Neste guia passo a passo, vou te contar como configurar o Mikrotik para que sites proibidos sejam abertos automaticamente através desta VPN e você evite dançar com pandeiros: configure uma vez e tudo funciona.
Escolhi SoftEther como VPN: é tão fácil de configurar quanto
Considerei o RRAS como alternativa, mas o Mikrotik não sabe trabalhar com ele. A conexão é estabelecida, a VPN funciona, mas o Mikrotik não consegue manter a conexão sem constantes reconexões e erros no log.
A configuração foi realizada utilizando o exemplo do RB3011UiAS-RM na versão de firmware 6.46.11.
Agora, em ordem, o quê e por quê.
1. Estabeleça uma conexão VPN
Claro, SoftEther, L2TP com chave pré-compartilhada, foi escolhido como solução VPN. Esse nível de segurança é suficiente para qualquer pessoa, pois apenas o roteador e seu proprietário conhecem a chave.
Vá para a seção de interfaces. Primeiro, adicionamos uma nova interface e, em seguida, inserimos o ip, login, senha e chave compartilhada na interface. Clique OK.
O mesmo comando:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther funcionará sem alterar propostas e perfis ipsec, não estamos pensando em configurá-los, mas o autor deixou capturas de tela de seus perfis, por precaução.
Para RRAS em propostas IPsec, basta alterar o Grupo PFS para nenhum.
Agora você precisa proteger o NAT deste servidor VPN. Para fazer isso precisamos ir em IP > Firewall > NAT.
Aqui habilitamos o mascaramento para uma ou todas as interfaces PPP específicas. O roteador do autor está conectado a três VPNs ao mesmo tempo, então fiz o seguinte:
O mesmo comando:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Adicione regras ao Mangle
A primeira coisa que quero, claro, é proteger tudo o que há de mais valioso e indefeso, nomeadamente o tráfego DNS e HTTP. Vamos começar com HTTP.
Vá para IP → Firewall → Mangle e crie uma nova regra.
Na regra Cadeia, selecione Pré-roteamento.
Se houver um Smart SFP ou outro roteador na frente do roteador e você quiser se conectar a ele através da interface web, no campo Dst. Endereço você precisa inserir seu endereço IP ou sub-rede e colocar um sinal negativo para não aplicar Mangle ao endereço ou a esta sub-rede. O autor possui um SFP GPON ONU em modo bridge, portanto o autor manteve a capacidade de se conectar à sua interface web.
Por padrão, Mangle aplicará sua regra a todos os estados NAT, isso tornará impossível o encaminhamento de porta pelo seu IP branco, portanto, em Connection NAT State colocamos uma marca de seleção em dstnat e um sinal negativo. Isso nos permitirá enviar tráfego de saída pela rede por meio da VPN, mas ainda encaminhar portas por meio de nosso IP branco.
Em seguida, na guia Ação, selecione marcar roteamento, chame-o de Nova Marca de Roteamento para que fique claro para nós no futuro e siga em frente.
O mesmo comando:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Agora vamos passar para a proteção DNS. Neste caso, você precisa criar duas regras. Um para o roteador e outro para dispositivos conectados ao roteador.
Se você usar o DNS embutido no roteador, como o autor faz, ele também precisará ser protegido. Portanto, para a primeira regra, como acima, selecionamos o pré-roteamento da cadeia, para a segunda precisamos selecionar a saída.
A saída é o circuito que o próprio roteador utiliza para fazer solicitações utilizando sua funcionalidade. Tudo aqui é semelhante ao HTTP, protocolo UDP, porta 53.
Os mesmos comandos:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Construindo uma rota via VPN
Vá para IP → Rotas e crie novas rotas.
Rota para roteamento HTTP por VPN. Indicamos o nome de nossas interfaces VPN e selecionamos Marca de Roteamento.
Nesta fase, você já sentiu como sua operadora parou
O mesmo comando:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
As regras para proteção de DNS serão exatamente as mesmas, basta selecionar o rótulo desejado:
Então você sentiu como suas solicitações de DNS pararam de ser ouvidas. Os mesmos comandos:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Bem, no final, vamos desbloquear o Rutracker. Toda a sub-rede pertence a ele, portanto a sub-rede é especificada.
Foi tão fácil recuperar sua internet. Equipe:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Exatamente da mesma forma que um rastreador raiz, você pode rotear recursos corporativos e outros sites bloqueados.
O autor espera que você aprecie a conveniência de fazer login no root tracker e no portal corporativo ao mesmo tempo, sem tirar o suéter.
Fonte: habr.com