Dina pituduh léngkah-léngkah ieu, kuring bakal nyarioskeun ka anjeun kumaha nyetél Mikrotik supados situs terlarang dibuka sacara otomatis ngalangkungan VPN ieu sareng anjeun tiasa ngahindarkeun tarian sareng rebana: nyetél sakali sareng sadayana jalan.
Kuring milih SoftEther salaku VPN kuring: éta gampang pikeun nyetél salaku sarta sagampil gancang. Kuring ngaktifkeun Secure NAT di sisi server VPN, henteu aya setélan sanés anu dilakukeun.
Kuring dianggap RRAS salaku alternatipna, tapi Mikrotik henteu terang kumaha jalanna. Koneksi didirikeun, VPN jalan, tapi Mikrotik teu bisa ngajaga sambungan tanpa reconnects konstanta sarta kasalahan dina log.
Setelan dijieun dina conto RB3011UiAS-RM dina versi firmware 6.46.11.
Ayeuna, dina urutan, naon jeung naha.
1. Nyetél sambungan VPN
Salaku solusi VPN, tangtosna, SoftEther, L2TP sareng konci preshared dipilih. Tingkat kaamanan ieu cukup pikeun saha waé, sabab ngan ukur router sareng anu gaduhna terang konci éta.
Pindah ka bagian interfaces. Kahiji, urang tambahkeun panganteur anyar, lajeng urang asupkeun ip, login, sandi jeung konci dibagikeun kana panganteur. Pencét ok.
Paréntah anu sami:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther bakal dianggo tanpa ngarobah usulan ipsec sarta propil ipsec, urang teu nganggap konfigurasi maranéhanana, tapi panulis ditinggalkeun Potret layar propil na, ngan bisi.
Pikeun RRAS di IPsec Proposals, ngan ukur robih Grup PFS ka henteu.
Ayeuna anjeun kedah nangtung di tukangeun NAT tina server VPN ieu. Jang ngalampahkeun ieu, urang kudu indit ka IP> Firewall> NAT.
Di dieu urang ngaktipkeun masquerade pikeun husus, atawa sakabéh, interfaces PPP. Router panulis disambungkeun ka tilu VPN sakaligus, jadi kuring ngalakukeun ieu:
Paréntah anu sami:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Tambahkeun Aturan ka Mangle
Hal kahiji anu anjeun pikahoyong, tangtosna, nyaéta ngajagi sadayana anu paling berharga sareng teu aya pertahanan, nyaéta lalu lintas DNS sareng HTTP. Hayu urang mimitian ku HTTP.
Pindah ka IP → Firewall → Mangle sareng jieun aturan anyar.
Dina aturan, Chain milih Prerouting.
Lamun aya hiji Smart SFP atanapi router sejen di hareup router dina, tur Anjeun hoyong nyambungkeun ka eta via panganteur web, dina Dst. Alamat kedah ngalebetkeun alamat IP atanapi subnet na sareng nempatkeun tanda négatip pikeun henteu nerapkeun Mangle kana alamat atanapi ka subnet éta. Panulis gaduh SFP GPON ONU dina modeu bridge, ku kituna panulis nahan kamampuan pikeun nyambung ka webmord na.
Sacara standar, Mangle bakal nerapkeun aturan na ka sadaya Nagara NAT, ieu bakal nyieun port diteruskeun dina IP bodas anjeun teu mungkin, jadi dina Connection NAT Propinsi, pariksa dstnat sarta tanda négatip. Ieu bakal ngidinan urang pikeun ngirim lalulintas outbound ngaliwatan jaringan ngaliwatan VPN, tapi tetep port maju ngaliwatan IP bodas urang.
Salajengna, dina tab Aksi, pilih mark routing, ngaranan New Routing Mark ambéh jelas keur urang di mangsa nu bakal datang sarta ngaléngkah.
Paréntah anu sami:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Ayeuna hayu urang ngaléngkah ka ngamankeun DNS. Dina hal ieu, anjeun kudu nyieun dua aturan. Hiji pikeun router, anu sanés pikeun alat anu nyambung ka router.
Upami anjeun nganggo DNS anu diwangun kana router, anu dilakukeun ku panulis, éta ogé kedah dijagi. Ku alatan éta, pikeun aturan kahiji, sakumaha di luhur, urang milih ranté prerouting, pikeun kadua, urang kudu milih kaluaran.
Kaluaran mangrupakeun ranté nu router sorangan ngagunakeun pikeun requests ngagunakeun pungsionalitasna. Sadayana di dieu sami sareng HTTP, protokol UDP, port 53.
Paréntah anu sami:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Ngawangun jalur ngaliwatan VPN
Pindah ka IP → Rute sareng jieun rute anyar.
Rute pikeun routing HTTP ngaliwatan VPN. Sebutkeun nami panganteur VPN kami sareng pilih Routing Mark.
Dina tahap ieu, anjeun parantos ngarasa kumaha operator anjeun lirén .
Paréntah anu sami:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Aturan pikeun panyalindungan DNS bakal katingalina sami, ngan ukur pilih labél anu dipikahoyong:
Di dieu anjeun ngarasa kumaha queries DNS anjeun lirén ngadangukeun. Paréntah anu sami:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Nya, tungtungna, muka konci Rutracker. Sakabéh subnet milik anjeunna, jadi subnet dieusian.
Éta kumaha gampangna pikeun meunangkeun deui Internét. Tim:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Dina cara anu sami sareng tracker akar, anjeun tiasa ngalacak sumber perusahaan sareng situs anu diblokir.
Panulis ngaharepkeun yén anjeun bakal ngahargaan genah pikeun ngakses root tracker sareng portal perusahaan dina waktos anu sami tanpa nyandak baju haneut anjeun.
sumber: www.habr.com