Ninu itọsọna igbese-nipasẹ-igbesẹ yii, Emi yoo sọ fun ọ bi o ṣe le ṣeto Mikrotik ki awọn aaye idinamọ ṣii laifọwọyi nipasẹ VPN yii ati pe o le yago fun jijo pẹlu awọn tambourines: ṣeto ni ẹẹkan ati pe ohun gbogbo ṣiṣẹ.
Mo ti yan SoftEther bi VPN: o rọrun lati ṣeto bi ati ki o kan bi sare. Ni ẹgbẹ olupin VPN, Mo ṣiṣẹ Secure NAT; ko si awọn eto miiran ti a ṣe.
Mo ṣe akiyesi RRAS bi yiyan, ṣugbọn Mikrotik ko mọ bi o ṣe le ṣiṣẹ pẹlu rẹ. Asopọmọra wa ni idasilẹ, VPN ṣiṣẹ, ṣugbọn Mikrotik ko le ṣetọju asopọ laisi awọn isọdọtun igbagbogbo ati awọn aṣiṣe ninu log.
Iṣeto naa ni a ṣe ni lilo apẹẹrẹ RB3011UiAS-RM lori ẹya famuwia 6.46.11.
Bayi, ni ibere, kini ati idi.
1. Ṣeto asopọ VPN kan
Nitoribẹẹ, SoftEther, L2TP pẹlu bọtini pinpin iṣaaju, ni a yan bi ojutu VPN kan. Ipele aabo yii to fun ẹnikẹni, nitori olulana nikan ati oniwun rẹ mọ bọtini naa.
Lọ si awọn atọkun apakan. Ni akọkọ, a ṣafikun wiwo tuntun, lẹhinna tẹ ip, buwolu wọle, ọrọ igbaniwọle ati bọtini pinpin sinu wiwo. Tẹ ok.
Aṣẹ kanna:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther yoo ṣiṣẹ laisi iyipada awọn igbero ipsec ati awọn profaili ipsec, a ko gbero lati ṣeto wọn soke, ṣugbọn onkọwe fi awọn sikirinisoti ti awọn profaili rẹ silẹ, o kan ni ọran.
Fun RRAS ni IPsec Awọn igbero, o kan yi PFS Ẹgbẹ si kò.
Bayi o nilo lati duro lẹhin NAT ti olupin VPN yii. Lati ṣe eyi a nilo lati lọ si IP> Ogiriina> NAT.
Nibi a mu masquerade ṣiṣẹ fun pato tabi gbogbo awọn atọkun PPP. Olutọpa onkọwe ti sopọ si awọn VPN mẹta ni ẹẹkan, nitorinaa Mo ṣe eyi:
Aṣẹ kanna:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2. Fi awọn ofin si Mangle
Ohun akọkọ ti Mo fẹ, nitorinaa, ni lati daabobo ohun gbogbo ti o niyelori julọ ati aabo, eyun DNS ati HTTP ijabọ. Jẹ ká bẹrẹ pẹlu HTTP.
Lọ si IP → Ogiriina → Mangle ki o ṣẹda ofin titun kan.
Ninu ofin, Pq, yan Prerouting.
Ti o ba wa Smart SFP tabi olulana miiran ni iwaju olulana, ati pe o fẹ sopọ si rẹ nipasẹ wiwo wẹẹbu, ni aaye Dst. Adirẹsi o nilo lati tẹ adiresi IP rẹ sii tabi subnet ki o fi ami odi kan ki o maṣe lo Mangle si adirẹsi tabi si subnet yii. Onkọwe naa ni SFP GPON ONU ni ipo Afara, nitorinaa onkọwe ni idaduro agbara lati sopọ si wiwo wẹẹbu rẹ.
Nipa aiyipada, Mangle yoo lo ofin rẹ si gbogbo awọn orilẹ-ede NAT, eyi yoo jẹ ki fifiranṣẹ ibudo lori IP funfun rẹ ko ṣee ṣe, nitorinaa ni Asopọ NAT State a fi ami ayẹwo lori dstnat ati ami odi. Eyi yoo gba wa laaye lati firanṣẹ ijabọ ti njade lori nẹtiwọọki nipasẹ VPN, ṣugbọn tun dari awọn ebute oko oju omi nipasẹ IP funfun wa.
Nigbamii, lori taabu Action, yan ami afisona, pe Mark Routing Titun ki o le han si wa ni ọjọ iwaju ati tẹsiwaju.
Aṣẹ kanna:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
Bayi jẹ ki a lọ si aabo DNS. Ni idi eyi, o nilo lati ṣẹda awọn ofin meji. Ọkan fun olulana, awọn miiran fun awọn ẹrọ ti a ti sopọ si awọn olulana.
Ti o ba lo DNS ti a ṣe sinu olulana, eyiti onkọwe ṣe, o tun nilo lati ni aabo. Nitorinaa, fun ofin akọkọ, bi loke, a yan prerouting pq, fun keji a nilo lati yan iṣẹjade.
Ijade jẹ Circuit ti olulana funrararẹ lo lati ṣe awọn ibeere nipa lilo iṣẹ ṣiṣe rẹ. Ohun gbogbo nibi jẹ iru si HTTP, Ilana UDP, ibudo 53.
Awọn aṣẹ kanna:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3. Ṣiṣe ọna nipasẹ VPN
Lọ si IP → Awọn ipa ọna ati ṣẹda awọn ipa-ọna tuntun.
Ọna fun ipa ọna HTTP lori VPN. A tọkasi orukọ awọn atọkun VPN wa ati yan Samisi ipa ọna.
Ni ipele yii, o ti ni imọlara bi oniṣẹ rẹ ṣe duro .
Aṣẹ kanna:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
Awọn ofin fun aabo DNS yoo dabi deede kanna, kan yan aami ti o fẹ:
Lẹhinna o ni imọlara bi awọn ibeere DNS rẹ ṣe dẹkun gbigbọ. Awọn aṣẹ kanna:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
O dara, ni ipari, jẹ ki a ṣii Rutracker. Gbogbo subnet jẹ tirẹ, nitorinaa a ti ṣalaye subnet naa.
Iyẹn ni bii o ṣe rọrun lati gba intanẹẹti rẹ pada. Egbe:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
Ni deede ni ọna kanna bi pẹlu olutọpa gbongbo, o le ṣe ipa awọn orisun ile-iṣẹ ati awọn aaye miiran ti dina.
Onkọwe nireti pe iwọ yoo ni riri irọrun ti iwọle sinu olutọpa gbongbo ati ọna abawọle ile-iṣẹ ni akoko kanna laisi yiyọ aṣọ rẹ kuro.
orisun: www.habr.com