Jump to content
Калькуляторы

Mikrotik через VPN

Мы сами не местные, помогите кто чем может!

Есть Микротик с ботом Телеграм, выполняет команды, шлёт оповещения, развлекает как может. Но недавно заблокировали Телеграм и теперь бот не работает. Начал думать как обойти блокировку, арендовал VPN сервер, настроил туннель, чтобы по нему только к определенным, заблокированным адресам лазить из адрес листа и вроде все хорошо, все устройства эти правила соблюдают и ходят как надо, а вот сам Микротик лезет исключительно по основному каналу и как заставить его обращаться к ресурсам из адресного листа через VPN понять не могу. Третий день думу думаю, а результата нет.

Подскажите пожалуйста, что делать, где рыть.

 

В качестве вознаграждения с меня VPN сервис на месяц, которым пользуюсь :)

Edited by mcheev

Share this post


Link to post
Share on other sites

Поставьте на vpn с неотжаренным доступом nginx, пропишите у него proxy_pass в location и шлите на него.

 

location /tapi/ {                                                                           
  rewrite /tapi/(.*) /$1 break;                                                           
  proxy_pass https://api.telegram.org;                                                    
}

 

Share this post


Link to post
Share on other sites

К сожалению это просто сервис, поставить на него ничего нельзя :(

Поэтому борюсь с Микротиком, заодно и другие интересные ресурсы открылись :)

Самое обидное, что за Микротиком работает все отлично, а внутри него никак.

Share this post


Link to post
Share on other sites

Попробовал маркировать

src 192.168.1.1 - Mangle не видит пакетов

dst 192.168.1.1 - Mangle видит пакеты, но завернуть их не получается.

 

Или что-то другое имеется ввиду, в сетях мягко говоря не шарю :)

Edited by mcheev

Share this post


Link to post
Share on other sites

@mcheev 

Маркировать по адрес листу, типа такого

/ip firewall mangle
add action=mark-routing chain=output dst-address-list=to_VPN new-routing-mark=VPN passthrough=no

+ nat нужен будет в vpn, если не делаете

Edited by McSea

Share this post


Link to post
Share on other sites

Вроде трафик пошел, но сообщения Телеграм не отправляются, не получаются :(

 

Пинг идёт через VPN, а вот остальной трафик где-то пропадает.

Edited by mcheev

Share this post


Link to post
Share on other sites

@mcheev 

 

Смотрите firewall filter, там должно быть правило accept для established,related на input.

 

 

Edited by McSea

Share this post


Link to post
Share on other sites

7 часов назад, McSea сказал:

@mcheev 

 

Смотрите firewall filter, там должно быть правило accept для established,related на input.

 

 

 

 

Такое правило было, не помогло к сожалению

Самое для меня не понятное, почему правило drop - output на интерфейсе pptp-vpn не работает. Стоит в самом верху (для теста), пинги до ресурсов интересующих идут и судя по ним, они идут через VPN

Edited by mcheev

Share this post


Link to post
Share on other sites

4 hours ago, mcheev said:

Самое для меня не понятное, почему правило drop - output на интерфейсе pptp-vpn не работает. Стоит в самом верху (для теста), пинги до ресурсов интересующих идут и судя по ним, они идут через VPN

Потому что при прохождении filter исходящий интерфейс получается WAN, а не VPN. Routing adjustment, который перенаправляет в VPN, выполняется после filter.

Не видя конфига, можно долго гадать. Отключите все drop-ы на input и output, проверьте подключение на порт телнетом (/system telnet), 443 порт если https.

Share this post


Link to post
Share on other sites

6 часов назад, McSea сказал:

Потому что при прохождении filter исходящий интерфейс получается WAN, а не VPN. Routing adjustment, который перенаправляет в VPN, выполняется после filter.

Не видя конфига, можно долго гадать. Отключите все drop-ы на input и output, проверьте подключение на порт телнетом (/system telnet), 443 порт если https.

В правилах на время теста выставляю разрешение на все входящие/исходящие соединения. Вроде телнет с микротика проходит, по крайней мере к каким-то ресурсам пытается подсоединиться, а к каким-то сразу отказ.

 

Можете подсказать как конфиг выгрузить, где эти параметры были бы указаны?

Share this post


Link to post
Share on other sites

@mcheev 

конфиг без паролей

/export hide-sensitive

маршруты (при подключенном vpn)

/ip route print without-paging

если есть фикс. публичные IP, прикройте частично

Edited by McSea

Share this post


Link to post
Share on other sites

22 часа назад, McSea сказал:

@mcheev 

конфиг без паролей


/export hide-sensitive

маршруты (при подключенном vpn)


/ip route print without-paging

если есть фикс. публичные IP, прикройте частично

 

Спасибо, что помогаете мне в этой нетривиальной задаче. Надеюсь она осуществима.

Скрытый текст

Конфиг:

# apr/27/2018 21:21:50 by RouterOS 6.42.1
#
# model = RouterBOARD 962UiGS-5HacT2HnT
#
/interface bridge
add admin-mac=64:D1:54:5E:AA:DA auto-mac=no comment=defconf name=bridge
add arp=reply-only name=bridge_guest
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
    band=2ghz-b/g/n channel-width=20/40mhz-Ce disabled=no distance=indoors \
    frequency=auto mode=ap-bridge ssid=Wi-Fi tx-power-mode=all-rates-fixed \
    wireless-protocol=802.11
set [ find default-name=wlan2 ] adaptive-noise-immunity=ap-and-client-mode \
    band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee disabled=no distance=\
    indoors frequency=auto mode=ap-bridge ssid="Wi-Fi 5G" tx-power-mode=\
    all-rates-fixed wireless-protocol=802.11
/interface wireless nstreme
set wlan1 enable-polling=no
set wlan2 enable-polling=no
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
    dynamic-keys supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed name=free_wifi supplicant-identity=""
/interface wireless
add keepalive-frames=disabled mac-address=66:D1:54:5E:AA:E4 master-interface=\
    wlan1 multicast-buffering=disabled name=free_wifi security-profile=\
    free_wifi ssid="\F0\9F\9A\80 \D0\91\D0\B5\D1\81\D0\BF\D0\BB\D0\B0\D1\82\D0\
    \BD\D1\8B\D0\B9 Wi-Fi" wds-cost-range=0 wds-default-cost=0 wps-mode=\
    disabled
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
    aes-256-cbc,aes-192-cbc,aes-128-cbc,3des
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.254
add name=dhcp_guest ranges=192.168.2.2-192.168.2.254
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=bridge lease-time=3d \
    name=defconf
add add-arp=yes address-pool=dhcp_guest disabled=no interface=bridge_guest \
    lease-time=1d name=dhcp_guest
/ppp profile
add name=vpn use-encryption=yes
add local-address=dhcp name=l2tp remote-address=dhcp use-encryption=yes
/interface pptp-client
add allow=chap,mschap1,mschap2 connect-to=nl.vpn99.net disabled=no mrru=1500 \
    name=pptp-vpn profile=vpn user=xxxxx
/queue simple
add burst-limit=10M/10M burst-threshold=5M/5M burst-time=10s/10s max-limit=\
    5M/5M name=free_wifi target=192.168.2.0/24
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf disabled=yes interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge hw=no interface=ether1
add bridge=bridge_guest interface=free_wifi
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface l2tp-server server
set allow-fast-path=yes authentication=mschap2 default-profile=l2tp enabled=\
    yes one-session-per-host=yes use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add interface=bridge list=discover
add interface=ether1 list=mactel
add interface=ether2-master list=mactel
add interface=ether1 list=mac-winbox
add interface=wlan2 list=mactel
add interface=ether2-master list=mac-winbox
add interface=wlan1 list=mactel
add interface=wlan2 list=mac-winbox
add interface=wlan1 list=mac-winbox
add interface=sfp1 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether1 network=\
    192.168.1.0
add address=192.168.2.1/24 interface=free_wifi network=192.168.2.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=sfp1 \
    use-peer-dns=no
/ip dhcp-server lease
add address=192.168.1.126 comment="Xiaomi MI A1 (\EF\F0\EE\E1\EB\E5\EC\FB \F1 \
    \EF\EE\E4\EA\EB\FE\F7\E5\ED\E8\E5\EC)" mac-address=18:F0:E4:33:F1:C0 \
    server=defconf
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24
add address=192.168.2.0/24 gateway=192.168.2.1
/ip dns
set allow-remote-requests=yes servers=\
    208.67.222.222,208.67.220.220,77.88.8.8,8.8.8.8
/ip dns static
add address=192.168.1.1 name=router.lan
/ip firewall address-list
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON
add address=nnm-club.me list=blackhole
add address=2ip.ru list=blackhole
add address=yeezystore.ru list=blackhole
add address=telegram.org list=blackhole
add address=api.telegram.org list=blackhole
add address=ya.ru list=blackhole
add address=149.154.160.0/20 list=blackhole
add address=149.154.164.0/22 list=blackhole
add address=91.108.4.0/22 list=blackhole
add address=91.108.56.0/22 list=blackhole
add address=91.108.8.0/22 list=blackhole
/ip firewall filter
add action=accept chain=input comment=\
    "\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \E2\F1\E5\F5 \E2\F5\EE\E4\FF\F9\E8\F5"
add action=accept chain=output comment=\
    "\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \E2\F1\E5\F5 \E8\F1\F5\EE\E4\FF\F9\E8\F5"
add action=add-src-to-address-list address-list=blocklist \
    address-list-timeout=3h chain=input comment="WinBox access" dst-port=8291 \
    in-interface=sfp1 protocol=tcp src-address-list=!WinBox
add action=add-src-to-address-list address-list=blocklist \
    address-list-timeout=3h chain=input comment="WinBox access" dst-port=8291 \
    in-interface=sfp1 protocol=udp src-address-list=!WinBox
add action=drop chain=input comment="WinBox access" dst-port=8291 \
    in-interface=sfp1 protocol=tcp src-address-list=!WinBox
add action=accept chain=input comment="WinBox access" dst-port=8291 \
    in-interface=sfp1 protocol=tcp src-address-list=WinBox
add action=drop chain=input comment="drop echo request" icmp-options=8:0 \
    in-interface=sfp1 protocol=icmp
add action=drop chain=input comment="BOGON drop" in-interface=sfp1 \
    src-address-list=BOGON
add action=drop chain=input comment="dropping port scanners" \
    src-address-list=blocklist
add action=drop chain=forward comment="dropping port scanners" \
    src-address-list=blocklist
add action=drop chain=input comment=\
    "dropping port scanners (port scanners list)" src-address-list=\
    "port scanners"
add action=drop chain=forward comment=\
    "dropping port scanners (port scanners list)" src-address-list=\
    "port scanners"
add action=drop chain=input comment="drop DNS" dst-port=53 in-interface=sfp1 \
    protocol=tcp src-address-list=blocklist
add action=drop chain=input comment="drop DNS" dst-port=53 in-interface=sfp1 \
    protocol=udp src-address-list=blocklist
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=3h chain=input comment="port scanners to list" \
    in-interface=sfp1 protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=3h chain=input comment="NMAP FIN Stealth scan" \
    in-interface=sfp1 protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=3h chain=input comment="SYN/FIN scan" in-interface=\
    sfp1 protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=3h chain=input comment="SYN/RST scan" in-interface=\
    sfp1 protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=3h chain=input comment="FIN/PSH/URG scan" \
    in-interface=sfp1 protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=3h chain=input comment="ALL/ALL scan" in-interface=\
    sfp1 protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=3h chain=input comment="NMAP NULL scan" \
    in-interface=sfp1 protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=blocklist \
    address-list-timeout=3h chain=input comment="protection scan" dst-port=22 \
    protocol=tcp src-port=""
add action=add-src-to-address-list address-list=blocklist \
    address-list-timeout=3h chain=input comment="protection scan" dst-port=22 \
    protocol=udp src-port=""
add action=add-src-to-address-list address-list=blocklist \
    address-list-timeout=3h chain=input comment="protection scan" dst-port=23 \
    protocol=tcp src-port=""
add action=add-src-to-address-list address-list=blocklist \
    address-list-timeout=3h chain=input comment="protection scan" dst-port=23 \
    protocol=udp src-port=""
add action=add-src-to-address-list address-list=blocklist \
    address-list-timeout=3h chain=input comment="protection scan" dst-port=\
    3899 protocol=tcp src-port=""
add action=add-src-to-address-list address-list=blocklist \
    address-list-timeout=3h chain=input comment="protection scan" dst-port=\
    5060 protocol=tcp src-port=""
add action=add-src-to-address-list address-list=blocklist \
    address-list-timeout=3h chain=input comment="protection scan" dst-port=\
    5060 protocol=udp src-port=""
add action=add-src-to-address-list address-list=blocklist \
    address-list-timeout=3h chain=input comment="protection scan" dst-port=\
    8728 protocol=tcp src-port=""
add action=add-src-to-address-list address-list=blocklist \
    address-list-timeout=3h chain=input comment="protection scan" dst-port=\
    8728 protocol=udp src-port=""
add action=add-src-to-address-list address-list=blocklist \
    address-list-timeout=3h chain=input comment="protection scan" dst-port=\
    8729 protocol=tcp src-port=""
add action=add-src-to-address-list address-list=blocklist \
    address-list-timeout=3h chain=input comment="protection scan" dst-port=\
    8729 protocol=udp src-port=""
add action=drop chain=input comment=l2tp_portoff1 disabled=yes dst-port=1701 \
    protocol=udp
add action=drop chain=input comment=l2tp_portoff2 disabled=yes dst-port=4500 \
    protocol=udp
add action=drop chain=input comment=l2tp_portoff3 disabled=yes dst-port=500 \
    protocol=udp
add action=accept chain=input comment=l2tp dst-port=1701 protocol=udp
add action=accept chain=input comment=l2tp dst-port=4500 protocol=udp
add action=accept chain=input comment=l2tp dst-port=500 protocol=udp
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment=webacess disabled=yes dst-port=80 \
    protocol=tcp
add action=accept chain=input comment="ICMP allow limited" in-interface=sfp1 \
    limit=50/5s,2:packet protocol=icmp
add action=accept chain=icmp comment="ICMP echo reply" icmp-options=0:0 \
    protocol=icmp
add action=accept chain=icmp comment="ICMP net unreachable" icmp-options=3:0 \
    protocol=icmp
add action=accept chain=icmp comment="ICMP host unreachable" icmp-options=3:1 \
    protocol=icmp
add action=accept chain=icmp comment=\
    "ICMP host unreachable fragmentation required" icmp-options=3:4 protocol=\
    icmp
add action=accept chain=icmp comment="ICMP allow source quench" icmp-options=\
    4:0 protocol=icmp
add action=accept chain=icmp comment="ICMP allow echo request" icmp-options=\
    8:0 protocol=icmp
add action=accept chain=icmp comment="ICMP allow time exceed" icmp-options=\
    11:0 protocol=icmp
add action=accept chain=icmp comment="ICMP allow parameter bad" icmp-options=\
    12:0 protocol=icmp
add action=drop chain=icmp comment="ICMP deny all other types"
add action=accept chain=input comment="allow established connections" \
    connection-state=established
add action=accept chain=forward comment="allow established connections" \
    connection-state=established
add action=accept chain=input comment="allow related connections" \
    connection-state=related
add action=accept chain=forward comment="allow related connections" \
    connection-state=related
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface=sfp1
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=blackhole \
    new-routing-mark=bh passthrough=yes
add action=mark-routing chain=output dst-address-list=blackhole \
    new-routing-mark=mikrotik passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat out-interface=sfp1
add action=masquerade chain=srcnat out-interface=pptp-vpn
/ip route
add distance=1 gateway=pptp-vpn routing-mark=bh
add distance=1 gateway=pptp-vpn routing-mark=mikrotik
/ip route rule
add action=drop dst-address=192.168.1.0/24 src-address=192.168.2.0/24
add action=drop dst-address=192.168.2.0/24 src-address=192.168.1.0/24
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=sfp1 type=external
/ppp secret
add name=xxxxx1 profile=l2tp service=l2tp
add name=xxxxx2 profile=l2tp service=l2tp
add name=xxxxx3 profile=l2tp service=l2tp
/system clock
set time-zone-name=Europe/Moscow
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox
/tool mac-server ping
set enabled=no

Маршруты:
[xxxxx@MikroTik] > /ip route print without-paging     
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          pptp-vpn                  1
 1 A S  0.0.0.0/0                          pptp-vpn                  1
 2 ADS  0.0.0.0/0                          89.2X8.189.XX             1
 3 ADC  10.112.112.140/32  10.180.9.67     pptp-vpn                  0
 4 ADC  89.248.189.72/29   89.2X8.189.XX   sfp1                      0
 5 ADC  192.168.1.0/24     192.168.1.1     bridge                    0

 

 

 0 A S  0.0.0.0/0                          pptp-vpn                  1  заворачиваются пакеты маркированные bh
 1 A S  0.0.0.0/0                          pptp-vpn                  1  заворачиваются пакеты маркированные mikrotik (трафик с самого устройства)
Edited by mcheev

Share this post


Link to post
Share on other sites

@mcheev 

 

Отдельная таблица (routing mark) для трафика с микротика не нужна.

 

Как API телеграм работает не знаю, телеграмом никогда не пользовался.

Но простой тест телнетом должен проходить, т.е. на

    /system telnet api.telegram.org 443 

ответ

  Connected to 149.154.167.220.
  Escape character is '^]'.
 

Далее если ввести любой символ (т.е. буква + enter)

  HTTP/1.1 400 Bad Request
  Server: nginx/1.12.2
  (и т.д.)

 

Файрвол input потом прикрыть надо будет.

Edited by McSea

Share this post


Link to post
Share on other sites

@McSea 

Через Telnet все ок.

Скрытый текст

[mcheev@MikroTik] > /system telnet api.telegram.org 443 
Trying 149.154.167.220...
Connected to 149.154.167.220.
Escape character is '^]'.
k
HTTP/1.1 400 Bad Request
Server: nginx/1.12.2
Date: Tue, 01 May 2018 19:04:10 GMT
Content-Type: text/html
Content-Length: 173
Connection: close
Access-Control-Allow-Origin: *
Access-Control-Expose-Headers: Content-Length,Content-Type,Date,Server,Connection

<html>
<head><title>400 Bad Request</title></head>
<body bgcolor="white">
<center><h1>400 Bad Request</h1></center>
<hr><center>nginx/1.12.2</center>
</body>
</html>
Connection closed by foreign host.

Welcome back!

 

API на Микротике работает чисто условно.

Устройство скачивает файл getUpdates

:tool fetch url=("https://api.telegram.org/".$botID."/getUpdates") ;
Пример ссылки: https://api.telegram.org/bot4334584910:AAEPmjlh84N62Lv/getUpdates

Требуемые порты для скачивания: 443, 80, 88, 8443

Далее этот файл парсится и выполняется скрипт, а отправка сообщения обратно происходит командой

/tool fetch url=("https://api.telegram.org/bot477936908:AAELq33be9YyRvdMjLmu_FJ1sPy0w9IХХХХ/sendMessage?chat_id=20140ХХХХ&text=TECT") keep-result=no; 

Если соединение идет через провайдера (провайдер пока не заблокировал) то все отлично, стоит пустить через VPN - файл getUpdates не скачивается, сообщения не отправляется.

Edited by mcheev

Share this post


Link to post
Share on other sites

@mcheev 

Настройте VPN через L2TP/IPsec. Настройки у них на сайте посмотрите для iOS/macOS.

Дополнительно нужно поставить PFS Group = none в default proposal (IP - IPsec - Proposals), а если для L2TP сервера нужны другие настройки, нужно создать (скопировать/поправить) новый proposal и его в шаблон прописать (IP - IPsec - Policies - *T).

Share this post


Link to post
Share on other sites

на какие только долбанные извращения не пойдут люди, чтоб привязать свою инфраструктуру к чат-серверам какого-то беглого фрика....

 

Ведь казалось бы, что может быть проще

/tool fetch url=("https://xmpp.our_server.ru:5281/msg/user@domain.ru"),http-data="ТЕСТ",http-content-type="text/plain",user=xmpp_user,password=secret keep-result=no;

 

И отвечаешь за всё САМ без всяких левых посторонних серверов.

Share this post


Link to post
Share on other sites

@McSea 

Спасибо, поправил, но результатов не дало.

На самом деле все очень странно, чего-то явно не хватает. Например rutracker.org тоже не открывается с Микротика, хотя если напрямую через VPN, то все отлично.

Сейчас ситуация следующая - telegram.org открывается, api.telegram.org не открывается, как оказалось rutracker тоже не доступен, но напрямую (без Mikrotik) через vpn все работает.

 

Остальные сайты (ya.ru, 2ip.ru, nnm и пр.) открываются отлично через VPN.

 

По рутрекеру для эксперимента прописал DNS

/ip dns static add address=195.82.146.214 name=rutracker.org ttl=0s
/ip route add distance=1 dst-address=195.82.146.214 gateway=pptp-out1

Но результата не дало.

Edited by mcheev

Share this post


Link to post
Share on other sites

@McSea 

Вчера как-то случайно это и сделал :)

Специально зашел написать об этом, чтобы помочь другим, уверен, что не я один так мучился.

 

Огромное спасибо за помощь!

Share this post


Link to post
Share on other sites

Если можно, распишите пожалуйста как в итоге надо настроить.

Тоже бот на микротике был, а теперь к api.telegram.org нет доступа.

VPN куплю, а настроить не осилю.

Edited by leomaks

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.