V tomto podrobnom sprievodcovi vám poviem, ako nastaviť Mikrotik tak, aby sa zakázané stránky automaticky otvárali prostredníctvom tejto VPN a vy sa vyhli tancu s tamburínami: nastavte to raz a všetko funguje.
Ako VPN som si vybral SoftEther: nastavenie je také jednoduché ako a rovnako rýchlo. Na strane servera VPN som povolil Secure NAT; neboli vykonané žiadne ďalšie nastavenia.
Ako alternatívu som zvažoval RRAS, ale Mikrotik s tým nevie pracovať. Spojenie je nadviazané, VPN funguje, ale Mikrotik nedokáže udržať spojenie bez neustáleho opätovného pripojenia a chýb v logu.
Nastavenie bolo vykonané pomocou príkladu RB3011UiAS-RM na firmvéri verzie 6.46.11.
Teraz po poriadku, čo a prečo.
1. Vytvorte pripojenie VPN
Ako riešenie VPN bol samozrejme zvolený SoftEther, L2TP s predzdieľaným kľúčom. Táto úroveň zabezpečenia je dostatočná pre každého, pretože kľúč pozná iba router a jeho vlastník.
Prejdite do sekcie rozhrania. Najprv pridáme nové rozhranie a potom do rozhrania zadáme ip, prihlasovacie meno, heslo a zdieľaný kľúč. Kliknite na ok.
Rovnaký príkaz:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther bude fungovať bez zmeny návrhov ipsec a profilov ipsec, o ich zriadení neuvažujeme, no autor nechal pre každý prípad screenshoty svojich profilov.
Pre RRAS v návrhoch IPsec stačí zmeniť skupinu PFS na žiadnu.
Teraz musíte stáť za NAT tohto servera VPN. Aby sme to urobili, musíme ísť do IP > Firewall > NAT.
Tu povolíme maskovanie pre konkrétne alebo všetky rozhrania PPP. Autorov smerovač je pripojený k trom VPN naraz, takže som urobil toto:
Rovnaký príkaz:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Pridajte pravidlá do Mangle
Prvá vec, ktorú chcem, samozrejme, je chrániť všetko, čo je najcennejšie a bezbranné, teda prevádzku DNS a HTTP. Začnime s HTTP.
Prejdite na IP → Firewall → Mangle a vytvorte nové pravidlo.
V pravidle Reťaz vyberte Predtrasovanie.
Ak je pred routerom Smart SFP alebo iný router a chcete sa k nemu pripojiť cez webové rozhranie, v poli Dst. Adresa, musíte zadať jej IP adresu alebo podsieť a dať záporné znamienko, aby sa Mangle neaplikoval na adresu alebo na túto podsieť. Autor má SFP GPON ONU v režime mosta, takže si autor zachoval možnosť pripojenia k svojmu webovému rozhraniu.
V predvolenom nastavení Mangle použije svoje pravidlo na všetky štáty NAT, čo znemožní presmerovanie portov cez vašu bielu IP, takže v stave Connection NAT zaškrtneme dstnat a znamienko mínus. To nám umožní odosielať odchádzajúce prenosy cez sieť cez VPN, ale stále posielať porty cez našu bielu IP.
Ďalej na karte Akcia vyberte smerovanie značiek, nazvite to Nová značka smerovania, aby nám to bolo v budúcnosti jasné a pokračujte ďalej.
Rovnaký príkaz:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Teraz prejdime k ochrane DNS. V tomto prípade musíte vytvoriť dve pravidlá. Jeden pre router, druhý pre zariadenia pripojené k routeru.
Ak používate DNS zabudovaný v routeri, čo autor robí, treba ho tiež chrániť. Preto pre prvé pravidlo, ako je uvedené vyššie, vyberieme predsmerovanie reťazca, pre druhé musíme vybrať výstup.
Výstup je okruh, ktorý samotný router používa na zadávanie požiadaviek pomocou svojej funkčnosti. Všetko je tu podobné ako HTTP, protokol UDP, port 53.
Rovnaké príkazy:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Budovanie trasy cez VPN
Prejdite na IP → Trasy a vytvorte nové trasy.
Trasa pre smerovanie HTTP cez VPN. Označíme názov našich rozhraní VPN a vyberieme Routing Mark.
V tejto fáze ste už cítili, ako sa váš operátor zastavil .
Rovnaký príkaz:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Pravidlá ochrany DNS budú vyzerať úplne rovnako, stačí vybrať požadované označenie:
Potom ste cítili, ako vaše požiadavky DNS prestali byť počúvané. Rovnaké príkazy:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Nakoniec odblokujme Rutracker. Celá podsieť patrí jemu, takže podsieť je špecifikovaná.
Takto jednoduché bolo získať späť svoj internet. tím:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Presne rovnakým spôsobom ako s koreňovým sledovačom môžete smerovať podnikové zdroje a iné blokované stránky.
Autor dúfa, že oceníte pohodlie prihlásenia sa do root trackera a firemného portálu súčasne bez vyzliekania svetra.
Zdroj: hab.com