company_banner

Разблокируем интернет с помощью Mikrotik и VPN: подробный туториал

  • Tutorial

В этом пошаговом руководстве я расскажу, как настроить Mikrotik, чтобы запрещённые сайты автоматом открывались через этот VPN и вы могли избежать танцев с бубнами: один раз настроил и все работает.

В качестве VPN я выбрал SoftEther: он настолько же прост в настройке как и RRAS и такой же быстрый. На стороне VPN сервера включил Secure NAT, других настроек не проводилось.

В качестве альтернативы рассматривал RRAS, но Mikrotik не умеет с ним работать.  Соединение устанавливается, VPN работает, но поддерживать соединение без постоянных реконнектов и ошибок в логе Mikrotik не умеет.

Настройка производилась на примере RB3011UiAS-RM на прошивке версии 6.46.11.
Теперь по порядку, что и зачем.

1. Устанавливаем VPN соединение


В качестве VPN решения был выбран, конечно, SoftEther, L2TP с предварительным ключом. Такого уровня безопасности достаточно кому угодно, потому что ключ знает только роутер и его владелец.

Переходим в раздел interfaces. Сначала добавляем новый интерфейс, а потом вводим ip, логин, пароль и общий ключ в интерфейс. Жмем ок.



То же самое командой:

/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"


SoftEther заработает без изменения ipsec proposals и ipsec profiles, их настройку не рассматриваем, но скриншоты своих профилей, на всякий случай, автор оставил.


Для RRAS в IPsec Proposals достаточно изменить PFS Group на none.

Теперь нужно встать за NAT этого VPN сервера. Для этого нам нужно перейти в IP > Firewall > NAT.

Тут включаем masquerade для конкретного, или всех PPP интерфейсов. Роутер автора подключен сразу к трём VPN’ам, поэтому сделал так:



То же самое командой:

/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp


2. Добавляем правила в Mangle


Первым делом хочется, конечно, защитить все самое ценное и беззащитное, а именно DNS и HTTP трафик. Начнем с HTTP.

Переходим в IP → Firewall → Mangle и создаем новое правило.

В правиле, Chain выбираем Prerouting.

Если перед роутером стоит Smart SFP или еще один роутер, и вы хотите к нему подключаться по веб интерфейсу, в поле Dst. Address нужно ввести его IP адрес или подсеть и поставить знак отрицания, чтобы не применять Mangle к адресу или к этой подсети. У автора стоит SFP GPON ONU в режиме бриджа, таким образом автор сохранил возможность подключения к его вебморде.

По умолчанию Mangle будет применять свое правило ко всем NAT State’ам, это сделает проброс порта по вашему белому IP невозможным, поэтому в Connection NAT State ставим галочку на dstnat и знак отрицания. Это позволит нам отправлять по сети исходящий трафик через VPN, но все еще прокидывать порты через свой белый IP.


Далее на вкладке Action выбираем mark routing, обзываем New Routing Mark так, чтобы было в дальнейшем нам понятно и едем дальше.


То же самое командой:

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80


Теперь переходим к защите DNS. В данном случае нужно создать два правила. Одно для роутера, другое для устройств подключенных к роутеру.

Если вы пользуетесь встроенным в роутер DNS, что делает и автор, его нужно тоже защитить. Поэтому для первого правила, как и выше мы выбираем chain prerouting, для второго же нужно выбрать output.

Output это цепь которые использует сам роутер для запросов с помощью своего функционала. Тут все по аналогии с HTTP, протокол UDP, порт 53.



То же самое командами:

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53


3. Строим маршрут через VPN


Переходим в IP → Routes и создаем новые маршруты.

Маршрут для маршрутизации HTTP по VPN. Указываем название наших VPN интерфейсов и выбираем Routing Mark.



На этом этапе вы уже почувствовали, как ваш оператор перестал встраивать рекламу в ваш HTTP трафик.

То же самое командой:

/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP


Ровно так же будут выглядеть правила для защиты DNS, просто выбираем нужную метку:


Тут вы ощутили, как ваши DNS запросы перестали прослушивать. То же самое командами:

/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router


Ну под конец, разблокируем Rutracker. Вся подсеть принадлежит ему, поэтому указана подсеть.


Вот настолько было просто вернуть себе интернет. Команда:

/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org


Ровно этим же способом, что и с рутрекером вы можете прокладывать маршруты корпоративных ресурсов и других заблокированных сайтов.

Автор надеется, что вы оцените удобство захода на рутрекер и корпоративный портал в одно и тоже время не снимая свитер.

RUVDS.com
RUVDS – хостинг VDS/VPS серверов

Комментарии 74

    0
    А можно такую-же, но без VPN, например, как в GoodbyeDPI? Цены бы не было.
      +1
        0
        Работает на OpenWRT без проблем, вообще красота. Никуда ничего не заворачивается (есть вариант с проксированием), все обрабатывается локально и никакие списки не нужны по сути. Моему провайдеру оказалось достаточно смены DNS и nfqws в простом режиме disorder или split.

        RouterOS конечно не поддерживает, но есть Metarouter… правда не уверен что это будет нормально работать.
          0
          Работать не будет совсем, т.к. относительно недавно Metarouter выпилили из RouterOS, к сожалению.
            0
            Странно, не вижу нигде в Changelog про удаление. В Stable и Testing MetaROUTER на месте. Про ROS7 ничего не могу сказать, но она еще не готова просто-напросто.
              0
              Действительно, не верно трактовал инфу в ветке об CCR1036. RB*** и HAP** это не касается, видимо. Дико извиняюсь.
        0
        Для меня закгадка этот GoodbyeDPI. Сколько не пробовал на разных провайдерах, ни разу не работало…
          0
          Там есть несколько режимов и каждый можно проверить на своем провайдере, затем задействовать это как службу и радоваться. На Ростелекоме работает, на двух из воронежских провайдеров.
        0
        Но возможно позже вы столкнетесь с проблемами при создании туннелей внутри вашего из-за малого MTU. Это общая проблема ppp/l2tp/pptp.
          +1
          Так ведь можно маршруты до нужных узлов пустить мимо VPN, чтобы туннель устанавливался напрямую. Это еще и на пропускную способность положительно повлияет.
          +2
          А где в этом «подробном туториале» настройка сервера?
            0
            настройка сервера в софтэзере достаточно простая

            гораздо больше смущает то, что софтэзер-протокол идет в комплекте с кучей оверхеда и достаточно медленно работает сам по себе, ну и в целом не сильно ясно зачем это все делать на роутере, если есть инструменты, которые работают на любых платформах
              0
              хз, для меня линукс это уже не просто. Особенно когда вроде всё сделал, но не поднимается и хз с какой стороны ошибка.
              На данный момент я хочу настроить на роутере потому что:
              1)у меня дома 2 компьютера, ноутбук, 3 смартфона. Вопрос: что настроить проще 1 роутер или 6 устройств на разных ОС?
              2)если опыт будет признан успешным, можно легко поставить кому-то другому роутер микротик и настроить его аналогично.
            0
            Одна проблема — если добавить в route все заблокированные сайты, Mikrotik может перегреться.
              +3
              А оно нужно? я поднимал через BGP IP всех сайтов с антифильтра,
              но в итоге убрал это всё и сделал через /ip firewall address-list только те которые нужны.
              В итоге у меня там болтается 10-20 IP и всё.

              Наткнулся на нужный заблокированный сайт -> внес туда, причём по доменному имени и не парюсь.)
                0
                А если наткнулась жена, а «администратор» на совещании/в командировке/в лесу?
                  0
                  Включать VPN в Opera. :)
                    0

                    Дак, так тогда можно и не городить весь этот огород.
                    Воспользоваться вашим советом и все — профит.

                  0

                  Я вообще в обратную сторону поступил. Что критично без VPN, то и без VPN. Критично без VPN оказалось исчезающе мало:


                  • корпоративные адреса с моей работы и жены (не то чтобы критично, но для RDP удобнее пинг 1 мс, а не 20 мс).
                  • домены yandex (жене для музыки, мне для mirrors, откуда все обновления для linux быстро льются)
                  • mos.ru (часть поддоменов не работает через VPN)
                  • несколько сайтов, которые, возможно, столкнулись с DDoS и параноидально позакрывались (не буду говорить, что за сайты, но у меня это 3 сайта)
                  • codeforces.com (вместе с dmoj.ca, atcoder.jp и подобными) — чтобы не нервничать (это сайты контестов по программированию и во время контестов они работают на пределе)
                  • 2ip.ru и canyouseeme.org — для проверки и сравнения с другими аналогичными (нужно было только при настройке, но удалять из списка нет смысла)

                  Остальной трафик (включая DNS, конечно) строго через VPN.

                0

                https://antizapret.prostovpn.org/
                Ничего проще пока не придумали, если речь идёт о клиентской настройки.

                  +1
                  Наживка выглядит очень привлекательно для обывателя…
                  При VPN Ваш комп доступен со стороны чужого VPN сервера.
                  При использовании proxy.pac Вы намеренно запускаете у себя в браузере чужой js код. При этом браузер будет дергать ссылку на pac при каждом запросе.
                  Но ведь давно известо — бесплатный сыр бывает только в мышеловке, причем только для второй мышки.
                    0

                    Что-то столько лет все пользуются, и ничего. Где же бесплатный сыр?

                      0
                      Ничего, но в то же время все помнят историю про неуловимого Джо. Посмотрел реализацию antizapret, так себе решение, пускать вообще весь трафик через VPN сервер, зачем, открывать свой комп сети неизвестного провайдера, как то боязно, их хакнут, а достанется всем пользователям. То как предлагается в статье и надежнее, и удобнее, вся инфраструктура находится под контролем пользователя, через VPN только избранные узлы открываются, красота.
                        0
                        пускать вообще весь трафик через VPN сервер
                        Это не так, через Antizaprer идёт только трафик до заблокированных ресурсов. Благодаря этому объём трафика остаётся достаточно небольшим для того, чтобы держать сервис бесплатным.

                        удобнее
                        Если говорить именно об удобстве, то отсутствие необходимости держать и оплачивать свой сервер — удобнее. Отсутствие необходимости пополнять список правил при столкновении с очередным заблокированным ресурсом — удобнее. Я, например, не люблю, когда проблема требует моего периодического участия. Предпочитаю решения «настроил и забыл».

                        Перечисленные вами преимущества — это «безопаснее», но не «удобнее».
                          0
                          Отсутствие необходимости пополнять список правил при столкновении с очередным заблокированным ресурсом — удобнее.

                          Кому как. Лично мне удобнее самому решать какие правила пополнять. А какие оставить заблокированными.
                            0
                            В реестре содержатся записи по IP-адресам и IP-диапазонам, которые то появляются, то исчезают. Сомневаюсь, что вы каждый раз вручную анализируете реестр и решаете, что добавить, а что не добавлять. А без проксирования этих адресов и диапазонов у вас некоторые, на первый взгляд не заблокированные сайты, могут либо не открываться вовсе, либо работать с перебоями, т.к., например, один из IP-адресов на домене периодически попадает в заблокированный диапазон.

                            А сейчас еще и вререестровые блокировки появляются, которые были замечены, по меньшей мере, у Ростелекома и дом.ру.
                              0
                              Сомневаюсь, что вы каждый раз вручную анализируете реестр и решаете, что добавить, а что не добавлять.

                              Все сильно проще, нужен ресурс — добавляю. Более того, стал ненужен — выкидываю. Никаких реестров я, разумеется, не анализирую.
                              Делать какие-то выводы по спискам которые не контролирую лично я, считаю неправильным. Эти клоуны могут завтра 127 или 192 прописать в реестр, и что тогда?
                              А сейчас еще и вререестровые блокировки появляются, которые были замечены, по меньшей мере, у Ростелекома и дом.ру.

                              Вот вот. Поэтому или руками, или на крайний случай анализ отдаваемого на шаблон запрета.
                                0
                                Все сильно проще, нужен ресурс — добавляю. Более того, стал ненужен — выкидываю. Никаких реестров я, разумеется, не анализирую.
                                Как вы изначально узнаете, заблокирован ли ресурс, или нет? При блокировке по IP-диапазонам никакой заглушки не показывается, просто трафик не доходит до адреса назначения. А если речь о домене, у которого заблокирована часть адресов, то он будет то работать, то нет.
                                  0
                                  Лично я регулярно вижу заглушку — «недоступен согласно роскомпозор ля-ля». Вот тогда и разблокирую.
                                  Если уже известный мне ресурс стал недоступен, то проверяю его доступность через альтернативные каналы. Если там все ок, то добавляю в исключения.
                                  Собственно модель поведения аналогична носкрипту — по умолчанию наглухо отключено, и только в случае полной не функциональности открываются минимальные доступы. Если ресурс хочет сильно многого, то ресурс просто посылается лесом.
                                  У меня смутное чувство что мы на все это смотрим сильно с разных колоколен, и круг наших задач не очень совпадает.
                        0
                        Что-то столько то лет мыло наводнено тоннами спама. Вы стопроцентно уверены что Ваши хосты чисты? Болезнь легче предотвратить, чем вылечить.
                          0
                          25 порт провайдеры домашним пользователям закрывают. Лучше было бы в пример приводить DDoS, но не спам.
                            0
                            Это где такое? Никогда не сталкивался.
                        0
                        При VPN Ваш комп доступен со стороны чужого VPN сервера.
                        Нет
                        image

                        Исходный код прошивки открыт, желающие могут посмотреть, как это устроено (всего одно правило iptables).
                          +2
                          При VPN Ваш комп доступен со стороны чужого VPN сервера.
                          Соединения между клиентами блокированы на VPN-сервере. Windows и любые современные дистрибутивы Linux по умолчанию блокируют входящие соединения для новых интерфейсов, если не указать иного вручную. Разве что над пользователями Windows XP и необновлённых Windows 7 можно поглумиться, но и их уже встретишь нечасто.
                          Хотите полный аналог антизапрета на своих серверах? Установите его себе: bitbucket.org/anticensority/antizapret-vpn-container/src

                          При использовании proxy.pac Вы намеренно запускаете у себя в браузере чужой js код. При этом браузер будет дергать ссылку на pac при каждом запросе.
                          А можете запускать точно такой же код, но свой: bitbucket.org/anticensority/antizapret-pac-generator-light/src

                          Но ведь давно известо — бесплатный сыр бывает только в мышеловке, причем только для второй мышки.
                          Я обычно не отвечаю на подобные высказывания, но они меня сильно расстраивают, потому что в наше время даже не предполагается, что есть бесплатные честные сервисы, без какого-либо подвоха, которые делают ровно то, что заявлено, и ничего больше. Наверное, мне следует начать продавать трафик и встраивать рекламу, чтобы «соответствовать ожиданиям и запросам пользователей».
                        0
                        А как бы еще сделать что список запрещенный сайтов сам скачивался, перерабатывался на ip и маршрутизация шла в тоннель?

                        Однажды столкнулся с проблемой: рекламное агентство было практически остановлено, shutterstock попал в список запрещенных на пару дней.
                          0
                          Сначала тоже подумал, вот было бы здорово весь список пихать в white list, кстати, такое возможно, вот только в списке уже больше 300к постановлений, так что лучше добавить пару десяток имен в white list, которые интересны, а остальное, зачем? + список не в реал тайме обрабатывается, он ДСП, так что либо у провайдеров брать (если дадут), или с github, когда его роскомсвобода обновит, так что лучше самому распоряжаться, какие имена через тоннель открывать, а какие напрямую.
                            0
                            а как узнать что важный для меня ресурс оказался запрещенным? Все нужное повернуть через впн независимо от запретов? Не лучшее решение по многим причинам.

                            Список обязан провайдерами выгружаться не реже чем раз в сутки. Блокировку после выгрузки многие делают по разному. Некоторые проверяют много чаще и блокируют в считанные часы, если не минуты, после попадания в список.

                            Не могу сказать как сейчас, ранее для выгрузки этого списка достаточно было иметь ЭЦП и все.
                            0

                            На хабре была статья про скрипт, скачивающий список заблокированных ip, преобразующий его в подсети, чтобы микротик от количества маршрутов не умер. Спиок маршрутов обновляется по BGP.
                            Ссылку к сожалению нет возможности сейчас найти.

                            –1
                            Лучше переехать в страну, где не блокируют интернет.
                              0
                              Такие остались?
                                +1
                                Остались. Но стоимость интернета там выше, а качество ниже, нежели туннель через VPN, подобный, описанному в посте. Некоторые вообще до сих пор на xDSL сидят.
                                  0
                                  У нас (Республика Молдова) оптоволоконный интернет 100Мбит/с — сейчас стоит около 8$.
                                  Но это это для физических лиц. Блокировок нет, торренты работают.
                                    0
                                    Да ладно? Везде есть блокировки в интернете кроме стран Африки наверно.

                                    В Молдове одобрили закон, позволяющий блокировать сайты и читать электронную почту

                                    Введение данных поправок повысит затраты операторов связи.

                                    Кабмин Молдовы накануне на заседании одобрил законопроект, направленный на обеспечение информационной безопасности и борьбу с киберпреступлениями.

                                    Однако на поверку документ узаконивает цензуру Интернета. Так, закон дает право органам правопорядка блокировать сайты, проверять личные электронные почтовые ящики, читать SMS, сообщения в Viber, Telegram и WhatsApp, пишет agora.md.

                                    Также поправки в закон обязывают поставщиков услуг связи по требованию приостанавливать подачу Интернета на 6 месяцев, а услуг фиксированной и мобильной телефонии — на срок от 180 дней до 1 года. Введение данных поправок повысит затраты операторов связи, что может повлечь и подорожание их услуг для потребителей.

                                    Министерство внутренних дел аргументирует введение поправок необходимостью соответствия молдавского законодательства с международной правовой базой, в том числе с положениями Конвенции Совета Европы о киберпреступности, Конвенции Совета Европы о защите детей от сексуальной эксплуатации и директивы Европейского парламента о борьбе с сексуальным насилием в отношении детей.


                                    А штрафы за торренты только в Германии и Финляндии, в России блокируют некоторые трекеры.
                                      0
                                      4 года прошло, как одобрили закон, но я ещё не встречал заблокированных нашими органами сайты. Возможно я не те сайты посещаю.
                                        0

                                        от провайдера ещё зависит. Какой-то лочит, какой-то нет

                                    0
                                    25€ в месяц за 1000/200 Мбит. В комплекте роутер провайдера (убран в кладовку, заменен на Mikrotik)
                                    0
                                    Так вроде да, к западу от РФ.
                                  +1

                                  Спасибо за статью!

                                    0

                                    А в 2020 это ещё актуально? Последние года три хабр завален такими статьями.

                                      +1
                                      Если включен fasttrack то неплохо бы еще делать mark connection для всего что идет в vpn и все что помечено этой меткой игнорировать в правиле fasttrack. Иначе все может продолжать идти в обход впн.
                                        0
                                        Эх, опять обход блокировок только по списку заданных ip… Их ведь тысячи и постоянно появляются новые. Нельзя ли сделать чтоб в VPN шло только после неудачной попытки подключиться напрямую?
                                          0
                                          А как понять что попытка подключения неудачная? Это нужно обход реализовывать либо на уровне плагина в браузере, либо костыли через локальный DPI городить.

                                          Можно поднять BGP с antifilter.download, но лично у меня ни один из микротиков по каким-то причинам не смог поднять впн после загрузки айпишников оттуда, хотя адрес впн не находится в списке блокировок.
                                            0
                                            Больше года пользуюсь аналогичным прекрасным сервисом — antifilter.network, всё работает прекрасно.
                                            Если у вас нет внешнего IP, то можно установить установить VPN-туннель с ними и поднять BGP-сессию внутри туннеля.
                                            0

                                            Проблема в том, что соединение происходит. Но с заглушкой провайдера. По крайней мере, в домру так. Помимо этого, они ещё и в трафике копаются, подменяя днс ответы. Так что, либо DoH, либо тоже заворачивать днс-трафик в впн

                                              0
                                              И ещё: VPN VPNу рознь. У меня на итальянской Arube VPS для всяких мелочей поднят, завернул туда браузер, на торренты ходить, а там сюрприз, внезапно заблокирован рутрекер у макаронников
                                              image
                                                0
                                                Все отлично работает через Vodafone, TIM, Wind и Fastweb (Мобильный и домашний Интернет)
                                              +2
                                              Предельно странная статья — идея плодить по правилу на каждый ресурс, перед тем где-то в ручную раздобыв его айпи (это в мире облачных сервисов-то)… странная словом идея.
                                              Тики уж года 2 как умеют резолвить в адрес-листах — почему это не использовать?
                                              Так же не стоило бы стрелять себе в ногу и в прероутинге исключать только трафик до 192.168.1.1 — более правильно было бы опять же составить адрес-лист, с используемыми локальными сетями, и в исключения прописывать уже его — в текущем же конфиге у вас будут проблемы если к тику привязано более одной локальной сети.
                                                0
                                                Не у всех RB3011, а скорее всего mikrotik hap ac2 или что еще похуже, загрузка листов по BGP это очень удобно и я сам это делаю, но что будет с младшими моделями? А до корпоративных ресурсов я делаю все как в статье.
                                                  0
                                                  Так я вроде ни слова про BGP не сказал. Идея в том чтобы целевые заблокированные сайты добавить в адрес-лист в виде доменов и трафик до этого адрес-листа пускать на VPN.
                                                  Вряд ли вам нужны 99,9% заблокированных ресурсов: пару трекеров, какой-нибудь порнхаб да и хватит — такой объём несложно в ручную ввести, просто не в виде отдельных роутов, а в виде доменов в адрес-листе.
                                                0
                                                Я надеюсь, что меня поправят, но при 2х+ гейтвеях чекгейтвей не работает.
                                                  0
                                                  С чего ему не работать? Другой вопрос что чек-гейтвей зачастую бесполезен без рекурсивного роутинга и это уже относительно морочный конфиг, но в принципе всё работает.
                                                    0
                                                      –1
                                                      В v6 ещё достаточно много что не работает у тиков, уточняйте тогда.
                                                      По треду же в форуме — опять же уточняйте тогда что речь про ecmp. Там вполне вероятно что не работает, но опять же — можно попробовать сделать ecmp с рекурсивным роутингом и чекать гейтвей на на отдельном маршруте на рекурсивный шлюз.
                                                  0
                                                  Делал себе схожие настройки и столкнулся с проблемой: запросы на помеченные сайты иногда уходили с задержкой.

                                                  Чтобы это исправить, необходимо либо отключить FastTrack в Firewall -> Filter Rules (тогда будут проседания производительности), либо провести дополнительные настройки:

                                                  1. В Firewall -> Mangle дополнительно создать правило вида:

                                                  /ip firewall mangle
                                                  add action=mark-connection chain=prerouting connection-state=new \
                                                  dst-address-list=rkp new-connection-mark=connection_rkp passthrough=yes


                                                  2. В Firewall -> Filter настроить правило для FastTrack:

                                                  /ip firewall filter
                                                  add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
                                                  connection-mark=!connection_rkp connection-state=established,related


                                                  После этого маршруты через VPN и FastTrack будут уживаться вместе.

                                                  Кстати, удобно использовать Address List, туда можно заносить доменные имена, которые будут резолвиться при запуске.

                                                  Для DNS рекомендую включить DoH, который стал доступен в 6.47.
                                                    +1
                                                    Не понимаю, почему http и dns маркируются через mark-routing, а рутрекер прописывается в маршрутах. Если строить мангл, то проще же сделать правило для пометки траффика на адреса из какого-нибудь адрес листа vpn_out
                                                    CLI
                                                    /ip firewall mangle add chain=prerouting action=mark-routing dst-address-list=vpn_out new-routing-mark=vpn_out_mark passthrough=yes

                                                    И сделать маршрут для помеченных пакетов
                                                    CLI
                                                    /ip route
                                                    add dst-address=0.0.0.0/0 gateway=%VPN_INTERFACE% routing-mark=vpn_out distance=1

                                                    После этого можно просто добавлять нужные сервисы в /ip firewall address-list
                                                    Более того, теперь можно вписывать туда доменные имена, он их сам резолвит. Например, рутрекер:
                                                    /ip firewall address-list add address=rutracker.org list=vpn_out
                                                      0
                                                      В обход DPI работает?
                                                        0
                                                        В теории нет, L2TP туннель легко отличим от остального траффика.
                                                          0
                                                          Если использовать VPN на SSTP или OVPN на 443 порту то вполне, а l2tp и айписек при желании даже по порту можно закрыть и никакой DPI не нужен.
                                                          0
                                                          Может кто подскажет VPS для VPN? раньше у VDSina.ru был VPS в нидерландах за 30р, а сейчас нет. вообще ничего подходящего дешевле 2долларов в месяц не нашёл. Дороже не искал.
                                                            0
                                                            У hetzner есть за 2.89 евро
                                                              0
                                                              Оракл бесплатно раздаёт. Если сможете пройти регистрацию…
                                                              www.oracle.com/cloud/free/#always-free
                                                                0
                                                                Спасибо, смог.
                                                                0
                                                                1,5 доллара alienvds
                                                                  0
                                                                  Спасибо за инфу, но уже получил бесплатную от оракла

                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                              Самое читаемое