Comments 75
RouterOS конечно не поддерживает, но есть Metarouter… правда не уверен что это будет нормально работать.
гораздо больше смущает то, что софтэзер-протокол идет в комплекте с кучей оверхеда и достаточно медленно работает сам по себе, ну и в целом не сильно ясно зачем это все делать на роутере, если есть инструменты, которые работают на любых платформах
На данный момент я хочу настроить на роутере потому что:
1)у меня дома 2 компьютера, ноутбук, 3 смартфона. Вопрос: что настроить проще 1 роутер или 6 устройств на разных ОС?
2)если опыт будет признан успешным, можно легко поставить кому-то другому роутер микротик и настроить его аналогично.
но в итоге убрал это всё и сделал через /ip firewall address-list только те которые нужны.
В итоге у меня там болтается 10-20 IP и всё.
Наткнулся на нужный заблокированный сайт -> внес туда, причём по доменному имени и не парюсь.)
Я вообще в обратную сторону поступил. Что критично без VPN, то и без VPN. Критично без VPN оказалось исчезающе мало:
- корпоративные адреса с моей работы и жены (не то чтобы критично, но для RDP удобнее пинг 1 мс, а не 20 мс).
- домены yandex (жене для музыки, мне для mirrors, откуда все обновления для linux быстро льются)
- mos.ru (часть поддоменов не работает через VPN)
- несколько сайтов, которые, возможно, столкнулись с DDoS и параноидально позакрывались (не буду говорить, что за сайты, но у меня это 3 сайта)
- codeforces.com (вместе с dmoj.ca, atcoder.jp и подобными) — чтобы не нервничать (это сайты контестов по программированию и во время контестов они работают на пределе)
- 2ip.ru и canyouseeme.org — для проверки и сравнения с другими аналогичными (нужно было только при настройке, но удалять из списка нет смысла)
Остальной трафик (включая DNS, конечно) строго через VPN.
https://antizapret.prostovpn.org/
Ничего проще пока не придумали, если речь идёт о клиентской настройки.
При VPN Ваш комп доступен со стороны чужого VPN сервера.
При использовании proxy.pac Вы намеренно запускаете у себя в браузере чужой js код. При этом браузер будет дергать ссылку на pac при каждом запросе.
Но ведь давно известо — бесплатный сыр бывает только в мышеловке, причем только для второй мышки.
Что-то столько лет все пользуются, и ничего. Где же бесплатный сыр?
пускать вообще весь трафик через VPN серверЭто не так, через Antizaprer идёт только трафик до заблокированных ресурсов. Благодаря этому объём трафика остаётся достаточно небольшим для того, чтобы держать сервис бесплатным.
удобнееЕсли говорить именно об удобстве, то отсутствие необходимости держать и оплачивать свой сервер — удобнее. Отсутствие необходимости пополнять список правил при столкновении с очередным заблокированным ресурсом — удобнее. Я, например, не люблю, когда проблема требует моего периодического участия. Предпочитаю решения «настроил и забыл».
Перечисленные вами преимущества — это «безопаснее», но не «удобнее».
Отсутствие необходимости пополнять список правил при столкновении с очередным заблокированным ресурсом — удобнее.
Кому как. Лично мне удобнее самому решать какие правила пополнять. А какие оставить заблокированными.
А сейчас еще и вререестровые блокировки появляются, которые были замечены, по меньшей мере, у Ростелекома и дом.ру.
Сомневаюсь, что вы каждый раз вручную анализируете реестр и решаете, что добавить, а что не добавлять.
Все сильно проще, нужен ресурс — добавляю. Более того, стал ненужен — выкидываю. Никаких реестров я, разумеется, не анализирую.
Делать какие-то выводы по спискам которые не контролирую лично я, считаю неправильным. Эти клоуны могут завтра 127 или 192 прописать в реестр, и что тогда?
А сейчас еще и вререестровые блокировки появляются, которые были замечены, по меньшей мере, у Ростелекома и дом.ру.
Вот вот. Поэтому или руками, или на крайний случай анализ отдаваемого на шаблон запрета.
Все сильно проще, нужен ресурс — добавляю. Более того, стал ненужен — выкидываю. Никаких реестров я, разумеется, не анализирую.Как вы изначально узнаете, заблокирован ли ресурс, или нет? При блокировке по IP-диапазонам никакой заглушки не показывается, просто трафик не доходит до адреса назначения. А если речь о домене, у которого заблокирована часть адресов, то он будет то работать, то нет.
Если уже известный мне ресурс стал недоступен, то проверяю его доступность через альтернативные каналы. Если там все ок, то добавляю в исключения.
Собственно модель поведения аналогична носкрипту — по умолчанию наглухо отключено, и только в случае полной не функциональности открываются минимальные доступы. Если ресурс хочет сильно многого, то ресурс просто посылается лесом.
У меня смутное чувство что мы на все это смотрим сильно с разных колоколен, и круг наших задач не очень совпадает.
При VPN Ваш комп доступен со стороны чужого VPN сервера.
Исходный код прошивки открыт, желающие могут посмотреть, как это устроено (всего одно правило iptables).
При VPN Ваш комп доступен со стороны чужого VPN сервера.Соединения между клиентами блокированы на VPN-сервере. Windows и любые современные дистрибутивы Linux по умолчанию блокируют входящие соединения для новых интерфейсов, если не указать иного вручную. Разве что над пользователями Windows XP и необновлённых Windows 7 можно поглумиться, но и их уже встретишь нечасто.
Хотите полный аналог антизапрета на своих серверах? Установите его себе: bitbucket.org/anticensority/antizapret-vpn-container/src
При использовании proxy.pac Вы намеренно запускаете у себя в браузере чужой js код. При этом браузер будет дергать ссылку на pac при каждом запросе.А можете запускать точно такой же код, но свой: bitbucket.org/anticensority/antizapret-pac-generator-light/src
Но ведь давно известо — бесплатный сыр бывает только в мышеловке, причем только для второй мышки.Я обычно не отвечаю на подобные высказывания, но они меня сильно расстраивают, потому что в наше время даже не предполагается, что есть бесплатные честные сервисы, без какого-либо подвоха, которые делают ровно то, что заявлено, и ничего больше. Наверное, мне следует начать продавать трафик и встраивать рекламу, чтобы «соответствовать ожиданиям и запросам пользователей».
Однажды столкнулся с проблемой: рекламное агентство было практически остановлено, shutterstock попал в список запрещенных на пару дней.
Список обязан провайдерами выгружаться не реже чем раз в сутки. Блокировку после выгрузки многие делают по разному. Некоторые проверяют много чаще и блокируют в считанные часы, если не минуты, после попадания в список.
Не могу сказать как сейчас, ранее для выгрузки этого списка достаточно было иметь ЭЦП и все.
На хабре была статья про скрипт, скачивающий список заблокированных ip, преобразующий его в подсети, чтобы микротик от количества маршрутов не умер. Спиок маршрутов обновляется по BGP.
Ссылку к сожалению нет возможности сейчас найти.
Но это это для физических лиц. Блокировок нет, торренты работают.
В Молдове одобрили закон, позволяющий блокировать сайты и читать электронную почту
Введение данных поправок повысит затраты операторов связи.
Кабмин Молдовы накануне на заседании одобрил законопроект, направленный на обеспечение информационной безопасности и борьбу с киберпреступлениями.
Однако на поверку документ узаконивает цензуру Интернета. Так, закон дает право органам правопорядка блокировать сайты, проверять личные электронные почтовые ящики, читать SMS, сообщения в Viber, Telegram и WhatsApp, пишет agora.md.
Также поправки в закон обязывают поставщиков услуг связи по требованию приостанавливать подачу Интернета на 6 месяцев, а услуг фиксированной и мобильной телефонии — на срок от 180 дней до 1 года. Введение данных поправок повысит затраты операторов связи, что может повлечь и подорожание их услуг для потребителей.
Министерство внутренних дел аргументирует введение поправок необходимостью соответствия молдавского законодательства с международной правовой базой, в том числе с положениями Конвенции Совета Европы о киберпреступности, Конвенции Совета Европы о защите детей от сексуальной эксплуатации и директивы Европейского парламента о борьбе с сексуальным насилием в отношении детей.
А штрафы за торренты только в Германии и Финляндии, в России блокируют некоторые трекеры.
Спасибо за статью!
А в 2020 это ещё актуально? Последние года три хабр завален такими статьями.
Можно поднять BGP с antifilter.download, но лично у меня ни один из микротиков по каким-то причинам не смог поднять впн после загрузки айпишников оттуда, хотя адрес впн не находится в списке блокировок.
Если у вас нет внешнего IP, то можно установить установить VPN-туннель с ними и поднять BGP-сессию внутри туннеля.
Проблема в том, что соединение происходит. Но с заглушкой провайдера. По крайней мере, в домру так. Помимо этого, они ещё и в трафике копаются, подменяя днс ответы. Так что, либо DoH, либо тоже заворачивать днс-трафик в впн
Тики уж года 2 как умеют резолвить в адрес-листах — почему это не использовать?
Так же не стоило бы стрелять себе в ногу и в прероутинге исключать только трафик до 192.168.1.1 — более правильно было бы опять же составить адрес-лист, с используемыми локальными сетями, и в исключения прописывать уже его — в текущем же конфиге у вас будут проблемы если к тику привязано более одной локальной сети.
Вряд ли вам нужны 99,9% заблокированных ресурсов: пару трекеров, какой-нибудь порнхаб да и хватит — такой объём несложно в ручную ввести, просто не в виде отдельных роутов, а в виде доменов в адрес-листе.
По треду же в форуме — опять же уточняйте тогда что речь про ecmp. Там вполне вероятно что не работает, но опять же — можно попробовать сделать ecmp с рекурсивным роутингом и чекать гейтвей на на отдельном маршруте на рекурсивный шлюз.
Чтобы это исправить, необходимо либо отключить FastTrack в Firewall -> Filter Rules (тогда будут проседания производительности), либо провести дополнительные настройки:
1. В Firewall -> Mangle дополнительно создать правило вида:
/ip firewall mangle
add action=mark-connection chain=prerouting connection-state=new \
dst-address-list=rkp new-connection-mark=connection_rkp passthrough=yes
2. В Firewall -> Filter настроить правило для FastTrack:
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-mark=!connection_rkp connection-state=established,related
После этого маршруты через VPN и FastTrack будут уживаться вместе.
Кстати, удобно использовать Address List, туда можно заносить доменные имена, которые будут резолвиться при запуске.
Для DNS рекомендую включить DoH, который стал доступен в 6.47.
И сделать маршрут для помеченных пакетов
add dst-address=0.0.0.0/0 gateway=%VPN_INTERFACE% routing-mark=vpn_out distance=1
После этого можно просто добавлять нужные сервисы в /ip firewall address-list
Более того, теперь можно вписывать туда доменные имена, он их сам резолвит. Например, рутрекер:
/ip firewall address-list add address=rutracker.org list=vpn_out
www.oracle.com/cloud/free/#always-free
Я настроил таким образом zoogvpn... Когда я тупо метил весь исходящий траффик и гнал его на это подключение (по ppp) - оно работало. Но как-то это топорно было и не правильно. Мне нужен vpn только чтобы лазить на сайты, доступ на которые запрещен (например любые частные страницы с хостингом в германии не могут дать доступ к загрузке софта с них!!). И когда я сделал всё так как тут описано - интернета пропала. Причем при попытке доступа к любому сайту выдается ошибка "не найдено dns имя" как то так.. Кроме яндекса, он чудесным образом поисковую страницу отображает, но это потому что их браузер судя по всему, игнорит любые днс серверы, кроме вшитых адресов яндексовских серверов.
В общем, не заработало. Проверил дважды - всё верно. Причем на скриншотах статьи есть ошибка - неверный адрес connect to на третьем скриншоте (настройка интерфейса). Я туда правильный, рабочий адрес вписал.
Может в этом дело? Адрес-то сервера у меня доменный, а если днс запросы идут через этот сервер, то.. как узнать его ip?.. Если включить только правило для http, то ничего не меняется для меня (мне надо чтобы мой ip с ТОЙ стороны определялся как не российский) - myip.com так же показывает РФ. Я не очень-то в этих настройках соображаю - пытаюсь учиться, подскажите как сделать чтобы все эти настройки включались вместе с включением подключения по ppp. Или еще каким-то удобным способом..
Разблокируем интернет с помощью Mikrotik и VPN: подробный туториал