У овом водичу корак по корак, рећи ћу вам како да подесите Микротик тако да се забрањени сајтови аутоматски отварају преко овог ВПН-а и да можете избећи плес са тамбурама: подесите га једном и све ради.
Одабрао сам СофтЕтхер као ВПН: лако га је поставити као и исто тако брзо. На страни ВПН сервера, омогућио сам Сецуре НАТ; никаква друга подешавања нису направљена.
РРАС сам сматрао алтернативом, али Микротик не зна како да ради са њим. Веза је успостављена, ВПН ради, али Микротик не може да одржава везу без сталних поновних конекција и грешака у дневнику.
Подешавање је обављено на примеру РБ3011УиАС-РМ на верзији фирмвера 6.46.11.
Сада, редом, шта и зашто.
1. Успоставите ВПН везу
Наравно, СофтЕтхер, Л2ТП са унапред дељеним кључем, изабран је као ВПН решење. Овај ниво сигурности је довољан за свакога, јер само рутер и његов власник знају кључ.
Идите на одељак интерфејси. Прво, додамо нови интерфејс, а затим унесемо ип, логин, лозинку и дељени кључ у интерфејс. Кликните на ок.
Иста команда:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
СофтЕтхер ће радити без промене ипсец предлога и ипсец профила, не размишљамо о њиховом постављању, али је аутор оставио сцреенсхотове својих профила, за сваки случај.
За РРАС у ИПсец предлозима, само промените ПФС групу у ниједну.
Сада морате стајати иза НАТ-а овог ВПН сервера. Да бисмо то урадили, морамо да одемо на ИП > Фиревалл > НАТ.
Овде омогућавамо маскирање за одређени или све ППП интерфејсе. Ауторов рутер је повезан на три ВПН-а одједном, па сам урадио ово:
Иста команда:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Додајте правила у Мангле
Прво што желим, наравно, јесте да заштитим све што је највредније и најбезобраније, а то су ДНС и ХТТП саобраћај. Почнимо са ХТТП-ом.
Идите на ИП → Фиревалл → Мангле и креирајте ново правило.
У правилу, Ланац, изаберите Преусмеравање.
Ако се испред рутера налази Смарт СФП или други рутер, а желите да се повежете на њега преко веб интерфејса, у пољу Дст. Адреса коју треба да унесете њену ИП адресу или подмрежу и ставите негативан знак како не бисте применили Мангле на адресу или на ову подмрежу. Аутор има СФП ГПОН ОНУ у режиму моста, тако да је аутор задржао могућност повезивања на свој веб интерфејс.
Подразумевано, Мангле ће применити своје правило на све НАТ државе, ово ће онемогућити прослеђивање портова преко ваше беле ИП адресе, тако да у стању НАТ везе стављамо квачицу на дстнат и негативан предзнак. Ово ће нам омогућити да шаљемо одлазни саобраћај преко мреже преко ВПН-а, али и даље прослеђујемо портове преко наше беле ИП адресе.
Следеће, на картици Акција, изаберите маркирање рутирања, назовите га Нова ознака рутирања како би нам убудуће било јасно и наставите даље.
Иста команда:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Сада пређимо на ДНС заштиту. У овом случају морате креирати два правила. Један за рутер, други за уређаје повезане на рутер.
Ако користите ДНС уграђен у рутер, што аутор ради, и њега треба заштитити. Стога, за прво правило, као горе, бирамо ланчано преусмеравање, за друго треба да изаберемо излаз.
Излаз је коло које сам рутер користи да прави захтеве користећи своју функционалност. Овде је све слично ХТТП, УДП протоколу, порту 53.
Исте команде:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Изградња руте путем ВПН-а
Идите на ИП → Руте и креирајте нове руте.
Рута за рутирање ХТТП преко ВПН-а. Назначавамо назив наших ВПН интерфејса и бирамо Роутинг Марк.
У овој фази, већ сте осетили како је ваш оператер стао .
Иста команда:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Правила за ДНС заштиту ће изгледати потпуно исто, само изаберите жељену ознаку:
Тада сте осетили како су ваши ДНС захтеви престали да се слушају. Исте команде:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Па, на крају, хајде да деблокирамо Рутрацкер. Цела подмрежа припада њему, па је подмрежа наведена.
Тако је било лако вратити свој интернет. Тим:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
На потпуно исти начин као са роот трацкером, можете да усмерите корпоративне ресурсе и друге блокиране сајтове.
Аутор се нада да ћете ценити погодност истовременог пријављивања на роот трацкер и корпоративни портал без скидања џемпера.
Извор: ввв.хабр.цом