Обход блокировки сайтов со стороны провайдера на Mikrotik (RouterOS) при помощи Policy Based Routing

18 май 2017 146 123 111

В рамках данной публикации мне хотелось бы поговорить об одном из методов обхода блокировки сайтов со стороны провайдера на маршрутизаторах Mikrotik под управлением RouterOS.

Бывают такие ситуации, когда провайдер блокирует доступ к некоторым ресурсам. Зачастую, блокировка ресурсов осуществляется на базе URL, IP и DNS, многое, конечно же, зависит от типа и возможностей оборудования, применяемого самим провайдером.

Блокировка по IP – один из популярных методов, при котором запрет осуществляется на базе конечного IP-адреса ресурса, это также может быть диапазон IP или же несколько диапазонов (для очень больших проектов).

Блокировка по DNS сводится к запрету, исключению либо подмене конечного IP для заданного домена. По сути, данный метод блокировки обходится довольно просто, путем замены DNS провайдера на сторонние, к примеру Google DNS (8.8.8.8, 8.8.4.4), Yandex DNS (базовый: 77.88.8.8, 77.88.8.1; безопасный: 77.88.8.88, 77.88.8.2; семейный 77.88.8.7, 77.88.8.3) или любой другой, который вашей душе угоден.

Серьезные провайдеры могут использовать так называемый DPI (Deep packet inspection), который по-сути, является глубоким анализов пакетов. DPI способен блокировать ресурсы не только по IP или DNS, но и при использовании прокси-серверов (Proxy) или других незащищенных каналов передачи.

В случае с простой блокировкой IP, обход осуществляется без проблем при помощи любого прокси-анонимайзера или любого VPN.

В случае с DPI, всё куда более сложнее, т.к. система анализирует не только заголовки пакетов, конечного получателя и т.д., но и содержимое пакета, копаясь в передаваемых данных, тем самым может даже нарушать законодательство, если, конечно же, в пользовательском соглашении нет мелкого шрифта. Возможности DPI очень широки и при желании, провайдер может даже запретить вам использовать OpenVPN.

Сегодня мы не будем рассматривать все методы обхода всех видов блокировки, а лишь рассмотрим один из вариантов реализации обхода, который предложен в официальной документации Mikrotik (Policy Based Routing).

Предполагается, что заранее у вас уже должен быть маршрутизатор на RouterOS.

Наиболее простой вариант обхода – использовать серверы VPN. Причем заблокированные ресурсы можно открывать через VPN, а все оставшиеся – через провайдера.

У данного метода существует ряд преимуществ. Одно из главных достоинств данного метода состоит в том, что вы будете использовать лишь часть пропускной способности VPN. Дело в том, что сервисы VPN обычно находятся далеко заграницей и каналы к ним сильно загружены, поэтому направляя через тоннель весь трафик, скорость доступа будет падать, причем как для заблокированных ресурсов, так и для всех остальных.

Из дополнительных преимуществ данного метода можно отметить отсутствие необходимости настройки VPN на всех клиентских устройствах, особенно если это смартфон. Хотя для смартфонов существует достаточное количество бесплатных приложений, реализующих необходимый функционал.

Есть у данного способа и недостаток – поиск оптимального VPN-сервиса, как вариант, покупка премиум-аккаунта.

Создание списка адресов (пример)

К примеру, у нас есть листинг из заблокированных адресов. В качестве примера у нас 4 списка: ВКонтакте, Одноклассники, Yandex и Mail.ru.

Все диапазоны в виде команд для Mikrotik, для простоты добавление. Некоторые спросят, а почему не объединить все ресурсы в один список? Ответ очень простой, при изменении всего одного интернет-ресурса, вы будете вынуждены пересматривать весь список, т.к. по одним подсетям вы ориентироваться будет сложно.

Адреса можно добавлять как вручную через терминал из WinBox > New Terminal.

Список подсетей для Firewall Address List

/ip firewall address-list
add address=IP1 list=vkcom
...
add address=IPX list=vkcom
Либо предварительно загрузив в память микротика необходимые списки в виде командных файлов с разрешением RSC. Файлы в Mikrotik загружаются путем обычного петаскивания на окно WinBox > Files. Или же при помощи кнопки Upload, если Drag-n-Drop по каким-то причинам не работает. После чего импортируете списки командой:
import file=vkcom.rsc
Где vkcom.rsc - название файла со списком.

Списки адресов находятся в разделе IP – Firewall – Address Lists.

Маркировка пакетов

Для того, чтобы отобрать только заблокированные ресурсы, необходимо найти и промаркировать необходимые пакеты. Делается это в IP – Firewall – Mangle.

При создании указываем следующие параметры:

chain=prerouting

action=mark-routing

dst-address-list=mailru (список адресов)

src-address=192.168.106.0/24 (локальная подсеть)

Вместо 192.168.106.0/24 необходимо указывать свою локальную подсеть, из которой будут идти обращения. Как несложно догадаться, dst-address-list это конечный адрес (из списка). Для всего трафика, удовлетворяющего данным условиям, будет установлена соответствующая метка Traffic_XXXXX.


/ip firewall mangle
add action=mark-routing chain=prerouting comment="Mark mail.ru" dst-address-list=mailru new-routing-mark=Traffic_mailru passthrough=no src-address=192.168.106.0/24
add action=mark-routing chain=prerouting comment="Mark ok.ru" dst-address-list=okru new-routing-mark=Traffic_okru passthrough=no src-address=192.168.106.0/24
add action=mark-routing chain=prerouting comment="Mark vk.com" dst-address-list=vkcom new-routing-mark=Traffic_vkcom passthrough=no src-address=192.168.106.0/24
add action=mark-routing chain=prerouting comment="Mark Yandex" dst-address-list=yandex new-routing-mark=Traffic_yandex passthrough=no src-address=192.168.106.0/24

Создание VPN-подключения

В качестве примера воспользуемся бесплатным сервисом VPN PPTP – SuperFreeVPN. Для примера выберем сервер, расположенный в Лондоне (Великобритания) – IP 77.92.68.65 (uk.superfreevpn.com), логин free, пароль 1891. Обратите внимание, тип подключения PPTP либо L2TP. Минусом конкретно данного сервиса является то, что он постоянно меняет пароли для подключения к серверу, мы же используем его исключительно в качестве примера.


Создание подключения к VPN осуществляется в разделе PPP – Interface, нажимаем синий плюс и выбираем необходимый тип подключения.

/interface pptp-client
add comment="VPN Failover" connect-to=uk.superfreevpn.com disabled=no name=pptp-to-freevpn password=1891 user=free

 

Важно! Не используйте опцию «Add Default Route», в противном случае весь трафик пойдет через VPN.

Обратите внимание, некоторые серверы могут, как требовать шифрование, так и не использовать его вовсе, поэтому если соединение не удалось – проверьте используемый профиль подключения (PPP – Profiles). Для L2TP, в лучшем случае, используется MPPE 128-bit, который уже давным-давно скомпрометирован.


Лучшим вариантом будет использование OpenVPN, в частности с премиум-аккаунтом. Также не забывайте, что RouterOS не поддерживает пока TLS для OpenVPN.

Большинство бесплатных серверов могут быть нестабильны как в плане доступности, так и в плане скорости. К тому же, никто не гарантирует сохранности ваших личных данных. С учетом вышесказанного, к выбору поставщика услуг стоит подойти ответственно. Как минимум, всегда используйте защищенное соединение (HTTPS) при работе с сайтами.

Настройка маскарадинга

Сам Mikrotik уже знает про новый шлюз, а для того, чтобы ресурсами VPN-канала смогли пользоваться другие пользователи локальной сети, необходимо настроить маскарадинг.

Делается это в разделе IP – Firewall – NAT. Для out-interface обязательно следует указать правильное название вашего VPN-подключения.

/ip firewall nat
add action=masquerade chain=srcnat out-interface=pptp-to-freevpn

 

Добавление статических маршрутов

После настройки маскарадинга переходим к завершающему шагу – созданию статических маршрутов. Делается это в разделе IP – Routers.

/ip route
add comment="Route MAIL.RU" distance=1 gateway=pptp-to-freevpn routing-mark=Traffic_mailru
add comment="Route OK.RU" distance=1 gateway=pptp-to-freevpn routing-mark=Traffic_okru
add comment="Route VK.COM" distance=1 gateway=pptp-to-freevpn routing-mark=Traffic_vkcom
add comment="Route YANDEX" distance=1 gateway=pptp-to-freevpn routing-mark=Traffic_yandex

При создании маршрутов конечный адрес задаем как и для обычного интернет подключения –0.0.0.0/0, в качестве шлюза (gateway) необходимо указать VPN-подключение (в нашем случае pptp-to-freevpn). Обязательно выбираем routing-mark из выпадающего списка. Таким образом мы создаем статический маршрут для промаркированного трафика.


Вот собственно и всё, если всё проделано верно, а VPN рабочий – вы сможете получить доступ к необходимым ресурсам. Также можете почитать официальную документацию Mikrotik по Policy Base Routing.

Как узнать IP определенного сайта?

Чуть выше, в качестве примера, опубликованы общие списки IP-адресов и диапазонов, принадлежащих соответствующим ресурсам. Списки предоставлен как есть, без претензий к их точности. Настоятельно рекомендую формировать список самостоятельно, так сказать «под себя».

В случае с обычными интернет-сайтам, обычно требуется добавить всего 1-2 IP-адреса, в то время как для больших проектов может использоваться несколько диапазонов. Как же найти все IP по определенному сайту?

В качестве наиболее простого варианта, из под Windows (вызов командной строки – комбинация Win+R) можно использовать стандартную команду:

nslookup <домен>
Использование команды nslookup в Windows
Недостатком такого метода является получение неполного списка адресов - некоторые сервисы могут отдавать всего 2 записи из Х, а на следующий день они уже могуть стать другими. Для поиска наиболее полного списка всех адресов, можно воспользоваться специальными сервисами. При помощи поиска от Hurricane Electric, можно производить поиск, как по доменному домену (например, youtube.com), так и по названию компании, которая владеет пулом адресов (например, Youtube либо YouTube, LLC).

Редактирование, обновление и добавление новых ресурсов

Еще одним неоспоримым преимуществом раздельных списков является то, что в любой момент можно добавлять, удалять или изменять отдельные списке, при этом остальные ресурсы не будут затронуты.

Ну и, конечно же, чтобы начать обработку нового списка, необходимо создать новый мангл (промаркировать пакеты) и статический маршрут для нового списка (общий принцип описан выше).

Что делать, если Policy Based Routing медленно работает?

На некоторых конфигурациях может возникнуть проблема, суть которой состоит в том, что при прямом подключении по VPN на ПК – всё работает быстро, но если настроить Policy Based Routing по вышеуказанному примеру в Mikrotik, сайты начинают открываются медленно.

Проблема решается отключением FastTrack в IP – Firewall – Filter Rules.



Поддержка FastTrack была добавлена, начиная с RouterOS 6.29, если кратко, функция позволяет пересылать некоторые пакеты без дополнительно обработки. В некоторых конфигурациях, данная функция позволяет существенно (в несколько раз) ускорить обработку пакетов и понизить нагрузку на процессор.  

Что делать, если провайдер делает подмену DNS-записей?

Для того, чтобы показывать клиенту страницу-заглушку, вместо конечного URL, провайдеры практикуют подмену DNS-записей. Проверить это очень легко: открываем командную строку и делаем tracert для необходимого домена, после чего проверяем whois для конечного IP, который асоциирован с доменным именем. Если IP не принадлежит конечному ресурсу, значит имеет место подмена DNS-записи.

В таком случае, если вы используете DNS провайдера, при подключении по VPN, для конечного домена будет использоваться IP, предоставленный провайдером. Поэтому, при обращении к домену даже через VPN, в конечном итоге, вы обратно попадете на страницу с заглушкой (если это внешний IP) либо получите ошибку "сервер не найден" (если IP недоступен). В этом случае необходимо отказаться от использования DNS провайдера (use-peer-dns=no), например:


/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid disabled=no interface=ether1-gateway use-peer-dns=no

Либо через интерфейс Winbox: зайти в подменю IP - DHCP Client, выбрать свое подключение к Интернет и отключить в его профиле опцию "Use Peer DNS".

Далее необходимо задействовать сторонние DNS-серверы, например Google DNS (8.8.8.8, 8.8.4.4), Яндекс DNS (77.88.8.8, 77.88.8.1) и/или любой другой сервер:

/ip dns
set allow-remote-requests=yes cache-size=1024KiB query-server-timeout=1s servers=8.8.8.8,8.8.4.4,77.88.8.8,77.88.8.1

После чего выполняетм очистку кеша DNS-записей:

/ip dns cache flush

Либо в Winbox: в разделе IP - DNS - Cache - Flush Cache.

Что делать, если провайдер перехватывает обращения к стороннему DNS?

На практике возможны случаи, когда провайдер перехватывает обращения к внешним DNS-сервисам (используя DNAT), возвращая при этом клиенту измененный ответ от сервера, в котором можно сразу подставить страницу с заглушкой. В этом случае все обращения к внешнему DNS также необходимо заворачивать в VPN, например:

/ip firewall address-list
add address=8.8.8.8 list=dns
add address=8.8.4.4 list=dns
add address=77.88.8.8 list=dns
add address=77.88.8.1 list=dns

/ip firewall mangle
add action=mark-routing chain=prerouting comment="Mark DNS traffic" dst-address-list=dns new-routing-mark=Traffic_dns passthrough=no src-address=192.168.106.0/24

/ip route
add check-gateway=ping comment="Route DNS" distance=1 gateway=l2tp-to-germany routing-mark=Traffic_dns

Есть у данного метода и минус: при подключении к серверу VPN по dns-имени, может возникнуть проблема, связанная с невозможностью получения IP, т.к. подключение по имени, а ответы от DNS принимаются только внутри тонеля.

Видеокурс «Настройка оборудования MikroTik» (аналог MTCNA)

Учитесь работать с MikroTik? Рекомендую видеокурс «Настройка оборудования MikroTik». В курсе разобраны все темы из официальной учебной программы MTCNA и много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Консультации по заданиям курса ведет его автор Дмитрий Скоромнов. Подойдет и для первого знакомства с оборудованием MikroTik, и для систематизации знаний опытным специалистам.

Комментарии:

Добавить
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent
  1. Гость Дмитрий
    Гость Дмитрий Гости 21 июля 2020 21:20
    + +8 -
    Статья довольна интересна, дает хорошее представление о работе маркировки трафика, но имеет довольно узкое место. Без отключения fasttrack сайты из списка будут довольно прилично тормозить. И отключение fasttrack так себе решение, которое влечет падение скорости. Да и костыль для IPsec чаще не работает. Для небольшого количества адресов гораздо проще задать статические маршруты, заворачивая сразу в VPN трафик обращенный к сайтам, без маркировки. Работает быстро и fasttrack отключать не надо.
    Логика проста, всего три действия
    1. поднимаем VPN, L2TP соединение (к примеру как у автора pptp-to-freevpn).
    2. Для него в NAT правило
    /ip firewall nat add action=masquerade chain=srcnat out-interface=pptp-to-freevpn
    3. И потом IP -> Routes
    Dst. Address IP_заблокированного_ресурса
    Gateway pptp-to-freevpn
    Или
    /ip route add dst-address=(IP_заблокированного_ресурса) gateway=pptp-to-freevpn distance=1 comment="mega_tracker"
    Этого достаточно.
    Для пары десятков сайтов норм. Fasttrack отключать не надо. Создавать address
    list, маркировать пакеты и т.д то же не требуется. Сайты открываются мгновенно, падения скорости нет. Скажем так, для домашнего использования вполне достаточно. Может пригодится кому.
    1. LogEdge
      LogEdge Гости 29 июля 2020 23:00
      + +3 -
      Спасибо!!!
      На порядок быстрее работает!!
  2. DmitryAVET
    DmitryAVET Создатель 7 июля 2020 23:21
    + 0 -
    владельцы доменов могли сменить IP, поэтому могут быть проблемы
    1. Гость Дмитрий
      Гость Дмитрий Гости 16 апреля 2021 01:00
      + +4 -
      Ну для этого можно засунуть в шедулер скрипт, который проверяет ip домена и при необходимости удаляет старый и вносит новый в Route List. Проверено работает. Домены для примера, можно вносить свои. Gateway указать свой. Тут как в примере pptp-to-freevpn

      :log info "Check ip begin"
      :local hosts {"rutor.info"; "rutracker.org"}
      :foreach k,v in=$hosts do={
      :log info "Check domen $v"
      :local listname $v
      :resolve $v
      /ping $v count 2
      /ip route remove [find comment=$v]
      :foreach i in=[/ip dns cache all find where name=$v and type="A"] do={
      :local ipaddr [/ip dns cache all get $i data]
      /ip route add dst-address=$ipaddr gateway=pptp-to-freevpn comment=$v
      :log info "$v have ip: $ipaddr"
      }
      }
      :log info "Chek finish"


      Проверено работает. Запускается раз в сутки. Проблем нет
  3. yurii_s
    yurii_s Гости 6 июля 2020 20:45
    + 0 -
    Настраивал по данному мануалу в сетях двух провайдеров. в качестве впн использую собственный сервер на амазоне. у первого все завелось на отлично. у второго яндекс.ру ок маил открывает нормально, а вк и яндекс.уа не хочет. (яндекс.уа добавил в список вручную и там и там. в первом случае все заработало) в чем может быть причина такой изберательности?
  4. Kaktus
    Kaktus Гости 15 сентября 2019 00:06
    + 0 -
    В чем может быть проблема? Ping проходит tracert показывает правильный маршрут, а в браузере ничего не открываются.
    1. KAKTyC
      KAKTyC Гости 17 сентября 2019 20:20
      + +2 -
      Разобрался, дело было в MTU туннеля
  5. Николай Хмарин
    Николай Хмарин Посетители 2 июля 2019 11:22
    + 0 -
    В общем тема интересная, а что если просто фильтровать фиктивный трафик?
    вот тут очень хорошо описано всё, жаль только не под RouterOS
    http://www.opennet.ru/tips/2999_iptables_block_tor.shtml
    1. Nikolay Khmarin
      Nikolay Khmarin Гости 22 сентября 2019 09:14
      + 0 -
      В общем в этом гайде пропущены несколько моментов которые я бы назвал ключевыми.
      Присвоить статус WAN порта для VPN тоннеля ибо если это не сделать то процессор будет ломиться в основное ваше подключение (>интерфесы>лист интерфейсов).

      Далее, идеальный вариант принудительное применение DNS (т.е. не важно какие DNS указаны у вас и это удобно если вдруг ошиблись или не указали DNS)
      /ip firewall nat add chain=dstnat action=dst-nat to-addresses=(ip адрес шлюза) to-ports=53 protocol=tcp dst-port=53
      /ip firewall nat add chain=dstnat action=dst-nat to-addresses=(ip адрес шлюза) to-ports=53 protocol=udp dst-port=53

      Далее настроить на маркировку трафика для 53 порта, а в нат создать 2е правило которое весь маркированный трафик заворачивает в тонель это идеально работает с HTTP, но не работает с HTTPS, для того что бы работало и с HTTPS необходимо создать 2е правило маркировки пакетов(как раз это описано в данное теме) опираясь на адреслист. Все готово, теперь весь DNS трафик идет по VPN и для избранных сайтов/ресурсов через тонель.

      Ах да еще 1 момент не надо выяснять IP адреса нужных вам ресурсов, для идеала в адрес лист вводим прям доменное имя(vk.com) на случай если сервис сидит по DDNS.

      Про торренты не скажу пока, не особо вникал в тему, но думаю там все обойдется 2-3-мя командами, правила маркировка и нат, т.к. все остальное уже отстроено как нужно. Кстати тег маркировки я юзаю единый, чтоб не захламлять и конфиги. как только начнутся какие коллизии тогда стоит задумать от иной маркировке и маршруте.
  6. Николай Хмарин
    Николай Хмарин Посетители 26 июня 2019 12:24
    + -5 -
    Зачем городить весь этот огород, могу только подсказать... проанализируте входящий трафик от "заблокированных ресурсов" вы будете очень удивлены. обходится всё без ВПН, буквально созданием пары правил в фаерволе.
  7. zrz
    zrz Гости 20 мая 2019 21:29
    + -1 -
    в мангле где маркируется DNS трафик, если роутер выступает dns сервером то chain=output
  8. Сергей А
    Сергей А Посетители 7 декабря 2018 16:56
    + -4 -
    Здравствуйте, все это конечно хорошо. Обойти это пол беды, а вот что делать со скоростью и потеряй интернета? Я нашёл хороший сервис и доволен им, рекомендую попробовать [реклама]
  9. Kirill Viktorovich
    Kirill Viktorovich Посетители 6 ноября 2018 21:20
    + -1 -
    Добрый день.
    Настраивал примерно по такой же инструкции.
    потом задизейблил подключение.
    сейчас настраивал по вашей инструкции, первое что заметил трафик не маркируется как будто его не видит и трафика на vpn подключении тоже нет.
    Само подключение к vpn есть и подключено.
    Что можно прислать, чтобы посмотреть где мой косяк? Заранее благодарен за ответ.
  10. Zulu
    Zulu Гости 28 мая 2018 15:01
    + 0 -
    Вот бы микротики добавили поддержку dnscrypt-proxy. Идеальный вариант обхода блокировок с помощью днс
    1. DmitryAVET
      DmitryAVET Создатель 28 мая 2018 20:23
      + 0 -
      в чем проблема переадресовывать вес запросы к DNS в VPN? Реализуется точно таким же методом.
  11. Адын Адын
    Адын Адын Гости 25 мая 2018 15:46
    + +1 -
    Тут новые блокировки подоспели (webmoney, всякие ТВ), искал где найти для них новые адреса для разблокировки и наткнулся на https://uablacklist.net/. Там уже всё есть и несколько вариантов API.
  12. Boris
    Boris Гости 28 апреля 2018 14:15
    + 0 -
    Все привет, может кто-то делал на микротике автоматическое определение заблокированных ip адресов. РКН добавляет и убирает адреса несколько раз в день. Руками это править нереально. Хотелось, бы чтоб микротик понял, что ip не доступен и поместил его адрес лист на 12 часов и отправлял в ВПН.
    1. Sir.Prikol
      Sir.Prikol Гости 3 мая 2018 16:04
      + +1 -
      сделал, у меня выгрузка от РКН, добавляется в адресс лист, заворачиваю траффик в впн. Обновление раз в час. И ещё, микротик не умеет делать выборку по ip адресам, поэтому удаляются все записи, и доавляются новые. На сейчас это 82000 ip и подсетей.
      1. Аптечко
        Аптечко Гости 17 марта 2022 00:10
        + 0 -
        Добрый день! Не поделитесь скриптом для выгрузки из РКН? Сегодня актуально как никогда =(
  13. фыв
    фыв Гости 26 апреля 2018 10:18
    + 0 -
    А как бы его еще заставить автоматом подгружать список роскомнадзора и делать на его основе правила переброса в тунель ?
  14. Dmitriy maximov
    Dmitriy maximov Посетители 12 марта 2018 14:28
    + +5 -
    Про fasttrack , если включаешь ,тормозит
    На форумах подсказали что нужно добавить Routing Mark = main
    Мне помогло
    https://i.imgur.com/CyabO3l.png
  15. Артем Просто Артем
    Артем Просто Артем Посетители 27 сентября 2017 20:55
    + -2 -
    Не знаю больше где спросить помощи, возможно кто-то прочтет и сможет помочь. Хочу поднять на VPS, CHR от Mikrotik. Получить на нем свой VPN который пускал бы через себя только определенные сайты.
    В итоге основная часть получилась, на CHR поднять PPTP сервер, но подключаясь к нему впнизируется весь мой траффик. Подскажите это вообще возможно, чтоб через VPN шли только нужные мне сайты, а остальное шло напрямую?
    1. Nixx
      Nixx Гости 7 мая 2018 09:47
      + +2 -
      Так вы статью почитайте. Тут о том и речь...
    2. DmitryAVET
      DmitryAVET Создатель 7 мая 2018 14:09
      + +1 -
      В самой публикации описана подробная инструкция
  16. foxportal
    foxportal Гости 10 августа 2017 16:55
    + +1 -
    Спасибо за мануал. Настроил, но работает только на одном компьютере. Второй компьютер в той же подсети, но не как не могу открыть на нем странички. Соединение через PPTP на https://www.vpnbook.com/. Подскажите где я ошибся?
    1. Дима Плут
      Дима Плут Посетители 11 августа 2017 09:15
      + 0 -
      Вы бы по подробнее описали какие странички не открываются? Как настроена локальная сеть через мастер порт или через бридж? На компьютерах стоит получение IP по DHCP или вручную? Не наставили ли вы до этого впн или прокси подключения на проблемном пк?... итп.
      1. foxportal
        foxportal Гости 14 августа 2017 12:13
        + 0 -
        IP по DHCP получают все компьютеры. Локальная сеть работает через мастер порт. В порт 2 Mikrotik подключен неуправляемый коммутатор, а в него другие ПК. Только на одном есть vk, а но других нет. Почему?
  17. Дима Плут
    Дима Плут Посетители 10 августа 2017 11:54
    + +1 -
    Автору спасибо за разжованую и частично переваренную инструкцию :) Есть вопрос, все настроил дома по инструкции все прекрасно. Теперь хочу подключатся к данному микроту по впн со смартфона и получать те же маршруты что и дома. Создал pptp подключение, трафик со смарта пошел через домашний микротик но никак не могу заставить работать смарт по тем же маршрутам что и локальные пользователи. Подскажите как это правильно сделать?
  18. Hamster77
    Hamster77 Посетители 1 августа 2017 09:32
    + 0 -
    Здравствуйте. Спасибо за статью - заработало! Подскажите как настроить сервис vpn99_net, а то бесплатный работает, а vpn99_net конектиться, но ping не работает! Может кто-нибудь подскажет?
    1. DmitryAVET
      DmitryAVET Создатель 1 августа 2017 09:46
      + 0 -
      Пробуйте для проверки без правил и всего прочего вообще подключить VPN, не забудьте включить для соединения маскарадинг.
    2. Grigoriy
      Grigoriy Гости 1 августа 2017 12:12
      + 0 -
      Я пытался настроить подобным способом на другом роутере N56U с помощью сервиса VPN99 - вообще не захотело работать, они что-то блокируют и возможно по этому не работает. Как только я вбил впн от frootvpn - все сразу стало ок! На микротике процесс несколько другой, но возможно проблема именно в впн99.
    3. zilf
      zilf Посетители 1 августа 2017 14:15
      + 0 -
      У меня vpn99 отлично работает. Вбил в Connect To: ru.vpn99.net имя пользователя и пароль, еще поменял MaxMTU на 1320 и все работает.
      1. Hamster77
        Hamster77 Посетители 1 августа 2017 22:00
        + 0 -
        Поделитесь пожалуйста настройками, сделал все как написано в статье Микротик на бесплатном работает, а вот на vpn99 не работает даже с MaxMTU 1320! Может Вы что-нибудь еще настраивали?
    4. zilf
      zilf Посетители 2 августа 2017 08:18
      + 0 -
      Да все делал строго по инструкции. Создал PPTP client и настроил:
      https://drive.google.com/open?id=0B1HBhB2Z1S2hUE1rclBHSmtqdU0
      1. Hamster77
        Hamster77 Посетители 19 августа 2017 15:27
        + 0 -
        Спасбо за ответ! Вообщем конект есть с самого начала, НО пакеты к вышеуказаным сайтам не ходят! Думаю проблема у "этого" провайдера в IP адрессах и маске подсети:255.255.255.255 Ребята, кто запустил этот VPN на VPN99 при помощи mikrotik?
  19. Toshick
    Toshick Гости 26 июля 2017 11:41
    + +1 -
    Оставлю это здесь. Как исключить впн из фасттрека:
    https://schemen.me/mikrotik-fast-track-that-excludes-ipsec/
    1. Grigoriy
      Grigoriy Гости 30 июля 2017 10:48
      + 0 -
      В вариант описанный в статье по ссылке будет работать для VPN PPTP? и если да, то возможно нужны какие-то корректировки? Извиняюсь за нубский вопрос, только учусь) Сам уже попробовал но не могу понять работает оно или нет, так как сайты открывает все равно с какой-то задержкой.
  20. NoOne
    NoOne Гости 14 июля 2017 01:37
    + 0 -
    Подскажите, сложилась следующая ситуация. Настроил все по инструкции. ВКонтакте и Mail.ru работают нормально, а вот Yandex ни в какую - постоянно перекидывает с yandex.ru на yandex.ua, или с maps.yandex.ru на yandex.ua/maps/, на которых находится заглушка. Как это побороть?
    PS. Использую VPN от zaborona.help
    1. DmitryAVET
      DmitryAVET Создатель 14 июля 2017 08:57
      + +1 -
      Zaborona отдает маршруты клиенту автоматически, советую написать им напрямую. Яндекс в свою очередь пытается самостоятельно обойти блокировки.
      1. NoOne
        NoOne Гости 14 июля 2017 09:42
        + 0 -
        Спасибо за совет. Уже успел разобраться. Как оказалось, это сам Yandex перекидывал с доменов в зоне ru на ua, т.к. у него было прописано в настройках (из-за предыдущих посещений), что я нахожусь в Украине. Изменил в настройках моё расположение на Россию и всё начало работать нормально. Правда карты изначально загружаются в соотвествии с тем, какой город России был мною указан в настройках.
  21. Dmytro
    Dmytro Гости 17 июня 2017 23:00
    + 0 -
    Знизу коменти були про fastrack. В теорії його можна не відключати, якщо в саме правило додати виключення не обробляти пакети що йдуть на потрібні на адреси чи містять певну мітку. Після вихідних буде час перевірю.
    1. DmitryAVET
      DmitryAVET Создатель 17 июня 2017 23:50
      + +1 -
      Так, можна. Для цього треба всі ІР і підмережі згрупувати в один список. Далі в правилі фасттрека на вкладці advanced обрати свій список dst. address list і переконатися, що навпроти нього стоїть знак оклику (тобто для всіх пакетів, крім списку).
  22. Sergey
    Sergey Гости 17 июня 2017 12:38
    + 0 -
    Киевстар умудряется даже влазить в впн тунель подставляя в конце маршрута своих заглушки. Могу скрины показать :)
    Осталось непонятным как брать днс трафик из тунеля. Способ который описывается в конце, не совсем раскрыт что ли? Мы маркируем весь трафик с своей подсети и роутим ВСЕ в тунель. Но если убрать из ip dns адреса днс серверов (8.8.8.8), то имена хостов не резолвятся. При этом коннект к впн серверу идет по ip адресу.
    Зачем прописывать /ip firewall address-list если это нигде не применяется? и как все таки пустить днс через тунель.
    1. DmitryAVET
      DmitryAVET Создатель 17 июня 2017 17:48
      + 0 -
      Да, дейтвительно, в последнем мангле я забыл дописать параметр dst-address-list=dns, чтобы Mikrotik маркировал траффик к ДНС.

      В случае с "Домашний Интернет" от Киевстар, достаточно:

      1) в dhcp-client снять опцию "Use Peer DNS" (отключить использование DNS провайдера)

      2) указать Google DNS 8.8.8.8 / 8.8.4.4 3

      3) после этого очистить кеш DNS:
      /ip dns cache flush


      У КС все реализовано грамотно - IP заблокированы, в случае использовани DNS провайдера, вас переадресовывает на 193.41.60.24 (tequila.i.kyivstar.net).

      КС не перехватывает траффик к чужим DNS (на 53-й порт). т.к. это тянет за собой нарушение законодательства, которое предусматривает блокировку только по решению суда. Google DNS в указе отсутствует, и решения суда на него нет.
      1. DelWise
        DelWise Гости 14 ноября 2018 01:50
        + 0 -
        А можно подробней инструкцию? отключаю использование DNS провайдера, добавляю в DNS Settings гугловские и даже яндекса DNS, очищаю кэш и не помогает.
        Спасибо за ответ.
        Пользуюсь домашним от киевстар.
      2. Vladimir
        Vladimir Гости 10 февраля 2019 16:12
        + 0 -
        У меня провайдер не позволяет отключить его днс, при отключении просто не устанавливается соединение с провайдером. Как можно поступить в данной ситуации?
        1. Дмитрий Плут
          Дмитрий Плут Гости 11 февраля 2019 19:00
          + 0 -
          Какой тип подключения у Вас?! Не меняйте DNS на подключении к провайдеру, просто попробуйте раздавать в локалку DNS отличный от провайдерского!
        2. DmitryAVET
          DmitryAVET Создатель 14 февраля 2019 19:39
          + +1 -
          В настройках DHCP-сервера раздавайте в локалку DNS 1.1.1.1 или 8.8.8.8
  23. gozhdik
    gozhdik Гости 14 июня 2017 16:39
    + 0 -
    Хорошая статья, но можно сделать намного проще, используя всего 1 адрес лист, просто указав вместо ip доменное имя ресурса, тем самым ограничиваясь всего лишь 1 правилом маркировки и 1 статическим маршрутом
    1. DmitryAVET
      DmitryAVET Создатель 14 июня 2017 17:02
      + +2 -
      И да и нет. С обычными саытами - вопросов нет. К примеру VK использует много дополнительных поддоменов, среди которых pp.userapi и *.mail.ru. Отсутствие их в адресных листах приведет к неработоспособности, либо только частичной работоспособности сайта. Многие провайдеры блокируют целые подсети, так что разово введя все подсети - можно надолго забыть о проблеме. Можно вносить и в один адресный лист - кому как удобно.
      1. gozhdik
        gozhdik Гости 14 июня 2017 17:09
        + 0 -
        Тогда уж проще проанализировать те домены которые нужны и добавить их отдельно, ведь список ip сайты периодически могут менять, а может даже на этих айпи существуют и другие ресурсы, на которые траффик гнать через впн нецелесообразно. Лично я себе сделал именно так, добавив этот список:



        И все эти сайты после отключения fasttrack открываются моментально и на первый взгляд все объекты загружаются.
      2. DmitryAVET
        DmitryAVET Создатель 14 июня 2017 22:44
        + 0 -
        По сути, можно добавлять и домены, это уже как вам удобней.
  24. Ан
    Ан Гости 13 июня 2017 17:04
    + 0 -
    zilf,
    А вот это уже вопрос не ко мне) У меня и на старой и на новой с 1400 работает.
  25. zilf
    zilf Посетители 13 июня 2017 16:43
    + 0 -
    ан,
    вк открывается долго и без картинок, mail.ru через раз и то не все сервисы
    1. ан
      ан Гости 13 июня 2017 16:51
      + 0 -
      Очень похоже на mtu. Попробуйте поиграться с 1320 до 1380. У меня такая лажа была с собственным vps. Пока мту 1400 не сделал все медленно открывалось. А если с винды подключится то все нормально было. Опытным путем выяснил что это из-за мту.
      1. zilf
        zilf Посетители 13 июня 2017 16:59
        + 0 -
        Во как - поставил 1380 и поехало и завелось :-) Спасибо.
        А вот теперь проснулся перфекционист внутри - почему на 6.39 все работало с 1400 :-)
  26. Ан
    Ан Гости 13 июня 2017 16:00
    + 0 -
    zilf, Обновитесь до 6.39.2 и поставьте max MTU 1400. Должно заработать имхо
    1. zilf
      zilf Посетители 13 июня 2017 16:21
      + 0 -
      Обновился, поставил 1400 - vk.com очень долго открывается.
      1. ан
        ан Гости 13 июня 2017 16:30
        + 0 -
        Проблема только с вк?
      2. DmitryAVET
        DmitryAVET Создатель 13 июня 2017 16:35
        + 0 -
        VK подгружает часть данных с mail.ru
  27. Антон
    Антон Гости 13 июня 2017 13:50
    + 0 -
    Я правильно понял получается два маскарада? один что б просто в инет ходить, а второе правило для VPN? или весь трафик идет по маскараду где шлюзом VPN?
    1. zilf
      zilf Посетители 13 июня 2017 15:18
      + 0 -
      Правильно поняли. Одно правило nat для общего трафика, второе для трафика только на заблокированные ip через vpn.
      1. Антон
        Антон Гости 13 июня 2017 15:33
        + 0 -
        Большое спасибо
  28. Ан
    Ан Гости 13 июня 2017 10:13
    + 0 -
    zilf,
    Вчера обновился до 6.39.2. впн pptp. все ок. устроиства 951г и 951у
    1. zilf
      zilf Посетители 13 июня 2017 11:34
      + 0 -
      Хм, а чего ж у меня тормозит? На 6.39 норм.
      1. ан
        ан Гости 13 июня 2017 15:19
        + 0 -
        Какой у вас актуал mtu на новой и старой прошивке?
      2. zilf
        zilf Посетители 13 июня 2017 15:43
        + 0 -
        На 6,39
        https://drive.google.com/file/d/0B1HBhB2Z1S2hNDZlZHRJbjRIQ3c

        На 6,39,2 не запомнил.
  29. Ан
    Ан Гости 13 июня 2017 09:54
    + 0 -
    Константин,
    Поставьте принудительно MTU 1400. Должно помочь.
    1. Константин
      Константин Гости 13 июня 2017 12:42
      + 0 -
      Установить MTU 1400 на Mikrotik? Сейчас на Mikrotik MTU 1450, а на сервере 1436.
      1. ан
        ан Гости 13 июня 2017 16:01
        + 0 -
        На клиенте поставьте max MTU 1400. Должно заработать имхо
  30. Константин
    Константин Гости 12 июня 2017 22:03
    + 0 -
    У меня такая ситуация: на работе поднял pptp сервер (со стороны провайдера нету ни каких блокировок), удаленно с Windows, Android удачно подключаюсь к этому серверу и захожу на Yаndex, vk и т.д., а вот с Mikrotik - подключаюсь, но на заблокированные сайты зайти не могу. Когда использую другие vpn серверы на Mikrotik, то все нормально. Не могу понять в чем может быть проблема?
    1. DmitryAVET
      DmitryAVET Создатель 13 июня 2017 08:59
      + 0 -
      Проверьте, включен ли маскарадинг на вашем Mikrotik для ppp. Далее, чтобы заходить, надо либо весь траффик в VPN отправлять (add default route), либо его часть, как в этой публикации.
      1. Константин
        Константин Гости 13 июня 2017 09:24
        + 0 -
        Все настроено в точности, как в этой публикации и работает на разных vpn серверах, которые находил в интернете, но как только подключаюсь к своему PPTP - уже на заблокированные ресурсы попасть НЕ могу... Если же подключаюсь к этому же серверу с Windows, или Android - все работает. Странно как-то...

Блокировка TikTok на Mikrotik RouterOS

Проблема блокировки трафика TikTok обсуждается для многих платформ, и Mikrotik тут не исключение. Я же столкнулся с проблемой блокировки TikTok с...

Mikrotik на 2 провайдера: настройка резервного канала в RouterOS

Одна из наиболее популярных задач, решаемых на оборудовании Mikrotik – настройка RouterOS на работу с двумя интернет-провайдерами или, простыми...

Критическая уязвимость Mikrotik RouterOS 6.45.6 позволяет осуществить подмену

Компания Tenable обнаружила целый ряд уязвимостей в реализации DNS-сервера и пакетов обновлений RouterOS: CVE-2019-3976 CVE-2019-3977 CVE-2019-3978...

Cloudflare совместно с APNIC запустил публичный DNS 1.1.1.1: прощай Google DNS?

Задумывались ли вы о том, что такое DNS-сервер и зачем он нужен? Говоря простыми словами, DNS это сервис, преобразующий доменные имена в IP-адреса....

Анонс Mikrotik Newsletter №80, январь 2018: обзор нового hAP ac2, потолочный

Компания Mikrotik анонсировала Newsletter №80 за январь 2018, в котором описаны новые продукты на ближайшие несколько месяцев. Посмотрим, сможет ли...

Киевстар блокирует в Украине сайты по списку Роскомнадзора?

Компания «ВымпелКом» настолько увлеклась блокировкой сайтов в РФ, что поневоле стала блокировать некоторые из них и в Украине, правда не для всех...

авторизация на сайте

Забыли пароль?