Në këtë udhëzues hap pas hapi, unë do t'ju tregoj se si të konfiguroni Mikrotik në mënyrë që faqet e ndaluara të hapen automatikisht përmes këtij VPN dhe të shmangni kërcimin me dajre: konfigurojeni një herë dhe gjithçka funksionon.
Zgjodha SoftEther si VPN-në time: është po aq e lehtë për t'u konfiguruar dhe po aq shpejt. Aktivizova Secure NAT në anën e serverit VPN, nuk u bënë asnjë cilësim tjetër.
RRAS-in e kam konsideruar si alternativë, por Mikrotik nuk di të punojë me të. Lidhja është vendosur, VPN funksionon, por Mikrotik nuk mund të mbajë një lidhje pa rilidhje të vazhdueshme dhe gabime në log.
Cilësimi është bërë në shembullin e RB3011UiAS-RM në versionin e firmuerit 6.46.11.
Tani, me radhë, çfarë dhe pse.
1. Vendosni një lidhje VPN
Si zgjidhje VPN, natyrisht, u zgjodh SoftEther, L2TP me një çelës të parandarë. Ky nivel sigurie është i mjaftueshëm për këdo, sepse vetëm ruteri dhe pronari i tij e dinë çelësin.
Shkoni te seksioni i ndërfaqeve. Së pari, ne shtojmë një ndërfaqe të re, dhe më pas futim ip, login, fjalëkalimin dhe çelësin e përbashkët në ndërfaqe. Shtypni ok.
E njëjta komandë:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther do të funksionojë pa ndryshuar propozimet ipsec dhe profilet ipsec, ne nuk e konsiderojmë konfigurimin e tyre, por autori ka lënë pamjet e profileve të tij, për çdo rast.
Për RRAS në Propozimet IPsec, thjesht ndryshoni Grupin PFS në asnjë.
Tani ju duhet të qëndroni prapa NAT të këtij serveri VPN. Për ta bërë këtë, duhet të shkojmë te IP > Firewall > NAT.
Këtu ne mundësojmë maskaradë për një ndërfaqe specifike, ose të gjitha, PPP. Ruteri i autorit është i lidhur me tre VPN menjëherë, kështu që bëra këtë:
E njëjta komandë:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Shtoni rregullat në Mangle
Gjëja e parë që dëshironi, natyrisht, është të mbroni gjithçka që është më e vlefshme dhe e pambrojtur, domethënë trafiku DNS dhe HTTP. Le të fillojmë me HTTP.
Shkoni te IP → Firewall → Mangle dhe krijoni një rregull të ri.
Në rregull, Chain zgjedh Prerouting.
Nëse ka një Smart SFP ose një ruter tjetër përpara ruterit dhe dëshironi të lidheni me të nëpërmjet ndërfaqes në internet, në Dst. Adresa duhet të fusë adresën IP ose nënrrjetin e saj dhe të vendosë një shenjë negative për të mos aplikuar Mangle në adresë ose në atë nënrrjet. Autori ka SFP GPON ONU në modalitetin urë, kështu që autori ruajti aftësinë për t'u lidhur me uebmordin e tij.
Si parazgjedhje, Mangle do të zbatojë rregullin e tij për të gjitha shtetet NAT, kjo do ta bëjë të pamundur përcjelljen e portit në IP-në tuaj të bardhë, kështu që në gjendjen NAT të lidhjes, kontrolloni dstnat dhe një shenjë negative. Kjo do të na lejojë të dërgojmë trafikun dalës përmes rrjetit përmes VPN, por gjithsesi të përcjellim portet përmes IP-së sonë të bardhë.
Më pas, në skedën Veprimi, zgjidhni rrugën e shënjimit, emërtoni Markën e Rrugës së Re në mënyrë që të jetë e qartë për ne në të ardhmen dhe të vazhdojmë përpara.
E njëjta komandë:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Tani le të kalojmë në sigurimin e DNS. Në këtë rast, ju duhet të krijoni dy rregulla. Njëra për ruterin, tjetra për pajisjet e lidhura me ruterin.
Nëse përdorni DNS të integruar në ruter, gjë që e bën autori, ai gjithashtu duhet të mbrohet. Prandaj, për rregullin e parë, si më sipër, ne zgjedhim parakalimin e zinxhirit, për të dytin, duhet të zgjedhim daljen.
Outputi është një zinxhir që vetë ruteri e përdor për kërkesat duke përdorur funksionalitetin e tij. Gjithçka këtu është e ngjashme me HTTP, protokollin UDP, portin 53.
Të njëjtat komanda:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Ndërtimi i një rruge përmes VPN
Shkoni te IP → Rrugët dhe krijoni rrugë të reja.
Rrugë për rrugëtim HTTP përmes VPN. Specifikoni emrin e ndërfaqeve tona VPN dhe zgjidhni Routing Mark.
Në këtë fazë, ju tashmë keni ndjerë se si operatori juaj ka ndaluar .
E njëjta komandë:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Rregullat për mbrojtjen DNS do të duken saktësisht të njëjta, thjesht zgjidhni etiketën e dëshiruar:
Këtu ndjeu se si pyetjet e tua DNS ndaluan së dëgjuari. Të njëjtat komanda:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Epo, në fund, zhbllokoni Rutracker. I gjithë nënrrjeti i përket atij, kështu që nënrrjeti është specifikuar.
Kaq e lehtë ishte kthimi i internetit. Skuadra:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Në të njëjtën mënyrë si me gjurmuesin rrënjë, ju mund të drejtoni burimet e korporatës dhe faqet e tjera të bllokuara.
Autori shpreson që ju do të vlerësoni lehtësinë e hyrjes në gjurmuesin rrënjë dhe në portalin e korporatës në të njëjtën kohë pa hequr pulovrën tuaj.
Burimi: www.habr.com