Internet yasakları, ISP saçmalıkları ve limitasyonları yüzünden eve Mikrotik router aldım. Saçmalıklarıyla kullanıcıları cep boy network administrator olmaya iten kişi ve kurumlara saygılar.
Bu yazıda da, iç networkunuzdan dışarı çıkış yaparken bazı kaynaklara VPN kullanarak erişmeyi anlatıyorum. Bu işlem iki aşamadan oluşuyor.
Ön gereksinimler
Routerınızın Internet’e bağlanmış olması gerekiyor. Fiber hizmeti veren ismi lazım değil ISP’ın size kiraladığı router’ın WAN MAC adresi, PPPoE kullanıcı adı (@ISPadi diye biten) ve şifresini elde etmeniz ile basitçe halledeceksiniz. Bu konuda ben yardımcı olmuyorum, Mikrotik PPPoE Client setup diye aratırsanız bulacaksınız.
Ayrıca kurabilmeniz için halihazırda bir VPN hizmetine abone olmanız / istediğiniz memlekette VPS kiralayıp içine VPN kurmuş olmanız gerekmekte. Mikrotik RouterOS 5 itibariyle L2TP, SSTP ve OpenVPN clientları destekliyor. Önemli bir hatırlatma: ne yazık ki OpenVPN’i UDP üzerinden desteklemiyor. VPN server’ı siz kurmadıysanız bu başınıza dert olabilir. Çözüm olarak, Mikrotik’in MetaRouter özelliği ile sanal OpenWRT çalıştırmayı önermişler, router içinde sanallaştırılmış işletim sistemi çalıştırma fikri ve cihazın buna desteği çok seksi olsa da ben bunlara girmedim.
Yazar L2TP client olarak kurulumu gerçekleştirdi.
Güvenlik açısından OpenVPN şu an en güvenlisi, sonra sırasıyla L2TP ve SSTP geliyor. SSTP güvensiz sayılıyor alemlerde, ekleyeyim.
Aşamalar
0. Router’a girme
Router IP’nizi kullanarak Webfig, winbox ya da telnet ile cihaza erişiyorsunuz. Ben Winbox kullandım.
1. Mikrotik üzerinde L2TP VPN Client kurma
Baştan belirtmek lazım ki, wiki.mikrotik.com ve Mikrotik forumları sizin arkadaşınız. Her şeyi bu iki yerde buluyorsunuz.
Gerekli komutun açıklaması: http://wiki.mikrotik.com/wiki/Manual:Interface/L2TP#L2TP_Client
/interface l2tp-client add name=l2tp-client1 user=[VPN KULLANICI ADI] password=[VPN SIFRE] connect-to=[VPN IP ADRESI] disabled=no
Terminal üzerinde yukarıdaki komutu çalıştırarak işleminizi tamamlayabilirsiniz. UI kullanacaksanız PPP menüsünde + tuşuyla yeni L2TP Client seçip, Dial Out sekmesinde sorulan bilgileri gireceksiniz. Ufak detay: VPN sağlayıcınızın bilgisi hostname şeklinde ise (hede.hodo.com) bunu Winbox’ta direk girebiliyorsunuz, gerekli DNS çözümünü alet sizin için yapıyor. Terminal ya da Webfig kullanıyorsanız IP girmeniz gerekli, hostname kabul etmez.
Girişi yaptığınızda Winbox’tan bağlanıp bağlanmadığınızı kontrol edebilirsiniz. Bağlantı işi tamamsa bir sonraki aşamaya geçiş yapalım.
2. Gerekli NAT kuralının eklenmesi
Masquerade kuralı eklememiz gerekiyor, ancak router’ı evde kullanıyorsanız zaten Internet’e çıkabilmek için bir tane eklemiş olmalısınız. Farklı bir konfigürasyonunuz yoksa, ilk tanımladığınız masq zaten src-addr olarak iç IP’lerinizi (10.0.0.0/24 gibi) kuralını barındıracağından gerisini router hallediyor. Router evde değilse de eklenecek kural basit, chain olarak srcnat, out interface olarak demin yarattığınız L2TP interface adı, action olarak da masquerade seçilecek.
3. Belirli IP’lere VPN üzerinden çıkılması mevzusu
Bunu yapabilmek için iki alternatif yolunuz var. Birincisi direkt olarak route tablosuna kayıt girilmesi. Diğeri de biraz daha uzun yol; marking + routing.
3.1. İlk yol; route tablosuna kayıt girilmesi:
Gayet basit, tek aşama:
/ip route add dst-address=[YONLENECEK IP, RANGE ya da CIDR] gateway=l2tp-client1
3.2. İkinci yol; mangle + route:
/ip firewall mangle
add chain=prerouting dst-address=[YONLENECEK IP, RANGE ya da CIDR] action=mark-routing new-routing-mark=VPN-uzerinden
Ya da UI’de IP > Firewall > Mangle’a girip, + tuşu ile yeni kural oluşturacaksınız.
Bu prerouting komutu ile seçtiğiniz IP’e giden bağlantılara routing mark yani işaret ekledik. Eklediğimiz işaretin adı da “VPN-uzerinden” oldu. İkinci aşama; bu işareti barındıran bağlantılar için işlem yapılması olacak. O da basit:
/ip route
add dst-address=0.0.0.0/0 routing-mark=VPN-uzerinden gateway=l2tp-client1
Ya da UI’den IP > Routes altında artıya basarak bu kuralı gireceksiniz.
4. Profit
İşlem tamam. Bu aşamada kendinizi kutlayacaksınız. Aşağıda Pandora’ya erişebilmek için yaptığım ayarı görebilirsiniz.
Kolay gele.