騰訊雲-VPS-安裝Mikrotik Routeros CHR

騰訊雲-VPS-安裝Mikrotik CHR​

前言：我們經常會遇到要“翻牆”到國外下載下傳資料、文獻，由于國内無法直接到達google,facebook,這裡就需要借助于大陸以外的網絡，比如香港，南韓，日本，美國等地區網絡就可以進行浏覽下載下傳，今天我們開始介紹一種通過VPS自建VPN的一種方法。​

1、首先我們先購買一台VPS，具備公網IP，考慮地區因素，建議購買離大陸進一些的，比如香港，日本、南韓等，這裡我們選擇騰訊雲（輕量應用伺服器-價格實惠），​

2、選擇建立，然後彈出網頁進行配置選擇，首先選擇地區，鏡像使用 Centos-7, 套餐類型以使用需求來。​

3、購買後傳回伺服器管理，找到購買的主機，點選更多 管理，這裡面可以重置root密碼，重置系統等，另外就是防火牆配置尤其關鍵，為了友善示範我們第一步先重置密碼（密碼要牢記）然後使用XSHELL能夠正常登入。​

4、我們進入到Xshell後，進行配置檢視，檢查是否能上網絡，​

5、在安裝CHR之前我們需要将使用到Liunx系統相關指令，網卡名稱，磁盤等資訊進行檢查。​

6、我們将腳本進行修改配置，根據購買的VPS主機資訊進行修改，紅色部分對應上述截圖，比如網卡資訊，磁盤資訊每個廠商的資訊都是不一樣的。​

Wget http://download2.mikrotik.com/routeros/6.43.8/chr-6.43.8.img.zip -O chr.img.zip && \​

gunzip -c chr.img.zip > chr.img && \​

mount -o loop,offset=33554944 chr.img /mnt && \​

ADDRESS0=`ip addr show eth0 | grep global | cut -d' ' -f 6 | head -n 1` && \​

GATEWAY0=`ip route list | grep default | cut -d' ' -f 3` && \​

echo "/ip address add address=$ADDRESS0 interface=[/interface ethernet find where name=ether1]​

/ip route add gateway=$GATEWAY0​

" > /mnt/rw/autorun.scr && \​

umount /mnt && \​

echo u > /proc/sysrq-trigger && \​

dd if=chr.img bs=1024 of=/dev/vda && \​

reboot​

7、下面我們将腳本進行粘貼，執行。執行完成後主機會自動重新開機，此時我們進行ping 指令檢查主機是否啟動，啟動後我們就可以通過Winxbox進行登入，這裡要注意下，也是比較踩坑的，系統安裝完成後，發現無法登入到CHR，過程檢查也是沒問題的，後來發現是VPS主機的防火牆，Winbox登入使用了8291端口，是以要在防火牆開啟8291 TCP協定允許，當然如果我們後期VPN 也會用到443，80，1723，當然也可以省事做法，把TCP udp 全部端口都放行，這樣做呢有一些安全隐患，不推薦。​

8、接下來我們登入到Winbox中，進行正常配置，DNS，NAT，​

9、我們開啟 PPTP協定，建立賬号，密碼。​

DNS 一定要配置全球DNS ​

到這裡 CHR VPN就完成了，接下來就是配置 用戶端（可以是Windows,手機，也可以是路由器），這裡我們以ROS 路由器為例，首先看下架構圖： ROS-Clint L2TP 到CHR 然後指定 PC1走 L2TPvpn出去國外​

10、ROS Clint 基本上網配置就不舉例截圖了，可以參考上網配置：https://wenku.baidu.com/view/d019ceeb3286bceb19e8b8f67c1cfad6185fe94b.html?_wkts_=1667274442128&bdQuery=ROS+%E5%9F%BA%E6%9C%AC%E4%B8%8A%E7%BD%91%E9%85%8D%E7%BD%AE​

11、這裡主要講下如何讓PC1 走L2TP，那麼我們先要标記L2TP-OUT1流量​

也可以執行下面腳本在terminal 中粘貼下面腳本，隻好複制到記事本中檢查下在執行，​

/ip firewall mangle​

add actinotallow=mark-connection chain=input in-interface=l2tp-out1 \​

new-connection-mark=in-vpn passthrough=yes​

add actinotallow=mark-routing chain=output connection-mark=in-vpn new-routing-mark=\​

vpn passthrough=yes​

add actinotallow=mark-routing chain=prerouting new-routing-mark=vpn passthrough=yes \​

src-address=192.168.20.254​

增加路由标記​

到這裡就配置完成了，​

12、這裡描述下過程中的異常排查方式。​

1、确認CHR是否能正常上網，通過ping 指令檢查，cert跟蹤 DNS114.114.114.114​

2、用戶端配置好VPN 撥号後進行測試驗證是否能到8.8.8.8，​

3、用戶端打開 ​​www.ip138.com​​進行驗證是否外國IP ​

4、用戶端DHCP 需要進一步配置DNS 要有114.114.114.114 不然不能上網​