Bu adım adım kılavuzda, Mikrotik'i nasıl kuracağınızı anlatacağım, böylece yasak siteler bu VPN üzerinden otomatik olarak açılır ve teflerle dans etmekten kaçınabilirsiniz: bir kez kurun ve her şey çalışır.
VPN'im olarak SoftEther'i seçtim: Kurulumu kadar kolay
RRAS'ı alternatif olarak düşündüm ama Mikrotik onunla nasıl çalışılacağını bilmiyor. Bağlantı kurulur, VPN çalışır, ancak Mikrotik, günlükte sürekli yeniden bağlanma ve hatalar olmadan bağlantıyı sürdüremez.
Ayar, donanım yazılımı sürümü 3011'de RB6.46.11UiAS-RM örneğinde yapılmıştır.
Şimdi, sırayla, ne ve neden.
1. Bir VPN bağlantısı kurun
VPN çözümü olarak tabii ki SoftEther, ön paylaşımlı anahtarlı L2TP seçildi. Bu güvenlik düzeyi herkes için yeterlidir çünkü anahtarı yalnızca yönlendirici ve sahibi bilir.
Arayüzler bölümüne gidin. Öncelikle yeni bir arayüz ekliyoruz ve ardından arayüze ip, login, password ve paylaşımlı anahtarı giriyoruz. Tamam tuşuna basın.
Aynı komut:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther, ipsec tekliflerini ve ipsec profillerini değiştirmeden çalışacak, yapılandırmalarını dikkate almıyoruz, ancak yazar her ihtimale karşı profillerinin ekran görüntülerini bıraktı.
IPsec Tekliflerindeki RRAS için PFS Grubunu hiçbiri olarak değiştirmeniz yeterlidir.
Artık bu VPN sunucusunun NAT'ının arkasında durmanız gerekiyor. Bunu yapmak için IP> Güvenlik Duvarı> NAT'a gitmemiz gerekiyor.
Burada, belirli bir veya tüm PPP arabirimleri için maskelemeyi etkinleştiriyoruz. Yazarın yönlendiricisi aynı anda üç VPN'e bağlı, bu yüzden şunu yaptım:
Aynı komut:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Mangle'a Kurallar Ekleyin
Elbette istediğiniz ilk şey, en değerli ve savunmasız olan her şeyi, yani DNS ve HTTP trafiğini korumaktır. HTTP ile başlayalım.
IP → Güvenlik Duvarı → Mangle'a gidin ve yeni bir kural oluşturun.
Kuralda, Zincir Ön Yönlendirme'yi seçin.
Yönlendiricinin önünde Smart SFP veya başka bir yönlendirici varsa ve buna web arayüzü üzerinden bağlanmak istiyorsanız Dst. Adresin IP adresini veya alt ağını girmesi ve Mangle'ı adrese veya o alt ağa uygulamaması için eksi işareti koyması gerekir. Yazar, köprü modunda SFP GPON ONU'ya sahiptir, bu nedenle yazar webmord'una bağlanma yeteneğini korumuştur.
Varsayılan olarak, Mangle kuralını tüm NAT Durumlarına uygulayacaktır, bu, beyaz IP'nizde bağlantı noktası iletmeyi imkansız hale getirecektir, bu nedenle Bağlantı NAT Durumunda, dstnat'ı kontrol edin ve bir eksi işareti. Bu, VPN aracılığıyla ağ üzerinden giden trafiği göndermemize izin verecek, ancak yine de beyaz IP'miz üzerinden bağlantı noktalarını iletecektir.
Ardından, Eylem sekmesinde yönlendirmeyi işaretle'yi seçin, gelecekte bizim için net olması için Yeni Yönlendirme İşareti olarak adlandırın ve devam edin.
Aynı komut:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Şimdi DNS güvenliğini sağlamaya geçelim. Bu durumda, iki kural oluşturmanız gerekir. Biri yönlendirici için, diğeri yönlendiriciye bağlı cihazlar için.
Yazarın yaptığı gibi, yönlendiricide yerleşik olarak bulunan DNS'yi kullanırsanız, bunun da korunması gerekir. Bu nedenle, birinci kural için yukarıdaki gibi zincir ön yönlendirmeyi seçiyoruz, ikincisi için çıktıyı seçmemiz gerekiyor.
Çıktı, yönlendiricinin işlevselliğini kullanan istekler için kullandığı bir zincirdir. Buradaki her şey HTTP, UDP protokolü, 53 numaralı bağlantı noktasına benzer.
Aynı komutlar:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. VPN üzerinden rota oluşturma
IP → Rotalar'a gidin ve yeni rotalar oluşturun.
VPN üzerinden HTTP yönlendirmesi için rota. VPN arayüzlerimizin adını belirtin ve Yönlendirme İşareti'ni seçin.
Bu aşamada operatörünüzün nasıl durduğunu zaten hissetmişsinizdir.
Aynı komut:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
DNS koruması kuralları tamamen aynı görünecektir, sadece istediğiniz etiketi seçin:
Burada, DNS sorgularınızın dinlemeyi nasıl bıraktığını hissettiniz. Aynı komutlar:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Sonunda, Rutracker'ın kilidini açın. Tüm alt ağ ona aittir, bu nedenle alt ağ belirtilir.
İnterneti geri almak işte bu kadar kolaydı. Takım:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Kök izleyicide olduğu gibi, kurumsal kaynakları ve diğer engellenen siteleri yönlendirebilirsiniz.
Yazar, süveterinizi çıkarmadan kök izleyiciye ve kurumsal portala aynı anda erişmenin rahatlığını takdir edeceğinizi umuyor.
Kaynak: habr.com