在本循序渐进指南中,我将告诉您如何配置Mikrotik,以便通过此VPN自动打开禁止访问的站点,并且可以避免与手鼓跳舞:我将它设置一次,一切正常。
我选择SoftEther作为我的VPN:它的设置和RRAS一样容易,而且速度也一样快。在VPN服务器端启用了安全NAT,未进行其他设置。
我考虑过使用RRAS作为替代方案,但是Mikrotik不知道如何使用它。建立了连接,VPN正常运行,但是Mikrotik无法在没有持续的重新连接和日志错误的情况下保持连接。
使用固件版本6.46.11的RB3011UiAS-RM的示例进行配置。
现在,按顺序,什么以及为什么。
1.建立VPN连接
当然,选择具有预共享密钥的SoftEther,L2TP作为VPN解决方案。对于任何人来说,这种安全级别就足够了,因为只有路由器及其所有者知道密钥。
转到接口部分。首先,我们添加一个新界面,然后在该界面中输入ip,登录名,密码和共享密钥。我们按确定。
相同的命令: SoftEther将在不更改ipsec提议和ipsec配置文件的情况下工作,我们不考虑它们的配置,但是作者保留了他的配置文件的屏幕快照,以防万一。
/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"
对于IPsec提案中的RRAS,将PFS组更改为无即可。
现在,您需要了解此VPN服务器的NAT。为此,我们需要转到IP>防火墙> NAT。
在这里,我们为特定或所有PPP接口启用伪装。作者的路由器一次连接到三个VPN,所以他这样做:
与命令相同:
/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp
2.向Mangle添加规则
当然,第一步是保护所有最有价值和最无防御的内容,即DNS和HTTP流量。让我们从HTTP开始。
转到IP→防火墙→Mangle并创建一个新规则。
在“链”规则中,选择“预路由”。
如果路由器前面有Smart SFP或其他路由器,并且您想通过Web界面在Dst字段中连接到它。地址,您需要输入其IP地址或子网并加一个负号,以便不将Mangle应用于该地址或该子网。作者具有桥接模式的SFP GPON ONU,因此作者保留了连接到Webmord的能力。
默认情况下,Mangle会将其规则应用于所有NAT状态,这将使您的白色IP上的端口转发成为不可能,因此,在Connection NAT State(连接NAT状态)中,在dstnat上打上复选标记并加上一个负号。这将使我们能够通过VPN通过网络发送出站流量,但仍通过白色IP传递端口。
接下来,在“操作”选项卡上,选择“标记路由”,调用“新路由标记”,以便以后我们对它清晰明了并继续。
相同的命令: 现在让我们继续进行DNS保护。在这种情况下,您需要创建两个规则。一个用于路由器,另一个用于连接到路由器的设备。 如果使用作者内置的路由器内置的DNS,则也需要对其进行保护。因此,对于上面的第一个规则,我们选择链预路由,对于第二个规则,我们需要选择输出。 输出是路由器本身使用其功能用于请求的一条链。一切都类似于HTTP,UDP协议,端口53。
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80
与命令相同:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53
3.通过VPN建立路由
转到IP→路由并创建新路由。
通过VPN路由HTTP的路由。我们指定我们的VPN接口的名称,然后选择路由标记。
在此阶段,您已经可以感觉到操作员如何停止将广告嵌入HTTP流量中。
与命令相同: DNS保护的规则看起来完全相同,只需选择所需的标签即可:
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP
在这里,您感觉到您的DNS请求如何停止监听。命令相同: 最终,解锁Rutracker。整个子网都属于他,因此指示了子网。
/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router
恢复互联网很容易。团队: 与使用根跟踪器完全相同,您可以路由公司资源和其他被阻止的站点。 作者希望您能够在不脱下毛衣的情况下同时进入root跟踪程序和公司门户网站感到方便。
/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org
