هن قدم-قدم گائيڊ ۾، مان توهان کي ٻڌائيندس ته Mikrotik کي ڪيئن سيٽ ڪيو وڃي ته جيئن منع ٿيل سائيٽون خودڪار طور تي هن VPN ذريعي کوليون وڃن ۽ توهان ٽمبرين سان ناچ ڪرڻ کان پاسو ڪري سگهو ٿا: ان کي هڪ ڀيرو سيٽ ڪريو ۽ سڀ ڪجهه ڪم ڪري ٿو.
مون چونڊيو SoftEther هڪ وي پي اين جي طور تي: اهو سيٽ اپ ڪرڻ جيترو آسان آهي
مون RRAS کي متبادل طور سمجهيو، پر ميڪروٽڪ کي خبر ناهي ته ان سان ڪيئن ڪم ڪجي. ڪنيڪشن قائم ڪيو ويو آهي، وي پي اين ڪم ڪري ٿو، پر ميڪروٽڪ لاگ ۾ مسلسل ڪنيڪشن ۽ غلطين کان سواء ڪنيڪشن کي برقرار رکڻ جي قابل ناهي.
سيٽ اپ ڪيو ويو RB3011UiAS-RM جو مثال استعمال ڪندي فرم ویئر ورزن 6.46.11 تي.
هاڻي، ترتيب ۾، ڇا ۽ ڇو.
1. هڪ VPN ڪنيڪشن قائم ڪريو
يقينن، SoftEther، L2TP هڪ اڳئين شيئر ڪيل چاٻي سان، هڪ VPN حل طور چونڊيو ويو. سيڪيورٽي جو هي سطح هر ڪنهن لاء ڪافي آهي، ڇاڪاڻ ته صرف روٽر ۽ ان جي مالڪ کي ڄاڻ آهي.
انٽرفيس سيڪشن ڏانھن وڃو. پهرين، اسان هڪ نئون انٽرفيس شامل ڪيو، ۽ پوء انٽرفيس ۾ ip، لاگ ان، پاسورڊ ۽ شيئر ڪيل ڪي داخل ڪريو. ڪلڪ ڪريو ٺيڪ.
ساڳيو حڪم:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther ipsec پروپوزل ۽ ipsec پروفائلز کي تبديل ڪرڻ کان سواء ڪم ڪندو، اسان انھن کي ترتيب ڏيڻ تي غور نه ڪري رھيا آھيون، پر ليکڪ پنھنجي پروفائلز جا اسڪرين شاٽ ڇڏيا آھن، صرف صورت ۾.
IPsec پروپوزل ۾ RRAS لاءِ، صرف PFS گروپ کي تبديل نه ڪريو.
هاڻي توهان کي هن وي پي اين سرور جي NAT جي پويان بيهڻ جي ضرورت آهي. هن کي ڪرڻ لاءِ اسان کي وڃڻو پوندو IP> Firewall> NAT.
هتي اسان هڪ مخصوص يا سڀني پي پي پي انٽرفيس لاء ماسڪ کي فعال ڪريون ٿا. ليکڪ جو روٽر هڪ ئي وقت ٽن وي پي اينز سان ڳنڍيل آهي، تنهن ڪري مون هي ڪيو:
ساڳيو حڪم:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. منگل کي ضابطو شامل ڪريو
پهرين شيء جيڪا مان چاهيان ٿو، يقينا، هر شيء جي حفاظت ڪرڻ آهي جيڪا تمام قيمتي ۽ بي دفاع آهي، يعني DNS ۽ HTTP ٽرئفڪ. اچو ته HTTP سان شروع ڪريون.
IP → Firewall → Mangle ڏانھن وڃو ۽ نئون قاعدو ٺاھيو.
ضابطي ۾، زنجير، چونڊيو Prerouting.
جيڪڏهن روٽر جي سامهون هڪ اسمارٽ SFP يا ٻيو روٽر آهي، ۽ توهان ان سان ڳنڍڻ چاهيو ٿا ويب انٽرفيس ذريعي، Dst فيلڊ ۾. ايڊريس توهان کي ان جي IP پتي يا سب نيٽ داخل ڪرڻ جي ضرورت آهي ۽ هڪ ناڪاري نشان لڳايو ته جيئن ايڊريس يا هن سب نيٽ تي منگل لاڳو نه ٿئي. ليکڪ وٽ پل موڊ ۾ SFP GPON ONU آهي، تنهنڪري ليکڪ پنهنجي ويب انٽرفيس سان ڳنڍڻ جي صلاحيت برقرار رکي.
ڊفالٽ طور، منگل ان جو ضابطو سڀني NAT رياستن تي لاڳو ڪندو، اھو توھان جي اڇي IP تي پورٽ فارورڊنگ کي ناممڪن بڻائيندو، تنھنڪري ڪنيڪشن NAT اسٽيٽ ۾ اسان dstnat تي چيڪ مارڪ ۽ منفي نشاني رکون ٿا. اهو اسان کي اجازت ڏيندو ته ٻاهر نڪرڻ واري ٽرئفڪ کي نيٽ ورڪ تي وي پي اين ذريعي، پر اڃا تائين اسان جي سفيد IP ذريعي بندرگاهن کي اڳتي وڌايو وڃي.
ان کان پوء، ايڪشن ٽيب تي، نشان روٽنگ چونڊيو، ان کي سڏيو نئون روٽنگ مارڪ ته جيئن اهو اسان کي مستقبل ۾ واضح ٿئي ۽ اڳتي وڌو.
ساڳيو حڪم:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
هاڻي اچو ته DNS تحفظ ڏانهن وڃو. انهي حالت ۾، توهان کي ٻه ضابطا ٺاهڻ جي ضرورت آهي. هڪ روٽر لاءِ، ٻيو روٽر سان ڳنڍيل ڊوائيسز لاءِ.
جيڪڏهن توهان روٽر ۾ ٺهيل DNS استعمال ڪريو ٿا، جيڪو ليکڪ ڪري ٿو، ان کي پڻ محفوظ ڪرڻ جي ضرورت آهي. تنهن ڪري، پهرين قاعدي لاء، مٿي ڄاڻايل طور تي، اسان زنجير جي اڳڀرائي کي چونڊيو، ٻئي لاء اسان کي آئوٽ چونڊڻ جي ضرورت آهي.
ٻاھر نڪرڻ وارو سرڪٽ آھي جيڪو روٽر پاڻ کي استعمال ڪري ٿو درخواستون ڪرڻ لاءِ ان جي ڪارڪردگي استعمال ڪندي. هتي هر شي HTTP، UDP پروٽوڪول، پورٽ 53 وانگر آهي.
ساڳيو حڪم:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. وي پي اين ذريعي رستو ٺاھيو
IP → روٽس ڏانھن وڃو ۽ نوان رستا ٺاھيو.
وي پي اين مٿان HTTP روٽ ڪرڻ لاءِ رستو. اسان اسان جي وي پي اين انٽرفيس جو نالو ظاهر ڪيو ۽ روٽنگ مارڪ چونڊيو.
هن اسٽيج تي، توهان اڳ ۾ ئي محسوس ڪيو آهي ته توهان جو آپريٽر ڪيئن روڪيو آهي
ساڳيو حڪم:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
DNS تحفظ جا ضابطا بلڪل ساڳيا نظر ايندا، صرف مطلوب ليبل چونڊيو:
پوء توهان محسوس ڪيو ته توهان جي DNS درخواستن کي ٻڌائڻ بند ڪيو ويو. ساڳيو حڪم:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
خير، آخر ۾، اچو ته روٽرڪر کي بلاڪ ڪريو. سڄو ذيلي نيٽ ان سان تعلق رکي ٿو، تنهنڪري سب نيٽ بيان ڪيو ويو آهي.
اهو ڪيترو آسان آهي توهان جي انٽرنيٽ کي واپس حاصل ڪرڻ. ٽيم:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
بلڪل ساڳي طرح جيئن روٽ ٽريڪٽر سان، توهان ڪارپوريٽ وسيلن ۽ ٻين بلاڪ ڪيل سائيٽن کي روٽ ڪري سگهو ٿا.
ليکڪ کي اميد آهي ته توهان روٽ ٽريڪر ۽ ڪارپوريٽ پورٽل ۾ لاگ ان ٿيڻ جي سهولت کي هڪ ئي وقت ۾ توهان جي sweater ڪڍڻ کان سواء قدر ڪندا.
جو ذريعو: www.habr.com