Katika mwongozo huu wa hatua kwa hatua, nitakuambia jinsi ya kusanidi Mikrotik ili tovuti zilizokatazwa zifungue kiotomatiki kupitia VPN hii na unaweza kuzuia kucheza na matari: weka mara moja na kila kitu kitafanya kazi.
Nilichagua SoftEther kama VPN yangu: ni rahisi kusanidi kama na kwa haraka tu. Niliwasha Salama NAT kwenye upande wa seva ya VPN, hakuna mipangilio mingine iliyofanywa.
Nilizingatia RRAS kama mbadala, lakini Mikrotik hajui jinsi ya kufanya kazi nayo. Uunganisho umeanzishwa, VPN inafanya kazi, lakini Mikrotik haiwezi kudumisha uhusiano bila kuunganisha mara kwa mara na makosa katika logi.
Mpangilio ulifanywa kwa mfano wa RB3011UiAS-RM kwenye toleo la firmware 6.46.11.
Sasa, kwa utaratibu, nini na kwa nini.
1. Sanidi muunganisho wa VPN
Kama suluhisho la VPN, bila shaka, SoftEther, L2TP iliyo na ufunguo ulioshirikiwa mapema ilichaguliwa. Kiwango hiki cha usalama kinatosha kwa mtu yeyote, kwa sababu tu router na mmiliki wake wanajua ufunguo.
Nenda kwenye sehemu ya violesura. Kwanza, tunaongeza interface mpya, na kisha tunaingia ip, kuingia, nenosiri na ufunguo ulioshirikiwa kwenye interface. Bonyeza sawa.
Amri sawa:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther itafanya kazi bila kubadilisha mapendekezo ya ipsec na wasifu wa ipsec, hatuzingatii usanidi wao, lakini mwandishi aliacha viwambo vya wasifu wake, ikiwa tu.
Kwa RRAS katika Mapendekezo ya IPsec, badilisha tu Kikundi cha PFS kiwe hakuna.
Sasa unahitaji kusimama nyuma ya NAT ya seva hii ya VPN. Ili kufanya hivyo, tunahitaji kwenda kwa IP> Firewall> NAT.
Hapa tunawezesha kinyago kwa violesura maalum, au vyote, vya PPP. Router ya mwandishi imeunganishwa na VPN tatu mara moja, kwa hivyo nilifanya hivi:
Amri sawa:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Ongeza Sheria kwenye Mangle
Jambo la kwanza unalotaka, bila shaka, ni kulinda kila kitu ambacho ni cha thamani zaidi na kisichoweza kujitetea, yaani DNS na trafiki ya HTTP. Wacha tuanze na HTTP.
Nenda kwa IP β Firewall β Mangle na uunde sheria mpya.
Katika sheria, Chain chagua Prerouting.
Ikiwa kuna Smart SFP au router nyingine mbele ya router, na unataka kuunganisha nayo kupitia interface ya mtandao, katika Dst. Anwani inahitaji kuingiza anwani yake ya IP au subnet na kuweka ishara hasi ili kutotumia Mangle kwenye anwani au kwenye mtandao huo mdogo. Mwandishi ana SFP GPON ONU katika hali ya daraja, kwa hivyo mwandishi alibaki na uwezo wa kuunganishwa na webmord yake.
Kwa chaguo-msingi, Mangle itatumia sheria yake kwa Mataifa yote ya NAT, hii itafanya usambazaji wa bandari kwenye IP yako nyeupe kutowezekana, kwa hivyo katika Hali ya Muunganisho wa NAT, angalia dstnat na ishara hasi. Hii itaturuhusu kutuma trafiki ya nje kupitia mtandao kupitia VPN, lakini bado kusambaza bandari kupitia IP yetu nyeupe.
Ifuatayo, kwenye kichupo cha Kitendo, chagua uelekezaji wa alama, taja Alama Mpya ya Njia ili iwe wazi kwetu katika siku zijazo na uendelee.
Amri sawa:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Sasa hebu tuendelee kupata DNS. Katika kesi hii, unahitaji kuunda sheria mbili. Moja kwa kipanga njia, nyingine kwa vifaa vilivyounganishwa kwenye kipanga njia.
Ikiwa unatumia DNS iliyojengwa kwenye router, ambayo mwandishi anafanya, lazima pia ihifadhiwe. Kwa hivyo, kwa sheria ya kwanza, kama hapo juu, tunachagua utangulizi wa mnyororo, kwa pili, tunahitaji kuchagua pato.
Pato ni mlolongo ambao router yenyewe hutumia kwa maombi kwa kutumia utendaji wake. Kila kitu hapa ni sawa na HTTP, itifaki ya UDP, bandari 53.
Amri sawa:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Kujenga njia kupitia VPN
Nenda kwa IP β Njia na uunde njia mpya.
Njia ya uelekezaji wa HTTP juu ya VPN. Bainisha jina la miingiliano yetu ya VPN na uchague Alama ya Kuelekeza.
Katika hatua hii, tayari umehisi jinsi operator wako ameacha .
Amri sawa:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Sheria za ulinzi wa DNS zitaonekana sawa, chagua tu lebo inayotaka:
Hapa ulihisi jinsi hoja zako za DNS ziliacha kusikilizwa. Amri sawa:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Naam, mwisho, fungua Rutracker. Subnet nzima ni yake, kwa hivyo subnet imebainishwa.
Hivyo ndivyo ilivyokuwa rahisi kurejesha Mtandao. Timu:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Kwa njia sawa na tracker ya mizizi, unaweza kuelekeza rasilimali za shirika na tovuti zingine zilizozuiwa.
Mwandishi anatumai kuwa utathamini urahisi wa kupata tracker ya mizizi na portal ya ushirika kwa wakati mmoja bila kuvua sweta yako.
Chanzo: mapenzi.com