V tem vodniku po korakih vam bom povedal, kako nastaviti Mikrotik, da se prek tega VPN samodejno odpirajo prepovedana mesta in se lahko izognete plesu s tamburaši: enkrat nastavite in vse deluje.
Za VPN sem izbral SoftEther: nastaviti ga je tako enostavno kot in prav tako hitro. Na strani strežnika VPN sem omogočil Secure NAT; druge nastavitve niso bile izvedene.
Kot alternativo sem razmišljal o RRAS, vendar Mikrotik ne ve, kako delati z njim. Povezava je vzpostavljena, VPN deluje, vendar Mikrotik ne more vzdrževati povezave brez stalnih ponovnih povezav in napak v dnevniku.
Nastavitev je bila izvedena na primeru RB3011UiAS-RM na različici strojne programske opreme 6.46.11.
Zdaj pa po vrsti, kaj in zakaj.
1. Vzpostavite povezavo VPN
Seveda je bil kot rešitev VPN izbran SoftEther, L2TP s ključem v predhodni skupni rabi. Ta stopnja varnosti je dovolj za vsakogar, saj le usmerjevalnik in njegov lastnik poznata ključ.
Pojdite na razdelek vmesniki. Najprej dodamo nov vmesnik, nato pa v vmesnik vnesemo ip, prijavo, geslo in skupni ključ. Kliknite OK.
Isti ukaz:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther bo deloval brez spreminjanja predlogov ipsec in profilov ipsec, ne razmišljamo o njihovi nastavitvi, vendar je avtor za vsak slučaj pustil posnetke zaslona svojih profilov.
Za RRAS v predlogih IPsec samo spremenite skupino PFS v nič.
Zdaj morate stati za NAT tega strežnika VPN. Za to moramo iti na IP > Požarni zid > NAT.
Tukaj omogočimo maskiranje za določen ali vse vmesnike PPP. Avtorjev usmerjevalnik je povezan s tremi VPN-ji hkrati, zato sem naredil to:
Isti ukaz:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Dodajte pravila v Mangle
Prva stvar, ki jo želim, je seveda zaščititi vse, kar je najbolj dragoceno in nezaščiteno, namreč promet DNS in HTTP. Začnimo s HTTP.
Pojdite na IP → Požarni zid → Mangle in ustvarite novo pravilo.
V pravilu, Veriga, izberite Preusmerjanje.
Če je pred usmerjevalnikom Smart SFP ali drug usmerjevalnik in se želite nanj povezati preko spletnega vmesnika, v polju Dst. Naslov morate vnesti njegov naslov IP ali podomrežje in postaviti negativni predznak, da ne bi uporabili Mangle za naslov ali to podomrežje. Avtor ima SFP GPON ONU v mostnem načinu, zato je avtor ohranil možnost povezave s svojim spletnim vmesnikom.
Mangle bo privzeto uporabil svoje pravilo za vsa stanja NAT, to bo onemogočilo posredovanje vrat prek vašega belega IP-ja, zato smo v Stanje povezave NAT postavili kljukico na dstnat in negativni znak. To nam bo omogočilo pošiljanje odhodnega prometa prek omrežja prek VPN-ja, vendar še vedno posreduje vrata prek našega belega IP-ja.
Nato na zavihku Action izberemo mark routing, poimenujemo New Routing Mark, da nam bo v prihodnje jasno in gremo naprej.
Isti ukaz:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Zdaj pa preidimo na zaščito DNS. V tem primeru morate ustvariti dve pravili. Ena za usmerjevalnik, druga za naprave, povezane z usmerjevalnikom.
Če uporabljate DNS, vgrajen v usmerjevalnik, kar počne avtor, ga je treba tudi zaščititi. Zato za prvo pravilo, kot zgoraj, izberemo predhodno usmerjanje verige, za drugo moramo izbrati izhod.
Izhod je vezje, ki ga usmerjevalnik sam uporablja za pošiljanje zahtev z uporabo svojih funkcij. Tukaj je vse podobno HTTP, protokol UDP, vrata 53.
Isti ukazi:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Gradnja poti prek VPN
Pojdite na IP → Poti in ustvarite nove poti.
Pot za usmerjanje HTTP prek VPN. Navedemo ime naših vmesnikov VPN in izberemo Routing Mark.
Na tej stopnji ste že občutili, kako se je vaš operater ustavil .
Isti ukaz:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Pravila za zaščito DNS bodo videti popolnoma enaka, le izberite želeno oznako:
Potem ste začutili, kako vaše zahteve DNS niso več poslušane. Isti ukazi:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
No, na koncu odblokirajmo Rutracker. Celotno podomrežje mu pripada, zato je podomrežje določeno.
Tako enostavno je bilo spet pridobiti internet. ekipa:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Na povsem enak način kot s korenskim sledilnikom lahko usmerjate vire podjetja in druga blokirana mesta.
Avtor upa, da boste cenili priročnost hkratne prijave v korenski sledilnik in korporativni portal, ne da bi slekli pulover.
Vir: www.habr.com