使用 Mikrotik 和 VPN 解鎖互聯網：詳細教程

在本分步指南中，我將告訴您如何設置 Mikrotik，以便通過此 VPN 自動打開禁止的網站，並且您可以避免手鼓跳舞：設置一次，一切正常。

我選擇 SoftEther 作為我的 VPN：它的設置就像 資源評估系統 並且同樣快。 我在 VPN 服務器端啟用了安全 NAT，沒有進行其他設置。

我考慮將 RRAS 作為替代方案，但 Mikrotik 不知道如何使用它。 連接已建立，VPN 可以工作，但 Mikrotik 無法在沒有不斷重新連接和日誌中出現錯誤的情況下維持連接。

該設置以固件版本 3011 的 RB6.46.11UiAS-RM 為例進行。
現在，按順序，什麼以及為什麼。

1. 設置VPN連接

作為 VPN 解決方案，當然選擇了帶有預共享密鑰的 SoftEther、L2TP。 這種安全級別對任何人來說都足夠了，因為只有路由器及其所有者知道密鑰。

轉到接口部分。 首先，我們添加一個新的界面，然後我們在界面中輸入ip、登錄名、密碼和共享密鑰。 按確定。

相同的命令：

/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"

SoftEther 將在不更改 ipsec 提案和 ipsec 配置文件的情況下工作，我們不考慮它們的配置，但作者留下了他的配置文件的屏幕截圖，以防萬一。

對於 IPsec 建議中的 RRAS，只需將 PFS 組更改為無。

現在您需要站在該 VPN 服務器的 NAT 後面。 為此，我們需要轉到 IP > 防火牆 > NAT。

在這裡，我們為特定或所有 PPP 接口啟用偽裝。 作者的路由器同時連接了三個VPN，所以我這樣做了：

相同的命令：

/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp

2.向Mangle添加規則

當然，您想要的第一件事是保護所有最有價值且無防禦能力的內容，即 DNS 和 HTTP 流量。 讓我們從 HTTP 開始。

轉到 IP → 防火牆 → Mangle 並創建新規則。

在規則中，Chain 選擇 Prerouting。

如果路由器前面有智能 SFP 或其他路由器，並且您想通過 Web 界面連接到它，請在 Dst. 地址需要輸入其 IP 地址或子網，並添加負號以不將 Mangle 應用於該地址或該子網。 作者在橋接模式下擁有SFP GPON ONU，因此作者保留了連接到他的webmord的能力。

默認情況下，Mangle 會將其規則應用於所有 NAT 狀態，這將使您的白色 IP 上的端口轉髮變得不可能，因此在連接 NAT 狀態中，檢查 dstnat 和負號。 這將允許我們通過 VPN 通過網絡發送出站流量，但仍通過我們的白色 IP 轉發端口。

接下來，在“操作”選項卡上，選擇“標記路由”，命名為“新路由標記”，以便我們將來清楚並繼續。

相同的命令：

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80

現在讓我們繼續保護 DNS。 在這種情況下，您需要創建兩個規則。 一個用於路由器，另一個用於連接到路由器的設備。

如果您使用路由器內置的 DNS（作者就是這樣做的），那麼它也必須受到保護。 因此，對於第一個規則，如上所述，我們選擇鏈預路由，對於第二個規則，我們需要選擇輸出。

輸出是路由器本身用於使用其功能進行請求的鏈。 這裡的一切都類似於HTTP，UDP協議，端口53。

相同的命令：

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53

3.通過VPN建立路由

轉到 IP → 路由並創建新路由。

通過 VPN 進行 HTTP 路由的路由。 指定我們的 VPN 接口的名稱並選擇路由標記。

在這個階段，你已經感覺到你的操作員已經停止了 在您的 HTTP 流量中嵌入廣告.

相同的命令：

/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP

DNS 保護的規則看起來完全相同，只需選擇所需的標籤：

在這裡您可以感受到您的 DNS 查詢如何停止監聽。 相同的命令：

/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router

好吧，最後，解鎖 Rutracker。 整個子網都是他的，所以子網是指定的。

恢復互聯網就是這麼容易。 團隊：

/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org

與根跟踪器完全相同的方式，您可以路由公司資源和其他被阻止的站點。

作者希望您能體會到無需脫下毛衣即可同時訪問根跟踪器和企業門戶的便利。

來源： www.habr.com