இந்த படிப்படியான வழிகாட்டியில், Mikrotik ஐ எவ்வாறு அமைப்பது என்பதை நான் உங்களுக்குச் சொல்கிறேன், இதனால் தடைசெய்யப்பட்ட தளங்கள் இந்த VPN மூலம் தானாகவே திறக்கப்படும், மேலும் நீங்கள் டம்போரைன்களுடன் நடனமாடுவதைத் தவிர்க்கலாம்: அதை ஒரு முறை அமைக்கவும், எல்லாம் செயல்படும்.
நான் SoftEther ஐ VPN ஆக தேர்ந்தெடுத்தேன்: அதை அமைப்பது மிகவும் எளிதானது
நான் RRAS ஐ மாற்றாகக் கருதினேன், ஆனால் Mikrotik க்கு அதனுடன் எவ்வாறு வேலை செய்வது என்று தெரியவில்லை. இணைப்பு நிறுவப்பட்டது, VPN வேலை செய்கிறது, ஆனால் பதிவில் நிலையான மறுஇணைப்புகள் மற்றும் பிழைகள் இல்லாமல் Mikrotik இணைப்பைப் பராமரிக்க முடியவில்லை.
ஃபார்ம்வேர் பதிப்பு 3011 இல் RB6.46.11UiAS-RM இன் உதாரணத்தைப் பயன்படுத்தி அமைவு மேற்கொள்ளப்பட்டது.
இப்போது, வரிசையில், என்ன, ஏன்.
1. VPN இணைப்பை நிறுவவும்
நிச்சயமாக, SoftEther, L2TP, முன்பே பகிரப்பட்ட விசையுடன், VPN தீர்வாகத் தேர்ந்தெடுக்கப்பட்டது. இந்த அளவிலான பாதுகாப்பு யாருக்கும் போதுமானது, ஏனென்றால் திசைவி மற்றும் அதன் உரிமையாளருக்கு மட்டுமே சாவி தெரியும்.
இடைமுகங்கள் பகுதிக்குச் செல்லவும். முதலில் நாம் ஒரு புதிய இடைமுகத்தைச் சேர்க்கிறோம், பின்னர் ஐபி, உள்நுழைவு, கடவுச்சொல் மற்றும் பகிரப்பட்ட விசையை இடைமுகத்தில் உள்ளிடவும். சரி என்பதைக் கிளிக் செய்யவும்.
அதே கட்டளை:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
ipsec முன்மொழிவுகள் மற்றும் ipsec சுயவிவரங்களை மாற்றாமல் SoftEther வேலை செய்யும், அவற்றை அமைப்பதை நாங்கள் கருத்தில் கொள்ளவில்லை, ஆனால் ஆசிரியர் தனது சுயவிவரங்களின் ஸ்கிரீன் ஷாட்களை விட்டுவிட்டார்.
IPsec முன்மொழிவுகளில் RRAS க்கு, PFS குழுவை எதுவுமில்லை என மாற்றவும்.
இப்போது நீங்கள் இந்த VPN சேவையகத்தின் NAT க்கு பின்னால் நிற்க வேண்டும். இதைச் செய்ய, நாம் IP > Firewall > NAT க்குச் செல்ல வேண்டும்.
குறிப்பிட்ட அல்லது அனைத்து பிபிபி இடைமுகங்களுக்கும் மாஸ்க்வேரேடை இங்கே இயக்குகிறோம். ஆசிரியரின் திசைவி ஒரே நேரத்தில் மூன்று VPNகளுடன் இணைக்கப்பட்டுள்ளது, எனவே நான் இதைச் செய்தேன்:
அதே கட்டளை:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. மாங்கில் விதிகளைச் சேர்க்கவும்
நான் விரும்பும் முதல் விஷயம், மிகவும் மதிப்புமிக்க மற்றும் பாதுகாப்பற்ற அனைத்தையும், அதாவது DNS மற்றும் HTTP டிராஃபிக்கைப் பாதுகாப்பதாகும். HTTP உடன் தொடங்குவோம்.
IP → Firewall → Mangle க்குச் சென்று புதிய விதியை உருவாக்கவும்.
விதியில், சங்கிலி, முன்னோட்டத்தை தேர்ந்தெடுக்கவும்.
திசைவிக்கு முன்னால் ஸ்மார்ட் எஸ்.எஃப்.பி அல்லது வேறு ரூட்டர் இருந்தால், டிஎஸ்டி புலத்தில் இணைய இடைமுகம் வழியாக அதனுடன் இணைக்க விரும்பினால். முகவரிக்கு அல்லது இந்த சப்நெட்டில் Mangle ஐப் பயன்படுத்தாமல் இருக்க, நீங்கள் அதன் IP முகவரி அல்லது சப்நெட்டை உள்ளிட்டு எதிர்மறை அடையாளத்தை வைக்க வேண்டும். ஆசிரியரிடம் பிரிட்ஜ் பயன்முறையில் SFP GPON ONU உள்ளது, எனவே ஆசிரியர் தனது இணைய இடைமுகத்துடன் இணைக்கும் திறனைத் தக்க வைத்துக் கொண்டார்.
இயல்பாக, Mangle அதன் விதியை அனைத்து NAT மாநிலங்களுக்கும் பொருந்தும், இது உங்கள் வெள்ளை IP மூலம் போர்ட் பகிர்தலை சாத்தியமற்றதாக்கும், எனவே இணைப்பில் NAT நிலையில் dstnat இல் ஒரு சரிபார்ப்பு அடையாளத்தையும் எதிர்மறை அடையாளத்தையும் வைக்கிறோம். இது VPN மூலம் நெட்வொர்க் வழியாக வெளிச்செல்லும் போக்குவரத்தை அனுப்ப அனுமதிக்கும், ஆனால் இன்னும் எங்கள் வெள்ளை IP மூலம் போர்ட்களை அனுப்பும்.
அடுத்து, ஆக்ஷன் டேப்பில் மார்க் ரூட்டிங் என்பதைத் தேர்ந்தெடுத்து, அதை நியூ ரூட்டிங் மார்க் என்று அழைக்கவும், அது எதிர்காலத்தில் நமக்குத் தெளிவாகத் தெரியும்.
அதே கட்டளை:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
இப்போது டிஎன்எஸ் பாதுகாப்பிற்கு செல்லலாம். இந்த வழக்கில், நீங்கள் இரண்டு விதிகளை உருவாக்க வேண்டும். ஒன்று திசைவிக்கு, மற்றொன்று திசைவியுடன் இணைக்கப்பட்ட சாதனங்களுக்கு.
நீங்கள் ரூட்டரில் உள்ளமைக்கப்பட்ட DNS ஐப் பயன்படுத்தினால், அதை ஆசிரியர் செய்கிறார், அதுவும் பாதுகாக்கப்பட வேண்டும். எனவே, முதல் விதிக்கு, மேலே உள்ளதைப் போல, நாம் செயின் ப்ரீரூட்டிங்கைத் தேர்ந்தெடுக்கிறோம், இரண்டாவதாக வெளியீட்டைத் தேர்ந்தெடுக்க வேண்டும்.
வெளியீடு என்பது திசைவி அதன் செயல்பாட்டைப் பயன்படுத்தி கோரிக்கைகளைச் செய்ய பயன்படுத்தும் சுற்று ஆகும். இங்கே எல்லாமே HTTP, UDP புரோட்டோகால், போர்ட் 53 போன்றது.
அதே கட்டளைகள்:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. VPN வழியாக ஒரு வழியை உருவாக்குதல்
ஐபி → வழிகளுக்குச் சென்று புதிய வழிகளை உருவாக்கவும்.
VPN மூலம் HTTPஐ ரூட்டிங் செய்வதற்கான வழி. நாங்கள் எங்கள் VPN இடைமுகங்களின் பெயரைக் குறிப்பிடுகிறோம் மற்றும் ரூட்டிங் குறியைத் தேர்ந்தெடுக்கிறோம்.
இந்த கட்டத்தில், உங்கள் ஆபரேட்டர் எவ்வாறு நிறுத்தப்பட்டார் என்பதை நீங்கள் ஏற்கனவே உணர்ந்திருக்கிறீர்கள்
அதே கட்டளை:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
டிஎன்எஸ் பாதுகாப்பிற்கான விதிகள் ஒரே மாதிரியாக இருக்கும், விரும்பிய லேபிளைத் தேர்ந்தெடுக்கவும்:
உங்கள் DNS கோரிக்கைகள் கேட்கப்படுவதை நிறுத்தியதை நீங்கள் உணர்ந்தீர்கள். அதே கட்டளைகள்:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
சரி, இறுதியில், ருட்ராக்கரைத் தடுப்போம். முழு சப்நெட் அவருக்கு சொந்தமானது, எனவே சப்நெட் குறிப்பிடப்பட்டுள்ளது.
உங்கள் இணையத்தை திரும்பப் பெறுவது அவ்வளவு எளிதாக இருந்தது. குழு:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
ரூட் டிராக்கரைப் போலவே, நீங்கள் கார்ப்பரேட் ஆதாரங்கள் மற்றும் பிற தடுக்கப்பட்ட தளங்களை வழிநடத்தலாம்.
உங்கள் ஸ்வெட்டரைக் கழற்றாமல் ஒரே நேரத்தில் ரூட் டிராக்கரிலும் கார்ப்பரேட் போர்ட்டலிலும் உள்நுழைவதன் வசதியைப் பாராட்டுவீர்கள் என்று ஆசிரியர் நம்புகிறார்.
ஆதாரம்: www.habr.com