Sa step-by-step na gabay na ito, sasabihin ko sa iyo kung paano i-set up ang Mikrotik upang ang mga ipinagbabawal na site ay awtomatikong mabuksan sa pamamagitan ng VPN na ito at maiiwasan mo ang pagsasayaw gamit ang mga tamburin: i-set up ito nang isang beses at gumagana ang lahat.
Pinili ko ang SoftEther bilang isang VPN: ito ay kasingdali ng pag-set up at kasing bilis. Sa panig ng VPN server, pinagana ko ang Secure NAT; walang ibang mga setting na ginawa.
Itinuring ko ang RRAS bilang isang alternatibo, ngunit hindi alam ni Mikrotik kung paano ito gagawin. Ang koneksyon ay itinatag, ang VPN ay gumagana, ngunit ang Mikrotik ay hindi mapanatili ang koneksyon nang walang patuloy na muling pagkonekta at mga error sa log.
Ang pag-setup ay isinagawa gamit ang halimbawa ng RB3011UiAS-RM sa bersyon ng firmware na 6.46.11.
Ngayon, sa pagkakasunud-sunod, ano at bakit.
1. Magtatag ng koneksyon sa VPN
Siyempre, ang SoftEther, L2TP na may pre-shared na key, ay pinili bilang solusyon sa VPN. Ang antas ng seguridad na ito ay sapat na para sa sinuman, dahil tanging ang router at ang may-ari nito ang nakakaalam ng susi.
Pumunta sa seksyon ng mga interface. Una, nagdagdag kami ng bagong interface, at pagkatapos ay ipasok ang ip, login, password at shared key sa interface. I-click ang ok.
Ang parehong utos:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
Gagana ang SoftEther nang hindi binabago ang mga panukala ng ipsec at mga profile ng ipsec, hindi namin isinasaalang-alang ang pag-set up ng mga ito, ngunit iniwan ng may-akda ang mga screenshot ng kanyang mga profile, kung sakali.
Para sa RRAS sa IPsec Proposals, baguhin lang ang PFS Group sa wala.
Ngayon ay kailangan mong tumayo sa likod ng NAT ng VPN server na ito. Upang gawin ito kailangan naming pumunta sa IP > Firewall > NAT.
Dito namin pinagana ang pagbabalatkayo para sa isang partikular o lahat ng mga interface ng PPP. Ang router ng may-akda ay konektado sa tatlong VPN nang sabay-sabay, kaya ginawa ko ito:
Ang parehong utos:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Magdagdag ng mga panuntunan sa Mangle
Ang unang bagay na gusto ko, siyempre, ay protektahan ang lahat ng bagay na pinakamahalaga at walang pagtatanggol, katulad ng trapiko ng DNS at HTTP. Magsimula tayo sa HTTP.
Pumunta sa IP β Firewall β Mangle at lumikha ng bagong panuntunan.
Sa panuntunan, Chain, piliin ang Prerouting.
Kung mayroong Smart SFP o ibang router sa harap ng router, at gusto mong kumonekta dito sa pamamagitan ng web interface, sa field ng Dst. Address kailangan mong ilagay ang IP address o subnet nito at maglagay ng negatibong senyales upang hindi mailapat ang Mangle sa address o sa subnet na ito. Ang may-akda ay may SFP GPON ONU sa bridge mode, kaya napanatili ng may-akda ang kakayahang kumonekta sa kanyang web interface.
Bilang default, ilalapat ng Mangle ang panuntunan nito sa lahat ng NAT States, gagawin nitong imposible ang port forwarding sa iyong puting IP, kaya sa Connection NAT State naglalagay kami ng checkmark sa dstnat at negatibong sign. Magbibigay-daan ito sa amin na magpadala ng papalabas na trapiko sa network sa pamamagitan ng VPN, ngunit nagpapasa pa rin ng mga port sa pamamagitan ng aming puting IP.
Susunod, sa tab na Aksyon, piliin ang pagruruta ng marka, tawagan itong Bagong Marka ng Pagruruta upang maging malinaw ito sa atin sa hinaharap at magpatuloy.
Ang parehong utos:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Ngayon ay lumipat tayo sa proteksyon ng DNS. Sa kasong ito, kailangan mong lumikha ng dalawang panuntunan. Isa para sa router, ang isa para sa mga device na nakakonekta sa router.
Kung gagamitin mo ang DNS na nakapaloob sa router, na ginagawa ng may-akda, kailangan din itong protektahan. Samakatuwid, para sa unang panuntunan, tulad ng nasa itaas, pinipili namin ang chain prerouting, para sa pangalawa kailangan naming pumili ng output.
Ang output ay ang circuit na ginagamit mismo ng router upang gumawa ng mga kahilingan gamit ang functionality nito. Ang lahat dito ay katulad ng HTTP, UDP protocol, port 53.
Ang parehong mga utos:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Pagbuo ng ruta sa pamamagitan ng VPN
Pumunta sa IP β Mga Ruta at lumikha ng mga bagong ruta.
Ruta para sa pagruruta ng HTTP sa VPN. Ipinapahiwatig namin ang pangalan ng aming mga interface ng VPN at piliin ang Marka ng Pagruruta.
Sa yugtong ito, naramdaman mo na kung paano huminto ang iyong operator .
Ang parehong utos:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Ang mga patakaran para sa proteksyon ng DNS ay magiging eksaktong pareho, piliin lamang ang nais na label:
Pagkatapos ay naramdaman mo kung paano huminto sa pakikinig ang iyong mga kahilingan sa DNS. Ang parehong mga utos:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Well, sa huli, i-unblock natin si Rutracker. Ang buong subnet ay pag-aari niya, kaya ang subnet ay tinukoy.
Gaano kadaling ibalik ang iyong internet. Koponan:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Sa eksaktong parehong paraan tulad ng sa isang root tracker, maaari mong iruta ang mga mapagkukunan ng kumpanya at iba pang mga naka-block na site.
Inaasahan ng may-akda na pahalagahan mo ang kaginhawaan ng pag-log in sa root tracker at sa corporate portal nang sabay nang hindi hinuhubad ang iyong sweater.
Pinagmulan: www.habr.com