ఈ స్టెప్-బై-స్టెప్ గైడ్లో, మైక్రోటిక్ని ఎలా సెటప్ చేయాలో నేను మీకు చెప్తాను, తద్వారా ఈ VPN ద్వారా నిషేధించబడిన సైట్లు స్వయంచాలకంగా తెరవబడతాయి మరియు మీరు టాంబురైన్లతో నృత్యం చేయకుండా నివారించవచ్చు: దీన్ని ఒకసారి సెటప్ చేయండి మరియు ప్రతిదీ పని చేస్తుంది.
నేను సాఫ్ట్ఈథర్ని VPNగా ఎంచుకున్నాను: దీన్ని సెటప్ చేయడం చాలా సులభం
నేను RRASని ప్రత్యామ్నాయంగా పరిగణించాను, కానీ Mikrotik దానితో ఎలా పని చేయాలో తెలియదు. కనెక్షన్ స్థాపించబడింది, VPN పనిచేస్తుంది, కానీ Mikrotik లాగ్లో స్థిరమైన రీకనెక్షన్లు మరియు లోపాలు లేకుండా కనెక్షన్ని నిర్వహించలేకపోయింది.
ఫర్మ్వేర్ వెర్షన్ 3011లో RB6.46.11UiAS-RM ఉదాహరణను ఉపయోగించి సెటప్ నిర్వహించబడింది.
ఇప్పుడు, క్రమంలో, ఏమి మరియు ఎందుకు.
1. VPN కనెక్షన్ని ఏర్పాటు చేయండి
వాస్తవానికి, సాఫ్ట్ఈథర్, ముందుగా షేర్ చేసిన కీతో L2TP, VPN పరిష్కారంగా ఎంపిక చేయబడింది. ఈ స్థాయి భద్రత ఎవరికైనా సరిపోతుంది, ఎందుకంటే రౌటర్ మరియు దాని యజమానికి మాత్రమే కీ తెలుసు.
ఇంటర్ఫేస్ల విభాగానికి వెళ్లండి. మొదట, మేము కొత్త ఇంటర్ఫేస్ను జోడించి, ఆపై ఇంటర్ఫేస్లో ip, లాగిన్, పాస్వర్డ్ మరియు షేర్డ్ కీని నమోదు చేస్తాము. సరే క్లిక్ చేయండి.
అదే ఆదేశం:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther ipsec ప్రతిపాదనలు మరియు ipsec ప్రొఫైల్లను మార్చకుండా పని చేస్తుంది, మేము వాటిని సెటప్ చేయడం గురించి ఆలోచించడం లేదు, అయితే రచయిత తన ప్రొఫైల్ల స్క్రీన్షాట్లను వదిలివేసారు.
IPsec ప్రతిపాదనలలో RRAS కోసం, PFS గ్రూప్ను ఏదీ కాదుగా మార్చండి.
ఇప్పుడు మీరు ఈ VPN సర్వర్ యొక్క NAT వెనుక నిలబడాలి. దీన్ని చేయడానికి మనం IP > Firewall > NATకి వెళ్లాలి.
ఇక్కడ మేము నిర్దిష్ట లేదా అన్ని PPP ఇంటర్ఫేస్ల కోసం మాస్క్వెరేడ్ని ప్రారంభిస్తాము. రచయిత యొక్క రౌటర్ ఒకేసారి మూడు VPN లకు కనెక్ట్ చేయబడింది, కాబట్టి నేను ఇలా చేసాను:
అదే ఆదేశం:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. మాంగిల్కు నియమాలను జోడించండి
నేను కోరుకునే మొదటి విషయం ఏమిటంటే, DNS మరియు HTTP ట్రాఫిక్ అనే అత్యంత విలువైన మరియు రక్షణ లేని ప్రతిదాన్ని రక్షించడం. HTTPతో ప్రారంభిద్దాం.
IP → ఫైర్వాల్ → మాంగిల్కి వెళ్లి కొత్త నియమాన్ని సృష్టించండి.
నియమంలో, చైన్, ప్రీరౌటింగ్ని ఎంచుకోండి.
రౌటర్ ముందు స్మార్ట్ SFP లేదా మరొక రూటర్ ఉంటే, మరియు మీరు Dst ఫీల్డ్లో వెబ్ ఇంటర్ఫేస్ ద్వారా దానికి కనెక్ట్ చేయాలనుకుంటే. చిరునామాకు లేదా ఈ సబ్నెట్కు మాంగిల్ని వర్తింపజేయకుండా మీరు దాని IP చిరునామా లేదా సబ్నెట్ను నమోదు చేసి, ప్రతికూల గుర్తును ఉంచాలి. రచయిత బ్రిడ్జ్ మోడ్లో SFP GPON ONUని కలిగి ఉన్నారు, కాబట్టి రచయిత తన వెబ్ ఇంటర్ఫేస్కు కనెక్ట్ చేసే సామర్థ్యాన్ని కలిగి ఉన్నారు.
డిఫాల్ట్గా, Mangle దాని నియమాన్ని అన్ని NAT రాష్ట్రాలకు వర్తింపజేస్తుంది, ఇది మీ వైట్ IP ద్వారా పోర్ట్ ఫార్వార్డింగ్ అసాధ్యం చేస్తుంది, కాబట్టి కనెక్షన్ NAT స్టేట్లో మేము dstnatపై చెక్మార్క్ మరియు ప్రతికూల గుర్తును ఉంచాము. ఇది VPN ద్వారా నెట్వర్క్లో అవుట్గోయింగ్ ట్రాఫిక్ను పంపడానికి అనుమతిస్తుంది, కానీ ఇప్పటికీ మా వైట్ IP ద్వారా పోర్ట్లను ఫార్వార్డ్ చేస్తుంది.
తర్వాత, యాక్షన్ ట్యాబ్లో, మార్క్ రూటింగ్ని ఎంచుకుని, కొత్త రూటింగ్ మార్క్కి కాల్ చేయండి, తద్వారా భవిష్యత్తులో మనకు స్పష్టంగా తెలుస్తుంది మరియు కొనసాగండి.
అదే ఆదేశం:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
ఇప్పుడు DNS రక్షణకు వెళ్దాం. ఈ సందర్భంలో, మీరు రెండు నియమాలను రూపొందించాలి. ఒకటి రూటర్ కోసం, మరొకటి రూటర్కి కనెక్ట్ చేయబడిన పరికరాల కోసం.
మీరు రౌటర్లో అంతర్నిర్మిత DNSని ఉపయోగిస్తే, అది రచయిత చేస్తుంది, అది కూడా రక్షించబడాలి. అందువల్ల, మొదటి నియమం కోసం, పైన పేర్కొన్న విధంగా, మేము చైన్ ప్రీరౌటింగ్ని ఎంచుకుంటాము, రెండవది మనం అవుట్పుట్ని ఎంచుకోవాలి.
అవుట్పుట్ అనేది రౌటర్ దాని కార్యాచరణను ఉపయోగించి అభ్యర్థనలను చేయడానికి ఉపయోగించే సర్క్యూట్. ఇక్కడ ప్రతిదీ HTTP, UDP ప్రోటోకాల్, పోర్ట్ 53 లాగా ఉంటుంది.
అదే ఆదేశాలు:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. VPN ద్వారా మార్గాన్ని నిర్మించడం
IP → రూట్లకు వెళ్లి కొత్త మార్గాలను సృష్టించండి.
VPN ద్వారా HTTPని రూట్ చేయడానికి మార్గం. మేము మా VPN ఇంటర్ఫేస్ల పేరును సూచిస్తాము మరియు రూటింగ్ మార్క్ని ఎంచుకోండి.
ఈ దశలో, మీ ఆపరేటర్ ఎలా ఆగిపోయారో మీరు ఇప్పటికే భావించారు
అదే ఆదేశం:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
DNS రక్షణ నియమాలు సరిగ్గా ఒకే విధంగా కనిపిస్తాయి, కావలసిన లేబుల్ని ఎంచుకోండి:
మీ DNS అభ్యర్థనలు వినడం ఎలా ఆగిపోయిందో మీరు భావించారు. అదే ఆదేశాలు:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
సరే, చివరికి, రూట్రాకర్ని అన్బ్లాక్ చేద్దాం. మొత్తం సబ్నెట్ అతనికి చెందినది, కాబట్టి సబ్నెట్ పేర్కొనబడింది.
మీ ఇంటర్నెట్ని తిరిగి పొందడం ఎంత సులభం. జట్టు:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
రూట్ ట్రాకర్ మాదిరిగానే, మీరు కార్పొరేట్ వనరులు మరియు ఇతర బ్లాక్ చేయబడిన సైట్లను రూట్ చేయవచ్చు.
మీ స్వెటర్ని తీయకుండానే రూట్ ట్రాకర్ మరియు కార్పొరేట్ పోర్టల్లోకి ఒకేసారి లాగిన్ చేయడం యొక్క సౌలభ్యాన్ని మీరు అభినందిస్తారని రచయిత ఆశిస్తున్నారు.
మూలం: www.habr.com