاره، لکه څنګه چې پورته، موږ د زنځیر پریروټینګ غوره کوو، د دویم لپاره، موږ اړتیا لرو چې محصول غوره کړو.
محصول یو سلسله ده چې روټر پخپله د خپل فعالیت په کارولو سره د غوښتنو لپاره کاروي. دلته هرڅه د HTTP، UDP پروتوکول، پورټ 53 سره ورته دي.
ورته حکمونه:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. د VPN له لارې د لارې جوړول
IP → روټونو ته لاړ شئ او نوې لارې جوړې کړئ.
په VPN کې د HTTP روټینګ لپاره لاره. زموږ د VPN انٹرفیس نوم مشخص کړئ او د روټینګ نښه غوره کړئ.
پدې مرحله کې، تاسو لا دمخه احساس کړی چې ستاسو آپریټر څنګه بند شوی دی .
ورته حکم:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
د DNS محافظت قواعد به ورته ورته ښکاري ، یوازې مطلوب لیبل غوره کړئ:
دلته تاسو احساس وکړ چې څنګه ستاسو د DNS پوښتنو اوریدل بند کړل. ورته حکمونه:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
ښه، په پای کې، Rutracker خلاص کړئ. ټول سبنټ د هغه پورې اړه لري، نو فرعي نیټ مشخص شوی.
دا د انټرنیټ بیرته ترلاسه کول څومره اسانه وو. ټیم:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
په ورته ډول د روټ ټریکر سره ، تاسو کولی شئ د کارپوریټ سرچینې او نور بلاک شوي سایټونه واستوئ.
لیکوال هیله لري چې تاسو به د خپل سویټر لرې کولو پرته په ورته وخت کې د روټ ټریکر او کارپوریټ پورټل ته د لاسرسي اسانتیا ستاینه وکړئ.
سرچینه: www.habr.com