Разблокируем интернет с помощью Mikrotik и VPN: подробный туториал / forpes.ru

Главная
Разблокируем интернет с помощью Mikrotik и VPN: подробный туториал

Разблокируем интернет с помощью Mikrotik и VPN: подробный туториал +59

10.07.2020 09:13

oldadmin 72 28100 Источник

В этом пошаговом руководстве я расскажу, как настроить Mikrotik, чтобы запрещённые сайты автоматом открывались через этот VPN и вы могли избежать танцев с бубнами: один раз настроил и все работает.

В качестве VPN я выбрал SoftEther: он настолько же прост в настройке как и RRAS и такой же быстрый. На стороне VPN сервера включил Secure NAT, других настроек не проводилось.

В качестве альтернативы рассматривал RRAS, но Mikrotik не умеет с ним работать. Соединение устанавливается, VPN работает, но поддерживать соединение без постоянных реконнектов и ошибок в логе Mikrotik не умеет.

Настройка производилась на примере RB3011UiAS-RM на прошивке версии 6.46.11.
Теперь по порядку, что и зачем.

1. Устанавливаем VPN соединение

В качестве VPN решения был выбран, конечно, SoftEther, L2TP с предварительным ключом. Такого уровня безопасности достаточно кому угодно, потому что ключ знает только роутер и его владелец.

Переходим в раздел interfaces. Сначала добавляем новый интерфейс, а потом вводим ip, логин, пароль и общий ключ в интерфейс. Жмем ок.

То же самое командой:

/interface l2tp-client

name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"

SoftEther заработает без изменения ipsec proposals и ipsec profiles, их настройку не рассматриваем, но скриншоты своих профилей, на всякий случай, автор оставил.

Для RRAS в IPsec Proposals достаточно изменить PFS Group на none.

Теперь нужно встать за NAT этого VPN сервера. Для этого нам нужно перейти в IP > Firewall > NAT.

Тут включаем masquerade для конкретного, или всех PPP интерфейсов. Роутер автора подключен сразу к трём VPN’ам, поэтому сделал так:

То же самое командой:

/ip firewall nat

chain=srcnat action=masquerade out-interface=all-ppp

2. Добавляем правила в Mangle

Первым делом хочется, конечно, защитить все самое ценное и беззащитное, а именно DNS и HTTP трафик. Начнем с HTTP.

Переходим в IP > Firewall > Mangle и создаем новое правило.

В правиле, Chain выбираем Prerouting.

Если перед роутером стоит Smart SFP или еще один роутер, и вы хотите к нему подключаться по веб интерфейсу, в поле Dst. Address нужно ввести его IP адрес или подсеть и поставить знак отрицания, чтобы не применять Mangle к адресу или к этой подсети. У автора стоит SFP GPON ONU в режиме бриджа, таким образом автор сохранил возможность подключения к его вебморде.

По умолчанию Mangle будет применять свое правило ко всем NAT State’ам, это сделает проброс порта по вашему белому IP невозможным, поэтому в Connection NAT State ставим галочку на dstnat и знак отрицания. Это позволит нам отправлять по сети исходящий трафик через VPN, но все еще прокидывать порты через свой белый IP.

Далее на вкладке Action выбираем mark routing, обзываем New Routing Mark так, чтобы было в дальнейшем нам понятно и едем дальше.

То же самое командой:

/ip firewall mangle

add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80

Теперь переходим к защите DNS. В данном случае нужно создать два правила. Одно для роутера, другое для устройств подключенных к роутеру.

Если вы пользуетесь встроенным в роутер DNS, что делает и автор, его нужно тоже защитить. Поэтому для первого правила, как и выше мы выбираем chain prerouting, для второго же нужно выбрать output.

Output это цепь которые использует сам роутер для запросов с помощью своего функционала. Тут все по аналогии с HTTP, протокол UDP, порт 53.

То же самое командами:

/ip firewall mangle

add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp

add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53

3. Строим маршрут через VPN

Переходим в IP > Routes и создаем новые маршруты.

Маршрут для маршрутизации HTTP по VPN. Указываем название наших VPN интерфейсов и выбираем Routing Mark.

На этом этапе вы уже почувствовали, как ваш оператор перестал встраивать рекламу в ваш HTTP трафик.

То же самое командой:

/ip route

add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP

Ровно так же будут выглядеть правила для защиты DNS, просто выбираем нужную метку:

Тут вы ощутили, как ваши DNS запросы перестали прослушивать. То же самое командами:

/ip route

add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS

add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router

Ну под конец, разблокируем Rutracker. Вся подсеть принадлежит ему, поэтому указана подсеть.

Вот настолько было просто вернуть себе интернет. Команда:

/ip route

add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org

Ровно этим же способом, что и с рутрекером вы можете прокладывать маршруты корпоративных ресурсов и других заблокированных сайтов.

Автор надеется, что вы оцените удобство захода на рутрекер и корпоративный портал в одно и тоже время не снимая свитер.

Комментарии (72)

pewpew
10.07.2020 13:50
#21831988
А можно такую-же, но без VPN, например, как в GoodbyeDPI? Цены бы не было.
1. dartraiden
  10.07.2020 23:48
  #21833824
  +1
  github.com/bol-van/zapret
  1. Renaissance
    11.07.2020 11:36
    #21834494
    Работает на OpenWRT без проблем, вообще красота. Никуда ничего не заворачивается (есть вариант с проксированием), все обрабатывается локально и никакие списки не нужны по сути. Моему провайдеру оказалось достаточно смены DNS и nfqws в простом режиме disorder или split.
    
    RouterOS конечно не поддерживает, но есть Metarouter… правда не уверен что это будет нормально работать.
    
    20ivs
    15.07.2020 11:26
    #21848014
    Работать не будет совсем, т.к. относительно недавно Metarouter выпилили из RouterOS, к сожалению.
    
    Renaissance
    15.07.2020 11:34
    #21848046
    Странно, не вижу нигде в Changelog про удаление. В Stable и Testing MetaROUTER на месте. Про ROS7 ничего не могу сказать, но она еще не готова просто-напросто.
    
    20ivs
    15.07.2020 11:43
    #21848106
    Действительно, не верно трактовал инфу в ветке об CCR1036. RB*** и HAP** это не касается, видимо. Дико извиняюсь.
1. ClearAirTurbulence
  11.07.2020 14:20
  #21834780
  Для меня закгадка этот GoodbyeDPI. Сколько не пробовал на разных провайдерах, ни разу не работало…
  1. Alligattor
    11.07.2020 16:49
    #21835148
    Там есть несколько режимов и каждый можно проверить на своем провайдере, затем задействовать это как службу и радоваться. На Ростелекоме работает, на двух из воронежских провайдеров.

maledog
10.07.2020 14:08
#21832058
Но возможно позже вы столкнетесь с проблемами при создании туннелей внутри вашего из-за малого MTU. Это общая проблема ppp/l2tp/pptp.
1. ferosod
  10.07.2020 15:59
  #21832498
  +1
  Так ведь можно маршруты до нужных узлов пустить мимо VPN, чтобы туннель устанавливался напрямую. Это еще и на пропускную способность положительно повлияет.

Tarakanator
10.07.2020 14:28
#21832140
+2
А где в этом «подробном туториале» настройка сервера?
1. M0Peterson
  11.07.2020 09:49
  #21834324
  настройка сервера в софтэзере достаточно простая
  
  гораздо больше смущает то, что софтэзер-протокол идет в комплекте с кучей оверхеда и достаточно медленно работает сам по себе, ну и в целом не сильно ясно зачем это все делать на роутере, если есть инструменты, которые работают на любых платформах
  1. Tarakanator
    13.07.2020 09:48
    #21839136
    хз, для меня линукс это уже не просто. Особенно когда вроде всё сделал, но не поднимается и хз с какой стороны ошибка.
    На данный момент я хочу настроить на роутере потому что:
    1)у меня дома 2 компьютера, ноутбук, 3 смартфона. Вопрос: что настроить проще 1 роутер или 6 устройств на разных ОС?
    2)если опыт будет признан успешным, можно легко поставить кому-то другому роутер микротик и настроить его аналогично.

savostin
10.07.2020 15:48
#21832452
Одна проблема — если добавить в route все заблокированные сайты, Mikrotik может перегреться.
1. LAZst
  10.07.2020 16:31
  #21832598
  +2
  А оно нужно? я поднимал через BGP IP всех сайтов с антифильтра,
  но в итоге убрал это всё и сделал через /ip firewall address-list только те которые нужны.
  В итоге у меня там болтается 10-20 IP и всё.
  
  Наткнулся на нужный заблокированный сайт -> внес туда, причём по доменному имени и не парюсь.)
  1. savostin
    10.07.2020 16:51
    #21832662
    А если наткнулась жена, а «администратор» на совещании/в командировке/в лесу?
    
    Grey4ip
    10.07.2020 20:25
    #21833320
    Включать VPN в Opera. :)
    
    Vilos
    13.07.2020 11:43
    #21839654
    Дак, так тогда можно и не городить весь этот огород.
    Воспользоваться вашим советом и все — профит.

Sanctuary_s
10.07.2020 16:26
#21832586
https://antizapret.prostovpn.org/
Ничего проще пока не придумали, если речь идёт о клиентской настройки.
1. vviz
  10.07.2020 16:55
  #21832676
  +1
  Наживка выглядит очень привлекательно для обывателя…
  При VPN Ваш комп доступен со стороны чужого VPN сервера.
  При использовании proxy.pac Вы намеренно запускаете у себя в браузере чужой js код. При этом браузер будет дергать ссылку на pac при каждом запросе.
  Но ведь давно известо — бесплатный сыр бывает только в мышеловке, причем только для второй мышки.
  1. Sanctuary_s
    10.07.2020 17:15
    #21832752
    Что-то столько лет все пользуются, и ничего. Где же бесплатный сыр?
    
    uldashev
    10.07.2020 20:00
    #21833272
    Ничего, но в то же время все помнят историю про неуловимого Джо. Посмотрел реализацию antizapret, так себе решение, пускать вообще весь трафик через VPN сервер, зачем, открывать свой комп сети неизвестного провайдера, как то боязно, их хакнут, а достанется всем пользователям. То как предлагается в статье и надежнее, и удобнее, вся инфраструктура находится под контролем пользователя, через VPN только избранные узлы открываются, красота.
    
    dartraiden
    11.07.2020 00:50
    #21833922
    пускать вообще весь трафик через VPN сервер
    Это не так, через Antizaprer идёт только трафик до заблокированных ресурсов. Благодаря этому объём трафика остаётся достаточно небольшим для того, чтобы держать сервис бесплатным.
    
    удобнее
    Если говорить именно об удобстве, то отсутствие необходимости держать и оплачивать свой сервер — удобнее. Отсутствие необходимости пополнять список правил при столкновении с очередным заблокированным ресурсом — удобнее. Я, например, не люблю, когда проблема требует моего периодического участия. Предпочитаю решения «настроил и забыл».
    
    Перечисленные вами преимущества — это «безопаснее», но не «удобнее».
    
    JPEGEC
    11.07.2020 08:58
    #21834256
    Отсутствие необходимости пополнять список правил при столкновении с очередным заблокированным ресурсом — удобнее.
    
    Кому как. Лично мне удобнее самому решать какие правила пополнять. А какие оставить заблокированными.
    
    ValdikSS
    12.07.2020 15:33
    #21837380
    В реестре содержатся записи по IP-адресам и IP-диапазонам, которые то появляются, то исчезают. Сомневаюсь, что вы каждый раз вручную анализируете реестр и решаете, что добавить, а что не добавлять. А без проксирования этих адресов и диапазонов у вас некоторые, на первый взгляд не заблокированные сайты, могут либо не открываться вовсе, либо работать с перебоями, т.к., например, один из IP-адресов на домене периодически попадает в заблокированный диапазон.
    
    А сейчас еще и вререестровые блокировки появляются, которые были замечены, по меньшей мере, у Ростелекома и дом.ру.
    
    JPEGEC
    13.07.2020 01:50
    #21838752
    Сомневаюсь, что вы каждый раз вручную анализируете реестр и решаете, что добавить, а что не добавлять.
    
    Все сильно проще, нужен ресурс — добавляю. Более того, стал ненужен — выкидываю. Никаких реестров я, разумеется, не анализирую.
    Делать какие-то выводы по спискам которые не контролирую лично я, считаю неправильным. Эти клоуны могут завтра 127 или 192 прописать в реестр, и что тогда?
    
    А сейчас еще и вререестровые блокировки появляются, которые были замечены, по меньшей мере, у Ростелекома и дом.ру.
    
    Вот вот. Поэтому или руками, или на крайний случай анализ отдаваемого на шаблон запрета.
    
    ValdikSS
    13.07.2020 08:52
    #21839030
    Все сильно проще, нужен ресурс — добавляю. Более того, стал ненужен — выкидываю. Никаких реестров я, разумеется, не анализирую.
    Как вы изначально узнаете, заблокирован ли ресурс, или нет? При блокировке по IP-диапазонам никакой заглушки не показывается, просто трафик не доходит до адреса назначения. А если речь о домене, у которого заблокирована часть адресов, то он будет то работать, то нет.
    
    JPEGEC
    13.07.2020 10:15
    #21839198
    Лично я регулярно вижу заглушку — «недоступен согласно роскомпозор ля-ля». Вот тогда и разблокирую.
    Если уже известный мне ресурс стал недоступен, то проверяю его доступность через альтернативные каналы. Если там все ок, то добавляю в исключения.
    Собственно модель поведения аналогична носкрипту — по умолчанию наглухо отключено, и только в случае полной не функциональности открываются минимальные доступы. Если ресурс хочет сильно многого, то ресурс просто посылается лесом.
    У меня смутное чувство что мы на все это смотрим сильно с разных колоколен, и круг наших задач не очень совпадает.
    
    vviz
    10.07.2020 20:37
    #21833342
    Что-то столько то лет мыло наводнено тоннами спама. Вы стопроцентно уверены что Ваши хосты чисты? Болезнь легче предотвратить, чем вылечить.
    
    dartraiden
    11.07.2020 01:14
    #21833956
    25 порт провайдеры домашним пользователям закрывают. Лучше было бы в пример приводить DDoS, но не спам.
    
    JPEGEC
    11.07.2020 09:00
    #21834258
    Это где такое? Никогда не сталкивался.
  1. dartraiden
    11.07.2020 01:06
    #21833946
    При VPN Ваш комп доступен со стороны чужого VPN сервера.
    Нет
  1. ValdikSS
    12.07.2020 15:27
    #21837362
    +1
    При VPN Ваш комп доступен со стороны чужого VPN сервера.
    Соединения между клиентами блокированы на VPN-сервере. Windows и любые современные дистрибутивы Linux по умолчанию блокируют входящие соединения для новых интерфейсов, если не указать иного вручную. Разве что над пользователями Windows XP и необновлённых Windows 7 можно поглумиться, но и их уже встретишь нечасто.
    Хотите полный аналог антизапрета на своих серверах? Установите его себе: bitbucket.org/anticensority/antizapret-vpn-container/src
    
    При использовании proxy.pac Вы намеренно запускаете у себя в браузере чужой js код. При этом браузер будет дергать ссылку на pac при каждом запросе.
    А можете запускать точно такой же код, но свой: bitbucket.org/anticensority/antizapret-pac-generator-light/src
    
    Но ведь давно известо — бесплатный сыр бывает только в мышеловке, причем только для второй мышки.
    Я обычно не отвечаю на подобные высказывания, но они меня сильно расстраивают, потому что в наше время даже не предполагается, что есть бесплатные честные сервисы, без какого-либо подвоха, которые делают ровно то, что заявлено, и ничего больше. Наверное, мне следует начать продавать трафик и встраивать рекламу, чтобы «соответствовать ожиданиям и запросам пользователей».

boroda_el
10.07.2020 17:11
#21832732
А как бы еще сделать что список запрещенный сайтов сам скачивался, перерабатывался на ip и маршрутизация шла в тоннель?

Однажды столкнулся с проблемой: рекламное агентство было практически остановлено, shutterstock попал в список запрещенных на пару дней.
1. uldashev
  10.07.2020 20:28
  #21833330
  Сначала тоже подумал, вот было бы здорово весь список пихать в white list, кстати, такое возможно, вот только в списке уже больше 300к постановлений, так что лучше добавить пару десяток имен в white list, которые интересны, а остальное, зачем? + список не в реал тайме обрабатывается, он ДСП, так что либо у провайдеров брать (если дадут), или с github, когда его роскомсвобода обновит, так что лучше самому распоряжаться, какие имена через тоннель открывать, а какие напрямую.
  1. boroda_el
    12.07.2020 13:27
    #21837038
    а как узнать что важный для меня ресурс оказался запрещенным? Все нужное повернуть через впн независимо от запретов? Не лучшее решение по многим причинам.
    
    Список обязан провайдерами выгружаться не реже чем раз в сутки. Блокировку после выгрузки многие делают по разному. Некоторые проверяют много чаще и блокируют в считанные часы, если не минуты, после попадания в список.
    
    Не могу сказать как сейчас, ранее для выгрузки этого списка достаточно было иметь ЭЦП и все.
1. titanrain
  12.07.2020 21:42
  #21838308
  На хабре была статья про скрипт, скачивающий список заблокированных ip, преобразующий его в подсети, чтобы микротик от количества маршрутов не умер. Спиок маршрутов обновляется по BGP.
  Ссылку к сожалению нет возможности сейчас найти.

spanasik
10.07.2020 17:30
#21832802
-1
Лучше переехать в страну, где не блокируют интернет.
1. user52523
  10.07.2020 17:41
  #21832842
  Такие остались?
  1. YuriM1983
    10.07.2020 18:06
    #21832908
    +1
    Остались. Но стоимость интернета там выше, а качество ниже, нежели туннель через VPN, подобный, описанному в посте. Некоторые вообще до сих пор на xDSL сидят.
    
    Grey4ip
    10.07.2020 20:40
    #21833348
    У нас (Республика Молдова) оптоволоконный интернет 100Мбит/с — сейчас стоит около 8$.
    Но это это для физических лиц. Блокировок нет, торренты работают.
    
    up7
    11.07.2020 07:07
    #21834172
    Да ладно? Везде есть блокировки в интернете кроме стран Африки наверно.
    
    В Молдове одобрили закон, позволяющий блокировать сайты и читать электронную почту
    
    Введение данных поправок повысит затраты операторов связи.
    
    Кабмин Молдовы накануне на заседании одобрил законопроект, направленный на обеспечение информационной безопасности и борьбу с киберпреступлениями.
    
    Однако на поверку документ узаконивает цензуру Интернета. Так, закон дает право органам правопорядка блокировать сайты, проверять личные электронные почтовые ящики, читать SMS, сообщения в Viber, Telegram и WhatsApp, пишет agora.md.
    
    Также поправки в закон обязывают поставщиков услуг связи по требованию приостанавливать подачу Интернета на 6 месяцев, а услуг фиксированной и мобильной телефонии — на срок от 180 дней до 1 года. Введение данных поправок повысит затраты операторов связи, что может повлечь и подорожание их услуг для потребителей.
    
    Министерство внутренних дел аргументирует введение поправок необходимостью соответствия молдавского законодательства с международной правовой базой, в том числе с положениями Конвенции Совета Европы о киберпреступности, Конвенции Совета Европы о защите детей от сексуальной эксплуатации и директивы Европейского парламента о борьбе с сексуальным насилием в отношении детей.
    
    А штрафы за торренты только в Германии и Финляндии, в России блокируют некоторые трекеры.
    
    Grey4ip
    11.07.2020 11:35
    #21834490
    4 года прошло, как одобрили закон, но я ещё не встречал заблокированных нашими органами сайты. Возможно я не те сайты посещаю.
    
    Borz
    11.07.2020 12:40
    #21834608
    от провайдера ещё зависит. Какой-то лочит, какой-то нет
    
    drazumovskiy
    12.07.2020 21:41
    #21838292
    25€ в месяц за 1000/200 Мбит. В комплекте роутер провайдера (убран в кладовку, заменен на Mikrotik)
  1. spanasik
    10.07.2020 21:19
    #21833412
    Так вроде да, к западу от РФ.

IgorGS
10.07.2020 22:00
#21833528
+1
Спасибо за статью!

Shaz
10.07.2020 22:04
#21833540
А в 2020 это ещё актуально? Последние года три хабр завален такими статьями.

Alexsey
11.07.2020 01:59
#21834028
+1
Если включен fasttrack то неплохо бы еще делать mark connection для всего что идет в vpn и все что помечено этой меткой игнорировать в правиле fasttrack. Иначе все может продолжать идти в обход впн.

unwrecker
11.07.2020 10:40
#21834404
Эх, опять обход блокировок только по списку заданных ip… Их ведь тысячи и постоянно появляются новые. Нельзя ли сделать чтоб в VPN шло только после неудачной попытки подключиться напрямую?
1. Alexsey
  11.07.2020 15:22
  #21834908
  А как понять что попытка подключения неудачная? Это нужно обход реализовывать либо на уровне плагина в браузере, либо костыли через локальный DPI городить.
  
  Можно поднять BGP с antifilter.download, но лично у меня ни один из микротиков по каким-то причинам не смог поднять впн после загрузки айпишников оттуда, хотя адрес впн не находится в списке блокировок.
  1. mltk
    13.07.2020 12:42
    #21839986
    Больше года пользуюсь аналогичным прекрасным сервисом — antifilter.network, всё работает прекрасно.
    Если у вас нет внешнего IP, то можно установить установить VPN-туннель с ними и поднять BGP-сессию внутри туннеля.
1. starikoff72
  12.07.2020 21:42
  #21838296
  Проблема в том, что соединение происходит. Но с заглушкой провайдера. По крайней мере, в домру так. Помимо этого, они ещё и в трафике копаются, подменяя днс ответы. Так что, либо DoH, либо тоже заворачивать днс-трафик в впн
1. Divisi0n
  12.07.2020 23:39
  #21838552
  И ещё: VPN VPNу рознь. У меня на итальянской Arube VPS для всяких мелочей поднят, завернул туда браузер, на торренты ходить, а там сюрприз, внезапно заблокирован рутрекер у макаронников
  1. drazumovskiy
    13.07.2020 13:14
    #21840166
    Все отлично работает через Vodafone, TIM, Wind и Fastweb (Мобильный и домашний Интернет)

anonymous
12.07.2020 08:39
#21836570
+2
Предельно странная статья — идея плодить по правилу на каждый ресурс, перед тем где-то в ручную раздобыв его айпи (это в мире облачных сервисов-то)… странная словом идея.
Тики уж года 2 как умеют резолвить в адрес-листах — почему это не использовать?
Так же не стоило бы стрелять себе в ногу и в прероутинге исключать только трафик до 192.168.1.1 — более правильно было бы опять же составить адрес-лист, с используемыми локальными сетями, и в исключения прописывать уже его — в текущем же конфиге у вас будут проблемы если к тику привязано более одной локальной сети.
1. oldadmin Автор
  12.07.2020 23:44
  #21838564
  Не у всех RB3011, а скорее всего mikrotik hap ac2 или что еще похуже, загрузка листов по BGP это очень удобно и я сам это делаю, но что будет с младшими моделями? А до корпоративных ресурсов я делаю все как в статье.
  1. anonymous
    13.07.2020 08:41
    #21839016
    Так я вроде ни слова про BGP не сказал. Идея в том чтобы целевые заблокированные сайты добавить в адрес-лист в виде доменов и трафик до этого адрес-листа пускать на VPN.
    Вряд ли вам нужны 99,9% заблокированных ресурсов: пару трекеров, какой-нибудь порнхаб да и хватит — такой объём несложно в ручную ввести, просто не в виде отдельных роутов, а в виде доменов в адрес-листе.

AcidVenom
12.07.2020 20:07
#21838080
Я надеюсь, что меня поправят, но при 2х+ гейтвеях чекгейтвей не работает.
1. anonymous
  13.07.2020 08:44
  #21839020
  С чего ему не работать? Другой вопрос что чек-гейтвей зачастую бесполезен без рекурсивного роутинга и это уже относительно морочный конфиг, но в принципе всё работает.
  1. AcidVenom
    13.07.2020 08:57
    #21839046
    В v6 не работает
    https://forum.mikrotik.com/viewtopic.php?t=88245
    
    anonymous
    13.07.2020 09:15
    #21839084
    -1
    В v6 ещё достаточно много что не работает у тиков, уточняйте тогда.
    По треду же в форуме — опять же уточняйте тогда что речь про ecmp. Там вполне вероятно что не работает, но опять же — можно попробовать сделать ecmp с рекурсивным роутингом и чекать гейтвей на на отдельном маршруте на рекурсивный шлюз.

anonymous
12.07.2020 21:42
#21838300
Делал себе схожие настройки и столкнулся с проблемой: запросы на помеченные сайты иногда уходили с задержкой.

Чтобы это исправить, необходимо либо отключить FastTrack в Firewall -> Filter Rules (тогда будут проседания производительности), либо провести дополнительные настройки:

1. В Firewall -> Mangle дополнительно создать правило вида:

/ip firewall mangle add action=mark-connection chain=prerouting connection-state=new \ dst-address-list=rkp new-connection-mark=connection_rkp passthrough=yes

2. В Firewall -> Filter настроить правило для FastTrack:

/ip firewall filter add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-mark=!connection_rkp connection-state=established,related

После этого маршруты через VPN и FastTrack будут уживаться вместе.

Кстати, удобно использовать Address List, туда можно заносить доменные имена, которые будут резолвиться при запуске.

Для DNS рекомендую включить DoH, который стал доступен в 6.47.

anonymous
12.07.2020 21:42
#21838302
Не понимаю, почему http и dns маркируются через mark-routing, а рутрекер прописывается в маршрутах. Если строить мангл, то проще же сделать правило для пометки траффика на адреса из какого-нибудь адрес листа vpn_out

CLI
/ip firewall mangle add chain=prerouting action=mark-routing dst-address-list=vpn_out new-routing-mark=vpn_out_mark passthrough=yes

anonymous
12.07.2020 21:42
#21838304
В обход DPI работает?
1. anonymous
  13.07.2020 04:31
  #21838836
  В теории нет, L2TP туннель легко отличим от остального траффика.
1. anonymous
  13.07.2020 08:46
  #21839022
  Если использовать VPN на SSTP или OVPN на 443 порту то вполне, а l2tp и айписек при желании даже по порту можно закрыть и никакой DPI не нужен.

Tarakanator
15.07.2020 14:38
#21848802
Может кто подскажет VPS для VPN? раньше у VDSina.ru был VPS в нидерландах за 30р, а сейчас нет. вообще ничего подходящего дешевле 2долларов в месяц не нашёл. Дороже не искал.
1. Alexsey
  16.07.2020 01:09
  #21850532
  У hetzner есть за 2.89 евро
1. YuriM1983
  16.07.2020 01:29
  #21850566
  Оракл бесплатно раздаёт. Если сможете пройти регистрацию…
  www.oracle.com/cloud/free/#always-free
  1. Tarakanator
    16.07.2020 10:30
    #21851244
    Спасибо, смог.
1. anonymous
  16.07.2020 12:35
  #21851804
  1,5 доллара alienvds

Разблокируем интернет с помощью Mikrotik и VPN: подробный туториал +59

1. Устанавливаем VPN соединение

2. Добавляем правила в Mangle

3. Строим маршрут через VPN

Комментарии (72)

oldadmin Автор