Comments 13
В теме вроде бы все раскрыто, но не будет ли проще такой вариант:
- поднять на VPS wireguard
- поднять на микротике туннель до VPS, через wireguard
- воспользоваться все тем же скриптом по выгрузке списка заблокированных адресов от РКН
- добавить правило на маркировку трафика из списка заблокированных адресов РКН
- добавить правило на отправку маркированного трафика через туннель wireguard
Да. Можно и так. Скрипт с периодической загрузкой работает хорошо. Мне же хотелось попробовать BGP+OSPF для разогрева :-)
Policy based routing плохо дружит с fasttrack connection, а иногда без него скорость передачи данных довольно сильно занижается.
О какой именно проблеме речь? У меня как раз используется вышеописанная схема и прекрасно работает. Помню, были какие-то трудности в открытии некоторых ресурсов, но всё решилось добавлением опции routing mark=main (в моём случае это основной маршрут, не тот, который тунель к VPS) в правиле fasttrack connection и с тех пор больше не припомню сложностей.
Готовые списки можно заменить вариантом с авто распознаванием блокировки. Если провайдер использует DPI и сбрасывает соединения анализируя sni то средствами микротика можно распознавать такие блокировки и автоматом добавлять ip в список. Дальше маркировка и заворачивание в туннель.
Таким образом решается проблема с хранением огромных списков в озу и их обновлении.
ну всё вы на рвались на статью....) в смысле теперь придётся писать статью на хабре, о том как ето реализовать, у меня сейчас настроен контейнер антизапрета (а там опенвпн) для етого дела, виригуард ето как глоток свежего воздуха буит
Если нужен вариант только удаленного доступа к домашнему серверу без публичного адреса и нет своей VPS я использую mikrotik с пакетом zerotirer из extra packages. Для домашнего сегмента куда нужен доступ добавил zerotier managed route, на конечные устройства дома ничего не надо устанавливать.
Есть только мелкая проблема — лицензию на CHR сейчас купить проблематично.
Переходим к OSPF. Перед настройкой OSPF обязательно делаем статичным интерфейс на CHR через "SSTP Server Binding".
Или можно поднять OSPF на динамических интерфейсах и маршруты будут раздаваться любому клиенту подключенному. Хуже это не сделает, зато добавлять новых клиентов удобнее.
Скажите, а почему вы решили использовать OSPF? На первый взгляд кажется что поднять вторую BGP сессию до home router проще и логичнее...
Думаю, что для читателя OSPF будет ближе, так-как есть много мануалов по его настройке на разном оборудовании. В целом, Вы правы. Для доставки маршрутов можно использовать и IBGP. По сходимости, не могу сказать кто быстрее будет, так-как маршрутов не так много. Работая внутри автономной системы, для меня ближе протоколы IGP. С одним из них и затеял связку. На практике, можно попробовать и другие протоколы динамической маршрутизации.
Микротик фу
Пожалуйста не примите за критику, а просто несколько личных рассуждений.
Я не знаю как купить VPS, если карты не принимаются. Не видел ни одной статьи на этот вопрос, за исключением "оплачиваем криптой", где автор немного умолчал, что для покупки на ... минимальная сумма от 5000-7000 руб с шансом "ваш платёж приостановлен, для возврата денег пришлите копию паспорта с вашей фотографией..".
Так же я не понимаю зачем на VPS ставить CHR. Т.к. это а) платно, 3000 руб, б) лишает большинства преимуществ отдельного сервера в Интернете в) неподготовленный пользователь не сможет установить chr, если для установки потребуются хотя бы немножечко не тривиальные действия.
На RouterOs 7 туннель wireguard работает(на удивление) очень хорошо, и более того очень хорошо работает с бесплатным wireguard от protonvpn, где даже недорогие младшие модели до hap ac lite включительно предоставляют 30-40 Мбит, что более чем достаточно для веб-сёрфинга.
Вариант как маркировать, как маршрутизировать, всё же я бы оставил на усмотрение пользователя. Кому-то хочется BGP\OSPF, кому-то достаточно
/ip firewall mangle add action=mark-connection chain=prerouting connection-mark=no-mark new-connection-mark=mark_conn1 src-address=192.168.1.2
, кто-то сам antifiller считает не безопасным..И сколько бы я не пытался понять, причём тут NAT так и не смог.
Обход блокировок за NAT без белого IP