ในคำแนะนำทีละขั้นตอนนี้ ฉันจะบอกวิธีตั้งค่า Mikrotik เพื่อให้ไซต์ต้องห้ามเปิดโดยอัตโนมัติผ่าน VPN นี้ และคุณสามารถหลีกเลี่ยงการเต้นรำกับแทมบูรีนได้: ตั้งค่าเพียงครั้งเดียวและทุกอย่างใช้งานได้
ฉันเลือก SoftEther เป็น VPN ของฉัน: ตั้งค่าได้ง่ายพอๆ กัน และรวดเร็วพอๆ กัน ฉันเปิดใช้งาน Secure NAT บนฝั่งเซิร์ฟเวอร์ VPN โดยไม่มีการตั้งค่าอื่นใดเกิดขึ้น
ฉันถือว่า RRAS เป็นทางเลือก แต่ Mikrotik ไม่รู้ว่าจะใช้งานมันอย่างไร สร้างการเชื่อมต่อแล้ว VPN ใช้งานได้ แต่ Mikrotik ไม่สามารถรักษาการเชื่อมต่อได้หากไม่มีการเชื่อมต่อใหม่อย่างต่อเนื่องและเกิดข้อผิดพลาดในบันทึก
การตั้งค่านี้ทำในตัวอย่างของ RB3011UiAS-RM บนเฟิร์มแวร์เวอร์ชัน 6.46.11
ตอนนี้ตามลำดับอะไรและทำไม
1. ตั้งค่าการเชื่อมต่อ VPN
แน่นอนว่าเป็นโซลูชัน VPN จึงเลือก SoftEther, L2TP พร้อมคีย์ที่แชร์ล่วงหน้า การรักษาความปลอดภัยระดับนี้เพียงพอสำหรับทุกคน เพราะมีเพียงเราเตอร์และเจ้าของเท่านั้นที่รู้รหัส
ไปที่ส่วนอินเทอร์เฟซ ขั้นแรก เราเพิ่มอินเทอร์เฟซใหม่ จากนั้นเราป้อน ip, ล็อกอิน, รหัสผ่าน และรหัสที่ใช้ร่วมกันลงในอินเทอร์เฟซ กดตกลง
คำสั่งเดียวกัน:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther จะทำงานโดยไม่เปลี่ยนข้อเสนอ ipsec และโปรไฟล์ ipsec เราไม่พิจารณาการกำหนดค่าของพวกเขา แต่ผู้เขียนทิ้งภาพหน้าจอของโปรไฟล์ของเขาไว้เผื่อไว้
สำหรับ RRAS ในข้อเสนอ IPsec เพียงเปลี่ยนกลุ่ม PFS เป็น none
ตอนนี้คุณต้องยืนอยู่ข้างหลัง NAT ของเซิร์ฟเวอร์ VPN นี้ ในการดำเนินการนี้ เราต้องไปที่ IP > ไฟร์วอลล์ > NAT
ที่นี่เราเปิดใช้งานการปลอมแปลงสำหรับอินเทอร์เฟซ PPP เฉพาะหรือทั้งหมด เราเตอร์ของผู้เขียนเชื่อมต่อกับ VPN สามตัวพร้อมกัน ดังนั้นฉันจึงทำสิ่งนี้:
คำสั่งเดียวกัน:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. เพิ่มกฎให้กับ Mangle
แน่นอนว่าสิ่งแรกที่คุณต้องการคือการปกป้องทุกสิ่งที่มีค่าและไม่มีการป้องกันมากที่สุด เช่น การรับส่งข้อมูล DNS และ HTTP เริ่มจาก HTTP กันก่อน
ไปที่ IP → ไฟร์วอลล์ → Mangle และสร้างกฎใหม่
ตามกฎแล้ว Chain เลือก Prerouting
หากมี Smart SFP หรือเราเตอร์อื่นอยู่หน้าเราเตอร์ และคุณต้องการเชื่อมต่อผ่านเว็บอินเทอร์เฟซใน Dst ที่อยู่ต้องป้อนที่อยู่ IP หรือเครือข่ายย่อยและใส่เครื่องหมายลบเพื่อไม่ใช้ Mangle กับที่อยู่หรือเครือข่ายย่อยนั้น ผู้เขียนมี SFP GPON ONU ในโหมดบริดจ์ ดังนั้นผู้เขียนจึงยังคงสามารถเชื่อมต่อกับ webmord ของเขาได้
ตามค่าเริ่มต้น Mangle จะใช้กฎกับสถานะ NAT ทั้งหมด ซึ่งจะทำให้การส่งต่อพอร์ตบน IP สีขาวของคุณเป็นไปไม่ได้ ดังนั้นในสถานะ Connection NAT ให้ตรวจสอบ dstnat และเครื่องหมายลบ สิ่งนี้จะทำให้เราสามารถส่งข้อมูลขาออกผ่านเครือข่ายผ่าน VPN แต่ยังคงส่งต่อพอร์ตผ่าน IP สีขาวของเรา
ถัดไปบนแท็บการดำเนินการ เลือกทำเครื่องหมายการกำหนดเส้นทาง ตั้งชื่อเครื่องหมายการกำหนดเส้นทางใหม่ เพื่อให้เราชัดเจนในอนาคตและเดินหน้าต่อไป
คำสั่งเดียวกัน:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
ตอนนี้เรามาดูการรักษาความปลอดภัย DNS กันดีกว่า ในกรณีนี้ คุณต้องสร้างกฎสองข้อ อันหนึ่งสำหรับเราเตอร์ และอีกอันสำหรับอุปกรณ์ที่เชื่อมต่อกับเราเตอร์
หากคุณใช้ DNS ที่มีอยู่ในเราเตอร์ซึ่งผู้เขียนใช้ จะต้องได้รับการปกป้องด้วย ดังนั้นสำหรับกฎข้อแรก ดังที่กล่าวข้างต้น เราเลือกการกำหนดเส้นทางลูกโซ่ สำหรับกฎข้อที่สอง เราต้องเลือกเอาต์พุต
เอาต์พุตคือสายโซ่ที่เราเตอร์ใช้สำหรับคำขอโดยใช้ฟังก์ชันการทำงาน ทุกอย่างที่นี่คล้ายกับ HTTP, โปรโตคอล UDP, พอร์ต 53
คำสั่งเดียวกัน:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. การสร้างเส้นทางผ่าน VPN
ไปที่ IP → เส้นทาง และสร้างเส้นทางใหม่
เส้นทางสำหรับการกำหนดเส้นทาง HTTP ผ่าน VPN ระบุชื่อของอินเทอร์เฟซ VPN ของเราและเลือก Routing Mark
ในขั้นตอนนี้ คุณได้สัมผัสแล้วว่าโอเปอเรเตอร์ของคุณหยุดทำงานอย่างไร .
คำสั่งเดียวกัน:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
กฎสำหรับการป้องกัน DNS จะมีลักษณะเหมือนกันทุกประการ เพียงเลือกป้ายกำกับที่ต้องการ:
ที่นี่คุณรู้สึกว่าการสืบค้น DNS ของคุณหยุดฟังอย่างไร คำสั่งเดียวกัน:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
ท้ายที่สุดแล้ว ปลดล็อค Rutracker ซับเน็ตทั้งหมดเป็นของเขา ดังนั้นจึงระบุซับเน็ต
นั่นเป็นวิธีที่ง่ายในการนำอินเทอร์เน็ตกลับมา ทีม:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
ในลักษณะเดียวกับ Root Tracker คุณสามารถกำหนดเส้นทางทรัพยากรขององค์กรและไซต์ที่ถูกบล็อกอื่นๆ ได้
ผู้เขียนหวังว่าคุณจะพอใจกับความสะดวกในการเข้าถึงรูทติดตามและพอร์ทัลองค์กรในเวลาเดียวกันโดยไม่ต้องถอดเสื้อสเวตเตอร์
ที่มา: will.com