I den här steg-för-steg-guiden kommer jag att berätta för dig hur du ställer in Mikrotik så att förbjudna webbplatser automatiskt öppnas via denna VPN och du kan undvika att dansa med tamburiner: ställ in det en gång och allt fungerar.
Jag valde SoftEther som min VPN: den är lika enkel att konfigurera som och lika snabbt. Jag aktiverade Secure NAT på VPN-serversidan, inga andra inställningar gjordes.
Jag ansåg RRAS som ett alternativ, men Mikrotik vet inte hur man arbetar med det. Anslutningen upprättas, VPN fungerar, men Mikrotik kan inte upprätthålla en anslutning utan ständiga återanslutningar och fel i loggen.
Inställningen gjordes på exemplet med RB3011UiAS-RM på firmwareversion 6.46.11.
Nu, i ordning, vad och varför.
1. Konfigurera en VPN-anslutning
Som VPN-lösning valdes naturligtvis SoftEther, L2TP med en fördelad nyckel. Denna säkerhetsnivå räcker för alla, eftersom bara routern och dess ägare känner till nyckeln.
Gå till avsnittet gränssnitt. Först lägger vi till ett nytt gränssnitt, och sedan anger vi ip, inloggning, lösenord och delad nyckel i gränssnittet. Tryck på ok.
Samma kommando:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther kommer att fungera utan att ändra ipsec-förslag och ipsec-profiler, vi tar inte hänsyn till deras konfiguration, men författaren lämnade skärmdumpar av sina profiler, för säkerhets skull.
För RRAS i IPsec-förslag, ändra bara PFS-gruppen till ingen.
Nu måste du stå bakom NAT för denna VPN-server. För att göra detta måste vi gå till IP> Brandvägg> NAT.
Här aktiverar vi maskerad för ett specifikt, eller alla, PPP-gränssnitt. Författarens router är ansluten till tre VPN samtidigt, så jag gjorde så här:
Samma kommando:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Lägg till regler i Mangle
Det första du vill är förstås att skydda allt som är mest värdefullt och försvarslöst, nämligen DNS- och HTTP-trafik. Låt oss börja med HTTP.
Gå till IP → Brandvägg → Mangle och skapa en ny regel.
I regeln väljer Chain Prerouting.
Om det finns en Smart SFP eller annan router framför routern, och du vill ansluta till den via webbgränssnittet, i Dst. Adress måste ange sin IP-adress eller subnät och sätta ett negativt tecken för att inte tillämpa Mangle på adressen eller på det subnätet. Författaren har SFP GPON ONU i bryggläge, så författaren behöll möjligheten att ansluta till sin webbmord.
Som standard kommer Mangle att tillämpa sin regel på alla NAT-stater, detta kommer att göra portvidarebefordran på din vita IP omöjlig, så i Connection NAT State, kontrollera dstnat och ett negativt tecken. Detta gör att vi kan skicka utgående trafik över nätverket via VPN, men ändå vidarebefordra portar via vår vita IP.
Därefter, på fliken Åtgärd, välj markera routing, namnge New Routing Mark så att det är tydligt för oss i framtiden och gå vidare.
Samma kommando:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Låt oss nu gå vidare till att säkra DNS. I det här fallet måste du skapa två regler. En för routern, den andra för enheter anslutna till routern.
Om du använder DNS inbyggd i routern, vilket författaren gör, måste den också skyddas. Därför, för den första regeln, som ovan, väljer vi kedjefördirigering, för den andra måste vi välja utdata.
Output är en kedja som routern själv använder för förfrågningar med dess funktionalitet. Allt här liknar HTTP, UDP-protokoll, port 53.
Samma kommandon:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Bygga en rutt genom VPN
Gå till IP → Rutter och skapa nya rutter.
Rutt för HTTP-routing över VPN. Ange namnet på våra VPN-gränssnitt och välj Routing Mark.
I detta skede har du redan känt hur din operatör har stannat .
Samma kommando:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Reglerna för DNS-skydd kommer att se exakt likadana ut, välj bara önskad etikett:
Här kände du hur dina DNS-frågor slutade lyssna. Samma kommandon:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Nåväl, till slut, lås upp Rutracker. Hela subnätet tillhör honom, så subnätet är specificerat.
Så enkelt var det att få tillbaka internet. Team:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
På exakt samma sätt som med rotspåraren kan du dirigera företagsresurser och andra blockerade webbplatser.
Författaren hoppas att du kommer att uppskatta bekvämligheten med att komma åt rotspåraren och företagsportalen samtidigt utan att ta av dig tröjan.
Källa: will.com