اس مرحلہ وار گائیڈ میں، میں آپ کو بتاؤں گا کہ Mikrotik کو کیسے ترتیب دیا جائے تاکہ اس VPN کے ذریعے ممنوعہ سائٹس خود بخود کھل جائیں اور آپ دف کے ساتھ رقص کرنے سے بچ سکیں: اسے ایک بار سیٹ کریں اور سب کچھ کام کرتا ہے۔
میں نے SoftEther کو بطور VPN منتخب کیا: اسے ترتیب دینا اتنا ہی آسان ہے۔ اور بالکل تیز. VPN سرور کی طرف، میں نے Secure NAT کو فعال کیا؛ کوئی دوسری ترتیبات نہیں بنائی گئیں۔
میں نے RRAS کو متبادل کے طور پر سمجھا، لیکن Mikrotik اس کے ساتھ کام کرنے کا طریقہ نہیں جانتا۔ کنکشن قائم ہو گیا ہے، VPN کام کرتا ہے، لیکن Mikrotik لاگ میں مسلسل دوبارہ کنکشن اور غلطیوں کے بغیر کنکشن کو برقرار رکھنے سے قاصر ہے۔
سیٹ اپ کو فرم ویئر ورژن 3011 پر RB6.46.11UiAS-RM کی مثال استعمال کرتے ہوئے کیا گیا تھا۔
اب، ترتیب میں، کیا اور کیوں.
1. ایک VPN کنکشن قائم کریں۔
بلاشبہ، پہلے سے مشترکہ کلید کے ساتھ SoftEther، L2TP کو VPN حل کے طور پر منتخب کیا گیا تھا۔ سیکیورٹی کی یہ سطح کسی کے لیے بھی کافی ہے، کیونکہ صرف راؤٹر اور اس کا مالک ہی اس کی کلید جانتا ہے۔
انٹرفیس سیکشن پر جائیں۔ سب سے پہلے، ہم ایک نیا انٹرفیس شامل کرتے ہیں، اور پھر انٹرفیس میں آئی پی، لاگ ان، پاس ورڈ اور مشترکہ کلید درج کرتے ہیں۔ ٹھیک ہے پر کلک کریں۔
وہی حکم:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther ipsec تجاویز اور ipsec پروفائلز کو تبدیل کیے بغیر کام کرے گا، ہم انہیں ترتیب دینے پر غور نہیں کر رہے ہیں، لیکن مصنف نے اپنے پروفائلز کے اسکرین شاٹس چھوڑے ہیں، صرف اس صورت میں۔
IPsec تجاویز میں RRAS کے لیے، صرف PFS گروپ کو کسی میں تبدیل نہ کریں۔
اب آپ کو اس VPN سرور کے NAT کے پیچھے کھڑے ہونے کی ضرورت ہے۔ ایسا کرنے کے لیے ہمیں IP> Firewall> NAT پر جانا ہوگا۔
یہاں ہم ایک مخصوص یا تمام PPP انٹرفیس کے لیے ماسکریڈ کو فعال کرتے ہیں۔ مصنف کا راؤٹر ایک ساتھ تین VPNs سے منسلک ہے، اس لیے میں نے یہ کیا:
وہی حکم:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Mangle میں قواعد شامل کریں۔
پہلی چیز جو میں چاہتا ہوں، یقیناً، ہر اس چیز کی حفاظت کرنا ہے جو انتہائی قیمتی اور بے دفاع ہے، یعنی DNS اور HTTP ٹریفک۔ آئیے HTTP کے ساتھ شروع کریں۔
آئی پی → فائر وال → مینگل پر جائیں اور ایک نیا اصول بنائیں۔
اصول میں، سلسلہ، منتخب کریں Prerouting.
اگر روٹر کے سامنے ایک Smart SFP یا کوئی دوسرا راؤٹر ہے، اور آپ Dst فیلڈ میں، ویب انٹرفیس کے ذریعے اس سے جڑنا چاہتے ہیں۔ ایڈریس جس پر آپ کو اس کا آئی پی ایڈریس یا سب نیٹ درج کرنے کی ضرورت ہے اور منفی نشان لگانا ہے تاکہ ایڈریس یا اس سب نیٹ پر Mangle کا اطلاق نہ ہو۔ مصنف کے پاس برج موڈ میں SFP GPON ONU ہے، لہذا مصنف نے اپنے ویب انٹرفیس سے جڑنے کی صلاحیت برقرار رکھی۔
پہلے سے طے شدہ طور پر، Mangle اپنے اصول کو تمام NAT ریاستوں پر لاگو کرے گا، یہ آپ کے سفید IP پر پورٹ فارورڈنگ کو ناممکن بنا دے گا، لہذا کنکشن NAT اسٹیٹ میں ہم dstnat پر ایک چیک مارک اور ایک منفی نشان لگاتے ہیں۔ یہ ہمیں VPN کے ذریعے نیٹ ورک پر باہر جانے والی ٹریفک بھیجنے کی اجازت دے گا، لیکن پھر بھی ہمارے سفید IP کے ذریعے بندرگاہوں کو آگے بھیج سکتے ہیں۔
اس کے بعد، ایکشن ٹیب پر، مارک روٹنگ کو منتخب کریں، اسے نیو روٹنگ مارک کا نام دیں تاکہ یہ مستقبل میں ہمارے لیے واضح ہو اور آگے بڑھیں۔
وہی حکم:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
اب DNS تحفظ کی طرف چلتے ہیں۔ اس صورت میں، آپ کو دو اصول بنانے کی ضرورت ہے۔ ایک راؤٹر کے لیے، دوسرا روٹر سے منسلک آلات کے لیے۔
اگر آپ روٹر میں بنایا ہوا DNS استعمال کرتے ہیں، جو مصنف کرتا ہے، تو اسے بھی محفوظ کرنے کی ضرورت ہے۔ اس لیے، پہلے اصول کے لیے، جیسا کہ اوپر، ہم چین پری روٹنگ کو منتخب کرتے ہیں، دوسرے کے لیے ہمیں آؤٹ پٹ کو منتخب کرنے کی ضرورت ہے۔
آؤٹ پٹ وہ سرکٹ ہے جسے روٹر خود اپنی فعالیت کا استعمال کرتے ہوئے درخواستیں کرنے کے لیے استعمال کرتا ہے۔ یہاں سب کچھ HTTP، UDP پروٹوکول، پورٹ 53 سے ملتا جلتا ہے۔
وہی احکام:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. VPN کے ذریعے راستہ بنانا
آئی پی → روٹس پر جائیں اور نئے راستے بنائیں۔
VPN پر HTTP کو روٹ کرنے کا راستہ۔ ہم اپنے VPN انٹرفیس کے نام کی نشاندہی کرتے ہیں اور روٹنگ مارک کو منتخب کرتے ہیں۔
اس مرحلے پر، آپ نے پہلے ہی محسوس کیا ہے کہ آپ کا آپریٹر کیسے رک گیا ہے۔ .
وہی حکم:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
DNS تحفظ کے اصول بالکل ایک جیسے نظر آئیں گے، بس مطلوبہ لیبل منتخب کریں:
پھر آپ نے محسوس کیا کہ کس طرح آپ کی DNS درخواستوں کو سننا چھوڑ دیا گیا۔ وہی احکام:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
ٹھیک ہے، آخر میں، آئیے Rutracker کو غیر مسدود کرتے ہیں۔ پورا سب نیٹ اس کا ہے، اس لیے ذیلی نیٹ کی وضاحت کی گئی ہے۔
آپ کا انٹرنیٹ واپس حاصل کرنا اتنا آسان تھا۔ ٹیم:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
بالکل اسی طرح جیسے روٹ ٹریکر کے ساتھ، آپ کارپوریٹ وسائل اور دیگر بلاک شدہ سائٹس کو روٹ کر سکتے ہیں۔
مصنف امید کرتا ہے کہ آپ اپنا سویٹر اتارے بغیر ایک ہی وقت میں روٹ ٹریکر اور کارپوریٹ پورٹل میں لاگ ان کرنے کی سہولت کو سراہیں گے۔
ماخذ: www.habr.com