mcheev Posted April 25, 2018 Posted April 25, 2018 (edited) Мы сами не местные, помогите кто чем может! Есть Микротик с ботом Телеграм, выполняет команды, шлёт оповещения, развлекает как может. Но недавно заблокировали Телеграм и теперь бот не работает. Начал думать как обойти блокировку, арендовал VPN сервер, настроил туннель, чтобы по нему только к определенным, заблокированным адресам лазить из адрес листа и вроде все хорошо, все устройства эти правила соблюдают и ходят как надо, а вот сам Микротик лезет исключительно по основному каналу и как заставить его обращаться к ресурсам из адресного листа через VPN понять не могу. Третий день думу думаю, а результата нет. Подскажите пожалуйста, что делать, где рыть. В качестве вознаграждения с меня VPN сервис на месяц, которым пользуюсь :) Edited April 25, 2018 by mcheev Вставить ник Quote
Kolunchik Posted April 25, 2018 Posted April 25, 2018 Поставьте на vpn с неотжаренным доступом nginx, пропишите у него proxy_pass в location и шлите на него. location /tapi/ { rewrite /tapi/(.*) /$1 break; proxy_pass https://api.telegram.org; } Вставить ник Quote
mcheev Posted April 25, 2018 Author Posted April 25, 2018 К сожалению это просто сервис, поставить на него ничего нельзя :( Поэтому борюсь с Микротиком, заодно и другие интересные ресурсы открылись :) Самое обидное, что за Микротиком работает все отлично, а внутри него никак. Вставить ник Quote
McSea Posted April 25, 2018 Posted April 25, 2018 @mcheev Трафик, исходящий от Микротика (output chain) маркируете ? Вставить ник Quote
mcheev Posted April 25, 2018 Author Posted April 25, 2018 (edited) Попробовал маркировать src 192.168.1.1 - Mangle не видит пакетов dst 192.168.1.1 - Mangle видит пакеты, но завернуть их не получается. Или что-то другое имеется ввиду, в сетях мягко говоря не шарю :) Edited April 25, 2018 by mcheev Вставить ник Quote
McSea Posted April 25, 2018 Posted April 25, 2018 (edited) @mcheev Маркировать по адрес листу, типа такого /ip firewall mangle add action=mark-routing chain=output dst-address-list=to_VPN new-routing-mark=VPN passthrough=no + nat нужен будет в vpn, если не делаете Edited April 25, 2018 by McSea Вставить ник Quote
mcheev Posted April 25, 2018 Author Posted April 25, 2018 (edited) Вроде трафик пошел, но сообщения Телеграм не отправляются, не получаются :( Пинг идёт через VPN, а вот остальной трафик где-то пропадает. Edited April 25, 2018 by mcheev Вставить ник Quote
McSea Posted April 25, 2018 Posted April 25, 2018 (edited) @mcheev Смотрите firewall filter, там должно быть правило accept для established,related на input. Edited April 25, 2018 by McSea Вставить ник Quote
mcheev Posted April 26, 2018 Author Posted April 26, 2018 (edited) 7 часов назад, McSea сказал: @mcheev Смотрите firewall filter, там должно быть правило accept для established,related на input. Такое правило было, не помогло к сожалению Самое для меня не понятное, почему правило drop - output на интерфейсе pptp-vpn не работает. Стоит в самом верху (для теста), пинги до ресурсов интересующих идут и судя по ним, они идут через VPN Edited April 26, 2018 by mcheev Вставить ник Quote
McSea Posted April 26, 2018 Posted April 26, 2018 4 hours ago, mcheev said: Самое для меня не понятное, почему правило drop - output на интерфейсе pptp-vpn не работает. Стоит в самом верху (для теста), пинги до ресурсов интересующих идут и судя по ним, они идут через VPN Потому что при прохождении filter исходящий интерфейс получается WAN, а не VPN. Routing adjustment, который перенаправляет в VPN, выполняется после filter. Не видя конфига, можно долго гадать. Отключите все drop-ы на input и output, проверьте подключение на порт телнетом (/system telnet), 443 порт если https. Вставить ник Quote
mcheev Posted April 26, 2018 Author Posted April 26, 2018 6 часов назад, McSea сказал: Потому что при прохождении filter исходящий интерфейс получается WAN, а не VPN. Routing adjustment, который перенаправляет в VPN, выполняется после filter. Не видя конфига, можно долго гадать. Отключите все drop-ы на input и output, проверьте подключение на порт телнетом (/system telnet), 443 порт если https. В правилах на время теста выставляю разрешение на все входящие/исходящие соединения. Вроде телнет с микротика проходит, по крайней мере к каким-то ресурсам пытается подсоединиться, а к каким-то сразу отказ. Можете подсказать как конфиг выгрузить, где эти параметры были бы указаны? Вставить ник Quote
McSea Posted April 26, 2018 Posted April 26, 2018 (edited) @mcheev конфиг без паролей /export hide-sensitive маршруты (при подключенном vpn) /ip route print without-paging если есть фикс. публичные IP, прикройте частично Edited April 26, 2018 by McSea Вставить ник Quote
mcheev Posted April 27, 2018 Author Posted April 27, 2018 (edited) 22 часа назад, McSea сказал: @mcheev конфиг без паролей /export hide-sensitive маршруты (при подключенном vpn) /ip route print without-paging если есть фикс. публичные IP, прикройте частично Спасибо, что помогаете мне в этой нетривиальной задаче. Надеюсь она осуществима. Скрытый текст Конфиг: # apr/27/2018 21:21:50 by RouterOS 6.42.1 # # model = RouterBOARD 962UiGS-5HacT2HnT # /interface bridge add admin-mac=64:D1:54:5E:AA:DA auto-mac=no comment=defconf name=bridge add arp=reply-only name=bridge_guest /interface ethernet set [ find default-name=ether2 ] name=ether2-master /interface wireless set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \ band=2ghz-b/g/n channel-width=20/40mhz-Ce disabled=no distance=indoors \ frequency=auto mode=ap-bridge ssid=Wi-Fi tx-power-mode=all-rates-fixed \ wireless-protocol=802.11 set [ find default-name=wlan2 ] adaptive-noise-immunity=ap-and-client-mode \ band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee disabled=no distance=\ indoors frequency=auto mode=ap-bridge ssid="Wi-Fi 5G" tx-power-mode=\ all-rates-fixed wireless-protocol=802.11 /interface wireless nstreme set wlan1 enable-polling=no set wlan2 enable-polling=no /interface list add comment=defconf name=WAN add comment=defconf name=LAN add exclude=dynamic name=discover add name=mactel add name=mac-winbox /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\ dynamic-keys supplicant-identity=MikroTik add authentication-types=wpa-psk,wpa2-psk eap-methods="" \ management-protection=allowed name=free_wifi supplicant-identity="" /interface wireless add keepalive-frames=disabled mac-address=66:D1:54:5E:AA:E4 master-interface=\ wlan1 multicast-buffering=disabled name=free_wifi security-profile=\ free_wifi ssid="\F0\9F\9A\80 \D0\91\D0\B5\D1\81\D0\BF\D0\BB\D0\B0\D1\82\D0\ \BD\D1\8B\D0\B9 Wi-Fi" wds-cost-range=0 wds-default-cost=0 wps-mode=\ disabled /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip ipsec proposal set [ find default=yes ] enc-algorithms=\ aes-256-cbc,aes-192-cbc,aes-128-cbc,3des /ip pool add name=dhcp ranges=192.168.1.10-192.168.1.254 add name=dhcp_guest ranges=192.168.2.2-192.168.2.254 /ip dhcp-server add add-arp=yes address-pool=dhcp disabled=no interface=bridge lease-time=3d \ name=defconf add add-arp=yes address-pool=dhcp_guest disabled=no interface=bridge_guest \ lease-time=1d name=dhcp_guest /ppp profile add name=vpn use-encryption=yes add local-address=dhcp name=l2tp remote-address=dhcp use-encryption=yes /interface pptp-client add allow=chap,mschap1,mschap2 connect-to=nl.vpn99.net disabled=no mrru=1500 \ name=pptp-vpn profile=vpn user=xxxxx /queue simple add burst-limit=10M/10M burst-threshold=5M/5M burst-time=10s/10s max-limit=\ 5M/5M name=free_wifi target=192.168.2.0/24 /snmp community set [ find default=yes ] addresses=0.0.0.0/0 /interface bridge port add bridge=bridge comment=defconf interface=ether2-master add bridge=bridge comment=defconf disabled=yes interface=sfp1 add bridge=bridge comment=defconf interface=wlan1 add bridge=bridge comment=defconf interface=wlan2 add bridge=bridge hw=no interface=ether1 add bridge=bridge_guest interface=free_wifi add bridge=bridge interface=ether3 add bridge=bridge interface=ether4 add bridge=bridge interface=ether5 /ip neighbor discovery-settings set discover-interface-list=discover /interface l2tp-server server set allow-fast-path=yes authentication=mschap2 default-profile=l2tp enabled=\ yes one-session-per-host=yes use-ipsec=yes /interface list member add comment=defconf interface=bridge list=LAN add interface=bridge list=discover add interface=ether1 list=mactel add interface=ether2-master list=mactel add interface=ether1 list=mac-winbox add interface=wlan2 list=mactel add interface=ether2-master list=mac-winbox add interface=wlan1 list=mactel add interface=wlan2 list=mac-winbox add interface=wlan1 list=mac-winbox add interface=sfp1 list=WAN /ip address add address=192.168.1.1/24 comment=defconf interface=ether1 network=\ 192.168.1.0 add address=192.168.2.1/24 interface=free_wifi network=192.168.2.0 /ip dhcp-client add comment=defconf dhcp-options=hostname,clientid disabled=no interface=sfp1 \ use-peer-dns=no /ip dhcp-server lease add address=192.168.1.126 comment="Xiaomi MI A1 (\EF\F0\EE\E1\EB\E5\EC\FB \F1 \ \EF\EE\E4\EA\EB\FE\F7\E5\ED\E8\E5\EC)" mac-address=18:F0:E4:33:F1:C0 \ server=defconf /ip dhcp-server network add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24 add address=192.168.2.0/24 gateway=192.168.2.1 /ip dns set allow-remote-requests=yes servers=\ 208.67.222.222,208.67.220.220,77.88.8.8,8.8.8.8 /ip dns static add address=192.168.1.1 name=router.lan /ip firewall address-list add address=0.0.0.0/8 list=BOGON add address=10.0.0.0/8 list=BOGON add address=100.64.0.0/10 list=BOGON add address=127.0.0.0/8 list=BOGON add address=169.254.0.0/16 list=BOGON add address=172.16.0.0/12 list=BOGON add address=192.0.0.0/24 list=BOGON add address=192.0.2.0/24 list=BOGON add address=192.168.0.0/16 list=BOGON add address=198.18.0.0/15 list=BOGON add address=198.51.100.0/24 list=BOGON add address=203.0.113.0/24 list=BOGON add address=224.0.0.0/4 list=BOGON add address=240.0.0.0/4 list=BOGON add address=nnm-club.me list=blackhole add address=2ip.ru list=blackhole add address=yeezystore.ru list=blackhole add address=telegram.org list=blackhole add address=api.telegram.org list=blackhole add address=ya.ru list=blackhole add address=149.154.160.0/20 list=blackhole add address=149.154.164.0/22 list=blackhole add address=91.108.4.0/22 list=blackhole add address=91.108.56.0/22 list=blackhole add address=91.108.8.0/22 list=blackhole /ip firewall filter add action=accept chain=input comment=\ "\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \E2\F1\E5\F5 \E2\F5\EE\E4\FF\F9\E8\F5" add action=accept chain=output comment=\ "\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \E2\F1\E5\F5 \E8\F1\F5\EE\E4\FF\F9\E8\F5" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="WinBox access" dst-port=8291 \ in-interface=sfp1 protocol=tcp src-address-list=!WinBox add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="WinBox access" dst-port=8291 \ in-interface=sfp1 protocol=udp src-address-list=!WinBox add action=drop chain=input comment="WinBox access" dst-port=8291 \ in-interface=sfp1 protocol=tcp src-address-list=!WinBox add action=accept chain=input comment="WinBox access" dst-port=8291 \ in-interface=sfp1 protocol=tcp src-address-list=WinBox add action=drop chain=input comment="drop echo request" icmp-options=8:0 \ in-interface=sfp1 protocol=icmp add action=drop chain=input comment="BOGON drop" in-interface=sfp1 \ src-address-list=BOGON add action=drop chain=input comment="dropping port scanners" \ src-address-list=blocklist add action=drop chain=forward comment="dropping port scanners" \ src-address-list=blocklist add action=drop chain=input comment=\ "dropping port scanners (port scanners list)" src-address-list=\ "port scanners" add action=drop chain=forward comment=\ "dropping port scanners (port scanners list)" src-address-list=\ "port scanners" add action=drop chain=input comment="drop DNS" dst-port=53 in-interface=sfp1 \ protocol=tcp src-address-list=blocklist add action=drop chain=input comment="drop DNS" dst-port=53 in-interface=sfp1 \ protocol=udp src-address-list=blocklist add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=3h chain=input comment="port scanners to list" \ in-interface=sfp1 protocol=tcp psd=21,3s,3,1 add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=3h chain=input comment="NMAP FIN Stealth scan" \ in-interface=sfp1 protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=3h chain=input comment="SYN/FIN scan" in-interface=\ sfp1 protocol=tcp tcp-flags=fin,syn add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=3h chain=input comment="SYN/RST scan" in-interface=\ sfp1 protocol=tcp tcp-flags=syn,rst add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=3h chain=input comment="FIN/PSH/URG scan" \ in-interface=sfp1 protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=3h chain=input comment="ALL/ALL scan" in-interface=\ sfp1 protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=3h chain=input comment="NMAP NULL scan" \ in-interface=sfp1 protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=22 \ protocol=tcp src-port="" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=22 \ protocol=udp src-port="" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=23 \ protocol=tcp src-port="" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=23 \ protocol=udp src-port="" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=\ 3899 protocol=tcp src-port="" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=\ 5060 protocol=tcp src-port="" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=\ 5060 protocol=udp src-port="" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=\ 8728 protocol=tcp src-port="" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=\ 8728 protocol=udp src-port="" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=\ 8729 protocol=tcp src-port="" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=\ 8729 protocol=udp src-port="" add action=drop chain=input comment=l2tp_portoff1 disabled=yes dst-port=1701 \ protocol=udp add action=drop chain=input comment=l2tp_portoff2 disabled=yes dst-port=4500 \ protocol=udp add action=drop chain=input comment=l2tp_portoff3 disabled=yes dst-port=500 \ protocol=udp add action=accept chain=input comment=l2tp dst-port=1701 protocol=udp add action=accept chain=input comment=l2tp dst-port=4500 protocol=udp add action=accept chain=input comment=l2tp dst-port=500 protocol=udp add action=accept chain=forward comment="defconf: accept in ipsec policy" \ ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" \ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related add action=accept chain=forward comment=\ "defconf: accept established,related, untracked" connection-state=\ established,related,untracked add action=accept chain=input comment=webacess disabled=yes dst-port=80 \ protocol=tcp add action=accept chain=input comment="ICMP allow limited" in-interface=sfp1 \ limit=50/5s,2:packet protocol=icmp add action=accept chain=icmp comment="ICMP echo reply" icmp-options=0:0 \ protocol=icmp add action=accept chain=icmp comment="ICMP net unreachable" icmp-options=3:0 \ protocol=icmp add action=accept chain=icmp comment="ICMP host unreachable" icmp-options=3:1 \ protocol=icmp add action=accept chain=icmp comment=\ "ICMP host unreachable fragmentation required" icmp-options=3:4 protocol=\ icmp add action=accept chain=icmp comment="ICMP allow source quench" icmp-options=\ 4:0 protocol=icmp add action=accept chain=icmp comment="ICMP allow echo request" icmp-options=\ 8:0 protocol=icmp add action=accept chain=icmp comment="ICMP allow time exceed" icmp-options=\ 11:0 protocol=icmp add action=accept chain=icmp comment="ICMP allow parameter bad" icmp-options=\ 12:0 protocol=icmp add action=drop chain=icmp comment="ICMP deny all other types" add action=accept chain=input comment="allow established connections" \ connection-state=established add action=accept chain=forward comment="allow established connections" \ connection-state=established add action=accept chain=input comment="allow related connections" \ connection-state=related add action=accept chain=forward comment="allow related connections" \ connection-state=related add action=drop chain=forward comment="defconf: drop invalid" \ connection-state=invalid add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface-list=WAN add action=accept chain=input protocol=icmp add action=accept chain=input connection-state=established add action=accept chain=input connection-state=related add action=drop chain=input in-interface=sfp1 /ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=blackhole \ new-routing-mark=bh passthrough=yes add action=mark-routing chain=output dst-address-list=blackhole \ new-routing-mark=mikrotik passthrough=no /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" \ ipsec-policy=out,none out-interface-list=WAN add action=masquerade chain=srcnat out-interface=sfp1 add action=masquerade chain=srcnat out-interface=pptp-vpn /ip route add distance=1 gateway=pptp-vpn routing-mark=bh add distance=1 gateway=pptp-vpn routing-mark=mikrotik /ip route rule add action=drop dst-address=192.168.1.0/24 src-address=192.168.2.0/24 add action=drop dst-address=192.168.2.0/24 src-address=192.168.1.0/24 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /ip upnp set enabled=yes /ip upnp interfaces add interface=bridge type=internal add interface=sfp1 type=external /ppp secret add name=xxxxx1 profile=l2tp service=l2tp add name=xxxxx2 profile=l2tp service=l2tp add name=xxxxx3 profile=l2tp service=l2tp /system clock set time-zone-name=Europe/Moscow /system routerboard settings set silent-boot=no /tool mac-server set allowed-interface-list=mactel /tool mac-server mac-winbox set allowed-interface-list=mac-winbox /tool mac-server ping set enabled=no Маршруты: [xxxxx@MikroTik] > /ip route print without-paging Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 pptp-vpn 1 1 A S 0.0.0.0/0 pptp-vpn 1 2 ADS 0.0.0.0/0 89.2X8.189.XX 1 3 ADC 10.112.112.140/32 10.180.9.67 pptp-vpn 0 4 ADC 89.248.189.72/29 89.2X8.189.XX sfp1 0 5 ADC 192.168.1.0/24 192.168.1.1 bridge 0 0 A S 0.0.0.0/0 pptp-vpn 1 заворачиваются пакеты маркированные bh 1 A S 0.0.0.0/0 pptp-vpn 1 заворачиваются пакеты маркированные mikrotik (трафик с самого устройства) Edited April 27, 2018 by mcheev Вставить ник Quote
McSea Posted April 28, 2018 Posted April 28, 2018 (edited) @mcheev Отдельная таблица (routing mark) для трафика с микротика не нужна. Как API телеграм работает не знаю, телеграмом никогда не пользовался. Но простой тест телнетом должен проходить, т.е. на /system telnet api.telegram.org 443 ответ Connected to 149.154.167.220. Escape character is '^]'. Далее если ввести любой символ (т.е. буква + enter) HTTP/1.1 400 Bad Request Server: nginx/1.12.2 (и т.д.) Файрвол input потом прикрыть надо будет. Edited April 28, 2018 by McSea Вставить ник Quote
mcheev Posted May 1, 2018 Author Posted May 1, 2018 (edited) @McSea Через Telnet все ок. Скрытый текст [mcheev@MikroTik] > /system telnet api.telegram.org 443 Trying 149.154.167.220... Connected to 149.154.167.220. Escape character is '^]'. k HTTP/1.1 400 Bad Request Server: nginx/1.12.2 Date: Tue, 01 May 2018 19:04:10 GMT Content-Type: text/html Content-Length: 173 Connection: close Access-Control-Allow-Origin: * Access-Control-Expose-Headers: Content-Length,Content-Type,Date,Server,Connection <html> <head><title>400 Bad Request</title></head> <body bgcolor="white"> <center><h1>400 Bad Request</h1></center> <hr><center>nginx/1.12.2</center> </body> </html> Connection closed by foreign host. Welcome back! API на Микротике работает чисто условно. Устройство скачивает файл getUpdates :tool fetch url=("https://api.telegram.org/".$botID."/getUpdates") ; Пример ссылки: https://api.telegram.org/bot4334584910:AAEPmjlh84N62Lv/getUpdates Требуемые порты для скачивания: 443, 80, 88, 8443 Далее этот файл парсится и выполняется скрипт, а отправка сообщения обратно происходит командой /tool fetch url=("https://api.telegram.org/bot477936908:AAELq33be9YyRvdMjLmu_FJ1sPy0w9IХХХХ/sendMessage?chat_id=20140ХХХХ&text=TECT") keep-result=no; Если соединение идет через провайдера (провайдер пока не заблокировал) то все отлично, стоит пустить через VPN - файл getUpdates не скачивается, сообщения не отправляется. Edited May 1, 2018 by mcheev Вставить ник Quote
McSea Posted May 2, 2018 Posted May 2, 2018 @mcheev Настройте VPN через L2TP/IPsec. Настройки у них на сайте посмотрите для iOS/macOS. Дополнительно нужно поставить PFS Group = none в default proposal (IP - IPsec - Proposals), а если для L2TP сервера нужны другие настройки, нужно создать (скопировать/поправить) новый proposal и его в шаблон прописать (IP - IPsec - Policies - *T). Вставить ник Quote
LostSoul Posted May 3, 2018 Posted May 3, 2018 на какие только долбанные извращения не пойдут люди, чтоб привязать свою инфраструктуру к чат-серверам какого-то беглого фрика.... Ведь казалось бы, что может быть проще /tool fetch url=("https://xmpp.our_server.ru:5281/msg/user@domain.ru"),http-data="ТЕСТ",http-content-type="text/plain",user=xmpp_user,password=secret keep-result=no; И отвечаешь за всё САМ без всяких левых посторонних серверов. Вставить ник Quote
mcheev Posted May 4, 2018 Author Posted May 4, 2018 (edited) @McSea Спасибо, поправил, но результатов не дало. На самом деле все очень странно, чего-то явно не хватает. Например rutracker.org тоже не открывается с Микротика, хотя если напрямую через VPN, то все отлично. Сейчас ситуация следующая - telegram.org открывается, api.telegram.org не открывается, как оказалось rutracker тоже не доступен, но напрямую (без Mikrotik) через vpn все работает. Остальные сайты (ya.ru, 2ip.ru, nnm и пр.) открываются отлично через VPN. По рутрекеру для эксперимента прописал DNS /ip dns static add address=195.82.146.214 name=rutracker.org ttl=0s /ip route add distance=1 dst-address=195.82.146.214 gateway=pptp-out1 Но результата не дало. Edited May 4, 2018 by mcheev Вставить ник Quote
McSea Posted May 7, 2018 Posted May 7, 2018 @mcheev change-tcp-mss=yes в профиле поставьте, не заметил сразу. Вставить ник Quote
mcheev Posted May 8, 2018 Author Posted May 8, 2018 @McSea Вчера как-то случайно это и сделал :) Специально зашел написать об этом, чтобы помочь другим, уверен, что не я один так мучился. Огромное спасибо за помощь! Вставить ник Quote
leomaks Posted October 20, 2018 Posted October 20, 2018 (edited) Если можно, распишите пожалуйста как в итоге надо настроить. Тоже бот на микротике был, а теперь к api.telegram.org нет доступа. VPN куплю, а настроить не осилю. Edited October 20, 2018 by leomaks Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.