Ushbu bosqichma-bosqich qo'llanmada men sizga Mikrotikni qanday sozlashni aytaman, shunda taqiqlangan saytlar ushbu VPN orqali avtomatik ravishda ochiladi va siz daflar bilan raqsga tushishdan qochishingiz mumkin: uni bir marta o'rnating va hamma narsa ishlaydi.
Men VPN sifatida SoftEther-ni tanladim: uni sozlash juda oson va xuddi shunday tez. Men VPN server tomonida Secure NAT-ni yoqdim, boshqa sozlamalar o'rnatilmagan.
Men RRASni muqobil deb hisobladim, lekin Mikrotik u bilan qanday ishlashni bilmaydi. Ulanish o'rnatildi, VPN ishlaydi, lekin Mikrotik doimiy qayta ulanishlarsiz va jurnaldagi xatolarsiz ulanishni saqlay olmaydi.
Sozlama 3011 proshivka versiyasida RB6.46.11UiAS-RM misolida amalga oshirildi.
Endi, tartibda, nima va nima uchun.
1. VPN ulanishini sozlang
VPN yechimi sifatida, albatta, SoftEther, oldindan taqsimlangan kalitga ega L2TP tanlangan. Bu darajadagi xavfsizlik har kim uchun etarli, chunki kalitni faqat router va uning egasi biladi.
Interfeyslar bo'limiga o'ting. Birinchidan, biz yangi interfeys qo'shamiz, so'ngra interfeysga ip, login, parol va umumiy kalitni kiritamiz. OK tugmasini bosing.
Xuddi shu buyruq:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther ipsec takliflari va ipsec profillarini o'zgartirmasdan ishlaydi, biz ularning konfiguratsiyasini hisobga olmaymiz, lekin muallif o'z profillarining skrinshotlarini qoldirdi.
IPsec takliflarida RRAS uchun PFS guruhini hech narsaga o'zgartiring.
Endi siz ushbu VPN serverining NAT-ning orqasida turishingiz kerak. Buning uchun biz IP > Xavfsizlik devori > NAT ga o'tishimiz kerak.
Bu yerda biz maxsus yoki barcha PPP interfeyslari uchun maskaradni yoqamiz. Muallifning routeri bir vaqtning o'zida uchta VPNga ulangan, shuning uchun men buni qildim:
Xuddi shu buyruq:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Mangle-ga Qoidalar qo'shing
Siz istagan birinchi narsa, albatta, eng qimmatli va himoyasiz bo'lgan hamma narsani, ya'ni DNS va HTTP trafigini himoya qilishdir. HTTP bilan boshlaylik.
IP β Xavfsizlik devori β Mangle ga o'ting va yangi qoida yarating.
Qoidaga ko'ra, Chain oldindan marshrutni tanlashni tanlaydi.
Router oldida Smart SFP yoki boshqa yo'riqnoma mavjud bo'lsa va siz unga veb-interfeys orqali ulanishni istasangiz, Dst. Manzil o'zining IP-manzilini yoki quyi tarmoqni kiritishi va Mangalni manzilga yoki ushbu quyi tarmoqqa qo'llamaslik uchun salbiy belgi qo'yishi kerak. Muallif ko'prik rejimida SFP GPON ONU-ga ega, shuning uchun muallif o'z veb-mordiga ulanish imkoniyatini saqlab qoldi.
Odatiy bo'lib, Mangle o'z qoidasini barcha NAT holatlariga qo'llaydi, bu sizning oq IP-da portni yo'naltirishni imkonsiz qiladi, shuning uchun ulanish NAT holatida dstnat va salbiy belgini tekshiring. Bu bizga VPN orqali tarmoq orqali chiquvchi trafikni jo'natish imkonini beradi, lekin hali ham oq IP orqali portlarni yo'naltiradi.
Keyinchalik, Harakat yorlig'ida marshrutni belgilashni tanlang, kelajakda bizga tushunarli bo'lishi uchun Yangi marshrut belgisi deb nomlang va davom eting.
Xuddi shu buyruq:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Endi DNS xavfsizligiga o'tamiz. Bunday holda siz ikkita qoida yaratishingiz kerak. Biri router uchun, ikkinchisi routerga ulangan qurilmalar uchun.
Routerga o'rnatilgan DNS-dan foydalansangiz, muallif buni amalga oshiradi, u ham himoyalangan bo'lishi kerak. Shuning uchun, birinchi qoida uchun, yuqoridagi kabi, biz zanjirni oldindan yo'naltirishni tanlaymiz, ikkinchisi uchun biz chiqishni tanlashimiz kerak.
Chiqish - bu yo'riqnoma o'zi funksiyasidan foydalangan holda so'rovlar uchun foydalanadigan zanjir. Bu erda hamma narsa HTTP, UDP protokoli, 53 portiga o'xshaydi.
Xuddi shu buyruqlar:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. VPN orqali marshrut qurish
IP β Marshrutlar ga o'ting va yangi marshrutlarni yarating.
VPN orqali HTTP marshrutlash uchun marshrut. VPN interfeyslarimiz nomini belgilang va Marshrutlash belgisini tanlang.
Ushbu bosqichda siz operatoringiz qanday to'xtaganini allaqachon his qildingiz .
Xuddi shu buyruq:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
DNS himoyasi qoidalari xuddi shunday ko'rinadi, shunchaki kerakli yorliqni tanlang:
Bu erda siz DNS so'rovlaringiz tinglashni to'xtatganini his qildingiz. Xuddi shu buyruqlar:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
Oxir-oqibat, Rutracker-ni qulfdan chiqaring. Butun ichki tarmoq unga tegishli, shuning uchun quyi tarmoq ko'rsatilgan.
Internetni qaytarib olish shunchalik oson edi. Jamoa:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Ildiz kuzatuvchisi bilan bir xil tarzda siz korporativ resurslarni va boshqa bloklangan saytlarni yo'naltirishingiz mumkin.
Muallif kozokingizni yechmasdan bir vaqtning o'zida root trekeriga va korporativ portalga kirish qulayligini qadrlaysiz, deb umid qiladi.
Manba: www.habr.com