在本分步指南中,我将告诉您如何设置 Mikrotik,以便通过此 VPN 自动打开禁止的网站,并且您可以避免手鼓跳舞:设置一次,一切正常。
我选择 SoftEther 作为我的 VPN:它的设置就像 并且同样快。 我在 VPN 服务器端启用了安全 NAT,没有进行其他设置。
我考虑将 RRAS 作为替代方案,但 Mikrotik 不知道如何使用它。 连接已建立,VPN 可以工作,但 Mikrotik 无法在没有不断重新连接和日志中出现错误的情况下维持连接。
该设置以固件版本 3011 的 RB6.46.11UiAS-RM 为例进行。
现在,按顺序,什么以及为什么。
1. 设置VPN连接
作为 VPN 解决方案,当然选择了带有预共享密钥的 SoftEther、L2TP。 这种安全级别对任何人来说都足够了,因为只有路由器及其所有者知道密钥。
转到接口部分。 首先,我们添加一个新的界面,然后我们在界面中输入ip、登录名、密码和共享密钥。 按确定。
相同的命令:
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
SoftEther 将在不更改 ipsec 提案和 ipsec 配置文件的情况下工作,我们不考虑它们的配置,但作者留下了他的配置文件的屏幕截图,以防万一。
对于 IPsec 建议中的 RRAS,只需将 PFS 组更改为无。
现在您需要站在该 VPN 服务器的 NAT 后面。 为此,我们需要转到 IP > 防火墙 > NAT。
在这里,我们为特定或所有 PPP 接口启用伪装。 作者的路由器同时连接了三个VPN,所以我这样做了:
相同的命令:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2.向Mangle添加规则
当然,您想要的第一件事是保护所有最有价值且无防御能力的内容,即 DNS 和 HTTP 流量。 让我们从 HTTP 开始。
转到 IP → 防火墙 → Mangle 并创建新规则。
在规则中,Chain 选择 Prerouting。
如果路由器前面有智能 SFP 或其他路由器,并且您想通过 Web 界面连接到它,请在 Dst. 地址需要输入其 IP 地址或子网,并添加负号以不将 Mangle 应用于该地址或该子网。 作者在桥接模式下拥有SFP GPON ONU,因此作者保留了连接到他的webmord的能力。
默认情况下,Mangle 会将其规则应用于所有 NAT 状态,这将使您的白色 IP 上的端口转发变得不可能,因此在连接 NAT 状态中,检查 dstnat 和负号。 这将允许我们通过 VPN 通过网络发送出站流量,但仍通过我们的白色 IP 转发端口。
接下来,在“操作”选项卡上,选择“标记路由”,命名为“新路由标记”,以便我们将来清楚并继续。
相同的命令:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
现在让我们继续保护 DNS。 在这种情况下,您需要创建两个规则。 一个用于路由器,另一个用于连接到路由器的设备。
如果您使用路由器内置的 DNS(作者就是这样做的),那么它也必须受到保护。 因此,对于第一个规则,如上所述,我们选择链预路由,对于第二个规则,我们需要选择输出。
输出是路由器本身用于使用其功能进行请求的链。 这里的一切都类似于HTTP,UDP协议,端口53。
相同的命令:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3.通过VPN建立路由
转到 IP → 路由并创建新路由。
通过 VPN 进行 HTTP 路由的路由。 指定我们的 VPN 接口的名称并选择路由标记。
在这个阶段,你已经感觉到你的操作员已经停止了 .
相同的命令:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
DNS 保护的规则看起来完全相同,只需选择所需的标签:
在这里您可以感受到您的 DNS 查询如何停止监听。 相同的命令:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
好吧,最后,解锁 Rutracker。 整个子网都是他的,所以子网是指定的。
恢复互联网就是这么容易。 团队:
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
与根跟踪器完全相同的方式,您可以路由公司资源和其他被阻止的站点。
作者希望您能体会到无需脱下毛衣即可同时访问根跟踪器和企业门户的便利。
来源: habr.com