mcheev Posted April 25, 2018 (edited) · Report post Мы сами не местные, помогите кто чем может! Есть Микротик с ботом Телеграм, выполняет команды, шлёт оповещения, развлекает как может. Но недавно заблокировали Телеграм и теперь бот не работает. Начал думать как обойти блокировку, арендовал VPN сервер, настроил туннель, чтобы по нему только к определенным, заблокированным адресам лазить из адрес листа и вроде все хорошо, все устройства эти правила соблюдают и ходят как надо, а вот сам Микротик лезет исключительно по основному каналу и как заставить его обращаться к ресурсам из адресного листа через VPN понять не могу. Третий день думу думаю, а результата нет. Подскажите пожалуйста, что делать, где рыть. В качестве вознаграждения с меня VPN сервис на месяц, которым пользуюсь :) Edited April 25, 2018 by mcheev Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kolunchik Posted April 25, 2018 · Report post Поставьте на vpn с неотжаренным доступом nginx, пропишите у него proxy_pass в location и шлите на него. location /tapi/ { rewrite /tapi/(.*) /$1 break; proxy_pass https://api.telegram.org; } Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mcheev Posted April 25, 2018 · Report post К сожалению это просто сервис, поставить на него ничего нельзя :( Поэтому борюсь с Микротиком, заодно и другие интересные ресурсы открылись :) Самое обидное, что за Микротиком работает все отлично, а внутри него никак. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted April 25, 2018 · Report post @mcheev Трафик, исходящий от Микротика (output chain) маркируете ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mcheev Posted April 25, 2018 (edited) · Report post Попробовал маркировать src 192.168.1.1 - Mangle не видит пакетов dst 192.168.1.1 - Mangle видит пакеты, но завернуть их не получается. Или что-то другое имеется ввиду, в сетях мягко говоря не шарю :) Edited April 25, 2018 by mcheev Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted April 25, 2018 (edited) · Report post @mcheev Маркировать по адрес листу, типа такого /ip firewall mangle add action=mark-routing chain=output dst-address-list=to_VPN new-routing-mark=VPN passthrough=no + nat нужен будет в vpn, если не делаете Edited April 25, 2018 by McSea Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mcheev Posted April 25, 2018 (edited) · Report post Вроде трафик пошел, но сообщения Телеграм не отправляются, не получаются :( Пинг идёт через VPN, а вот остальной трафик где-то пропадает. Edited April 25, 2018 by mcheev Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted April 25, 2018 (edited) · Report post @mcheev Смотрите firewall filter, там должно быть правило accept для established,related на input. Edited April 25, 2018 by McSea Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mcheev Posted April 26, 2018 (edited) · Report post 7 часов назад, McSea сказал: @mcheev Смотрите firewall filter, там должно быть правило accept для established,related на input. Такое правило было, не помогло к сожалению Самое для меня не понятное, почему правило drop - output на интерфейсе pptp-vpn не работает. Стоит в самом верху (для теста), пинги до ресурсов интересующих идут и судя по ним, они идут через VPN Edited April 26, 2018 by mcheev Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted April 26, 2018 · Report post 4 hours ago, mcheev said: Самое для меня не понятное, почему правило drop - output на интерфейсе pptp-vpn не работает. Стоит в самом верху (для теста), пинги до ресурсов интересующих идут и судя по ним, они идут через VPN Потому что при прохождении filter исходящий интерфейс получается WAN, а не VPN. Routing adjustment, который перенаправляет в VPN, выполняется после filter. Не видя конфига, можно долго гадать. Отключите все drop-ы на input и output, проверьте подключение на порт телнетом (/system telnet), 443 порт если https. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mcheev Posted April 26, 2018 · Report post 6 часов назад, McSea сказал: Потому что при прохождении filter исходящий интерфейс получается WAN, а не VPN. Routing adjustment, который перенаправляет в VPN, выполняется после filter. Не видя конфига, можно долго гадать. Отключите все drop-ы на input и output, проверьте подключение на порт телнетом (/system telnet), 443 порт если https. В правилах на время теста выставляю разрешение на все входящие/исходящие соединения. Вроде телнет с микротика проходит, по крайней мере к каким-то ресурсам пытается подсоединиться, а к каким-то сразу отказ. Можете подсказать как конфиг выгрузить, где эти параметры были бы указаны? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted April 26, 2018 (edited) · Report post @mcheev конфиг без паролей /export hide-sensitive маршруты (при подключенном vpn) /ip route print without-paging если есть фикс. публичные IP, прикройте частично Edited April 26, 2018 by McSea Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mcheev Posted April 27, 2018 (edited) · Report post 22 часа назад, McSea сказал: @mcheev конфиг без паролей /export hide-sensitive маршруты (при подключенном vpn) /ip route print without-paging если есть фикс. публичные IP, прикройте частично Спасибо, что помогаете мне в этой нетривиальной задаче. Надеюсь она осуществима. Скрытый текст Конфиг: # apr/27/2018 21:21:50 by RouterOS 6.42.1 # # model = RouterBOARD 962UiGS-5HacT2HnT # /interface bridge add admin-mac=64:D1:54:5E:AA:DA auto-mac=no comment=defconf name=bridge add arp=reply-only name=bridge_guest /interface ethernet set [ find default-name=ether2 ] name=ether2-master /interface wireless set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \ band=2ghz-b/g/n channel-width=20/40mhz-Ce disabled=no distance=indoors \ frequency=auto mode=ap-bridge ssid=Wi-Fi tx-power-mode=all-rates-fixed \ wireless-protocol=802.11 set [ find default-name=wlan2 ] adaptive-noise-immunity=ap-and-client-mode \ band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee disabled=no distance=\ indoors frequency=auto mode=ap-bridge ssid="Wi-Fi 5G" tx-power-mode=\ all-rates-fixed wireless-protocol=802.11 /interface wireless nstreme set wlan1 enable-polling=no set wlan2 enable-polling=no /interface list add comment=defconf name=WAN add comment=defconf name=LAN add exclude=dynamic name=discover add name=mactel add name=mac-winbox /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\ dynamic-keys supplicant-identity=MikroTik add authentication-types=wpa-psk,wpa2-psk eap-methods="" \ management-protection=allowed name=free_wifi supplicant-identity="" /interface wireless add keepalive-frames=disabled mac-address=66:D1:54:5E:AA:E4 master-interface=\ wlan1 multicast-buffering=disabled name=free_wifi security-profile=\ free_wifi ssid="\F0\9F\9A\80 \D0\91\D0\B5\D1\81\D0\BF\D0\BB\D0\B0\D1\82\D0\ \BD\D1\8B\D0\B9 Wi-Fi" wds-cost-range=0 wds-default-cost=0 wps-mode=\ disabled /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip ipsec proposal set [ find default=yes ] enc-algorithms=\ aes-256-cbc,aes-192-cbc,aes-128-cbc,3des /ip pool add name=dhcp ranges=192.168.1.10-192.168.1.254 add name=dhcp_guest ranges=192.168.2.2-192.168.2.254 /ip dhcp-server add add-arp=yes address-pool=dhcp disabled=no interface=bridge lease-time=3d \ name=defconf add add-arp=yes address-pool=dhcp_guest disabled=no interface=bridge_guest \ lease-time=1d name=dhcp_guest /ppp profile add name=vpn use-encryption=yes add local-address=dhcp name=l2tp remote-address=dhcp use-encryption=yes /interface pptp-client add allow=chap,mschap1,mschap2 connect-to=nl.vpn99.net disabled=no mrru=1500 \ name=pptp-vpn profile=vpn user=xxxxx /queue simple add burst-limit=10M/10M burst-threshold=5M/5M burst-time=10s/10s max-limit=\ 5M/5M name=free_wifi target=192.168.2.0/24 /snmp community set [ find default=yes ] addresses=0.0.0.0/0 /interface bridge port add bridge=bridge comment=defconf interface=ether2-master add bridge=bridge comment=defconf disabled=yes interface=sfp1 add bridge=bridge comment=defconf interface=wlan1 add bridge=bridge comment=defconf interface=wlan2 add bridge=bridge hw=no interface=ether1 add bridge=bridge_guest interface=free_wifi add bridge=bridge interface=ether3 add bridge=bridge interface=ether4 add bridge=bridge interface=ether5 /ip neighbor discovery-settings set discover-interface-list=discover /interface l2tp-server server set allow-fast-path=yes authentication=mschap2 default-profile=l2tp enabled=\ yes one-session-per-host=yes use-ipsec=yes /interface list member add comment=defconf interface=bridge list=LAN add interface=bridge list=discover add interface=ether1 list=mactel add interface=ether2-master list=mactel add interface=ether1 list=mac-winbox add interface=wlan2 list=mactel add interface=ether2-master list=mac-winbox add interface=wlan1 list=mactel add interface=wlan2 list=mac-winbox add interface=wlan1 list=mac-winbox add interface=sfp1 list=WAN /ip address add address=192.168.1.1/24 comment=defconf interface=ether1 network=\ 192.168.1.0 add address=192.168.2.1/24 interface=free_wifi network=192.168.2.0 /ip dhcp-client add comment=defconf dhcp-options=hostname,clientid disabled=no interface=sfp1 \ use-peer-dns=no /ip dhcp-server lease add address=192.168.1.126 comment="Xiaomi MI A1 (\EF\F0\EE\E1\EB\E5\EC\FB \F1 \ \EF\EE\E4\EA\EB\FE\F7\E5\ED\E8\E5\EC)" mac-address=18:F0:E4:33:F1:C0 \ server=defconf /ip dhcp-server network add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24 add address=192.168.2.0/24 gateway=192.168.2.1 /ip dns set allow-remote-requests=yes servers=\ 208.67.222.222,208.67.220.220,77.88.8.8,8.8.8.8 /ip dns static add address=192.168.1.1 name=router.lan /ip firewall address-list add address=0.0.0.0/8 list=BOGON add address=10.0.0.0/8 list=BOGON add address=100.64.0.0/10 list=BOGON add address=127.0.0.0/8 list=BOGON add address=169.254.0.0/16 list=BOGON add address=172.16.0.0/12 list=BOGON add address=192.0.0.0/24 list=BOGON add address=192.0.2.0/24 list=BOGON add address=192.168.0.0/16 list=BOGON add address=198.18.0.0/15 list=BOGON add address=198.51.100.0/24 list=BOGON add address=203.0.113.0/24 list=BOGON add address=224.0.0.0/4 list=BOGON add address=240.0.0.0/4 list=BOGON add address=nnm-club.me list=blackhole add address=2ip.ru list=blackhole add address=yeezystore.ru list=blackhole add address=telegram.org list=blackhole add address=api.telegram.org list=blackhole add address=ya.ru list=blackhole add address=149.154.160.0/20 list=blackhole add address=149.154.164.0/22 list=blackhole add address=91.108.4.0/22 list=blackhole add address=91.108.56.0/22 list=blackhole add address=91.108.8.0/22 list=blackhole /ip firewall filter add action=accept chain=input comment=\ "\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \E2\F1\E5\F5 \E2\F5\EE\E4\FF\F9\E8\F5" add action=accept chain=output comment=\ "\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \E2\F1\E5\F5 \E8\F1\F5\EE\E4\FF\F9\E8\F5" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="WinBox access" dst-port=8291 \ in-interface=sfp1 protocol=tcp src-address-list=!WinBox add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="WinBox access" dst-port=8291 \ in-interface=sfp1 protocol=udp src-address-list=!WinBox add action=drop chain=input comment="WinBox access" dst-port=8291 \ in-interface=sfp1 protocol=tcp src-address-list=!WinBox add action=accept chain=input comment="WinBox access" dst-port=8291 \ in-interface=sfp1 protocol=tcp src-address-list=WinBox add action=drop chain=input comment="drop echo request" icmp-options=8:0 \ in-interface=sfp1 protocol=icmp add action=drop chain=input comment="BOGON drop" in-interface=sfp1 \ src-address-list=BOGON add action=drop chain=input comment="dropping port scanners" \ src-address-list=blocklist add action=drop chain=forward comment="dropping port scanners" \ src-address-list=blocklist add action=drop chain=input comment=\ "dropping port scanners (port scanners list)" src-address-list=\ "port scanners" add action=drop chain=forward comment=\ "dropping port scanners (port scanners list)" src-address-list=\ "port scanners" add action=drop chain=input comment="drop DNS" dst-port=53 in-interface=sfp1 \ protocol=tcp src-address-list=blocklist add action=drop chain=input comment="drop DNS" dst-port=53 in-interface=sfp1 \ protocol=udp src-address-list=blocklist add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=3h chain=input comment="port scanners to list" \ in-interface=sfp1 protocol=tcp psd=21,3s,3,1 add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=3h chain=input comment="NMAP FIN Stealth scan" \ in-interface=sfp1 protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=3h chain=input comment="SYN/FIN scan" in-interface=\ sfp1 protocol=tcp tcp-flags=fin,syn add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=3h chain=input comment="SYN/RST scan" in-interface=\ sfp1 protocol=tcp tcp-flags=syn,rst add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=3h chain=input comment="FIN/PSH/URG scan" \ in-interface=sfp1 protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=3h chain=input comment="ALL/ALL scan" in-interface=\ sfp1 protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg add action=add-src-to-address-list address-list="port scanners" \ address-list-timeout=3h chain=input comment="NMAP NULL scan" \ in-interface=sfp1 protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=22 \ protocol=tcp src-port="" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=22 \ protocol=udp src-port="" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=23 \ protocol=tcp src-port="" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=23 \ protocol=udp src-port="" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=\ 3899 protocol=tcp src-port="" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=\ 5060 protocol=tcp src-port="" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=\ 5060 protocol=udp src-port="" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=\ 8728 protocol=tcp src-port="" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=\ 8728 protocol=udp src-port="" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=\ 8729 protocol=tcp src-port="" add action=add-src-to-address-list address-list=blocklist \ address-list-timeout=3h chain=input comment="protection scan" dst-port=\ 8729 protocol=udp src-port="" add action=drop chain=input comment=l2tp_portoff1 disabled=yes dst-port=1701 \ protocol=udp add action=drop chain=input comment=l2tp_portoff2 disabled=yes dst-port=4500 \ protocol=udp add action=drop chain=input comment=l2tp_portoff3 disabled=yes dst-port=500 \ protocol=udp add action=accept chain=input comment=l2tp dst-port=1701 protocol=udp add action=accept chain=input comment=l2tp dst-port=4500 protocol=udp add action=accept chain=input comment=l2tp dst-port=500 protocol=udp add action=accept chain=forward comment="defconf: accept in ipsec policy" \ ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" \ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related add action=accept chain=forward comment=\ "defconf: accept established,related, untracked" connection-state=\ established,related,untracked add action=accept chain=input comment=webacess disabled=yes dst-port=80 \ protocol=tcp add action=accept chain=input comment="ICMP allow limited" in-interface=sfp1 \ limit=50/5s,2:packet protocol=icmp add action=accept chain=icmp comment="ICMP echo reply" icmp-options=0:0 \ protocol=icmp add action=accept chain=icmp comment="ICMP net unreachable" icmp-options=3:0 \ protocol=icmp add action=accept chain=icmp comment="ICMP host unreachable" icmp-options=3:1 \ protocol=icmp add action=accept chain=icmp comment=\ "ICMP host unreachable fragmentation required" icmp-options=3:4 protocol=\ icmp add action=accept chain=icmp comment="ICMP allow source quench" icmp-options=\ 4:0 protocol=icmp add action=accept chain=icmp comment="ICMP allow echo request" icmp-options=\ 8:0 protocol=icmp add action=accept chain=icmp comment="ICMP allow time exceed" icmp-options=\ 11:0 protocol=icmp add action=accept chain=icmp comment="ICMP allow parameter bad" icmp-options=\ 12:0 protocol=icmp add action=drop chain=icmp comment="ICMP deny all other types" add action=accept chain=input comment="allow established connections" \ connection-state=established add action=accept chain=forward comment="allow established connections" \ connection-state=established add action=accept chain=input comment="allow related connections" \ connection-state=related add action=accept chain=forward comment="allow related connections" \ connection-state=related add action=drop chain=forward comment="defconf: drop invalid" \ connection-state=invalid add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface-list=WAN add action=accept chain=input protocol=icmp add action=accept chain=input connection-state=established add action=accept chain=input connection-state=related add action=drop chain=input in-interface=sfp1 /ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=blackhole \ new-routing-mark=bh passthrough=yes add action=mark-routing chain=output dst-address-list=blackhole \ new-routing-mark=mikrotik passthrough=no /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" \ ipsec-policy=out,none out-interface-list=WAN add action=masquerade chain=srcnat out-interface=sfp1 add action=masquerade chain=srcnat out-interface=pptp-vpn /ip route add distance=1 gateway=pptp-vpn routing-mark=bh add distance=1 gateway=pptp-vpn routing-mark=mikrotik /ip route rule add action=drop dst-address=192.168.1.0/24 src-address=192.168.2.0/24 add action=drop dst-address=192.168.2.0/24 src-address=192.168.1.0/24 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /ip upnp set enabled=yes /ip upnp interfaces add interface=bridge type=internal add interface=sfp1 type=external /ppp secret add name=xxxxx1 profile=l2tp service=l2tp add name=xxxxx2 profile=l2tp service=l2tp add name=xxxxx3 profile=l2tp service=l2tp /system clock set time-zone-name=Europe/Moscow /system routerboard settings set silent-boot=no /tool mac-server set allowed-interface-list=mactel /tool mac-server mac-winbox set allowed-interface-list=mac-winbox /tool mac-server ping set enabled=no Маршруты: [xxxxx@MikroTik] > /ip route print without-paging Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 pptp-vpn 1 1 A S 0.0.0.0/0 pptp-vpn 1 2 ADS 0.0.0.0/0 89.2X8.189.XX 1 3 ADC 10.112.112.140/32 10.180.9.67 pptp-vpn 0 4 ADC 89.248.189.72/29 89.2X8.189.XX sfp1 0 5 ADC 192.168.1.0/24 192.168.1.1 bridge 0 0 A S 0.0.0.0/0 pptp-vpn 1 заворачиваются пакеты маркированные bh 1 A S 0.0.0.0/0 pptp-vpn 1 заворачиваются пакеты маркированные mikrotik (трафик с самого устройства) Edited April 27, 2018 by mcheev Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted April 28, 2018 (edited) · Report post @mcheev Отдельная таблица (routing mark) для трафика с микротика не нужна. Как API телеграм работает не знаю, телеграмом никогда не пользовался. Но простой тест телнетом должен проходить, т.е. на /system telnet api.telegram.org 443 ответ Connected to 149.154.167.220. Escape character is '^]'. Далее если ввести любой символ (т.е. буква + enter) HTTP/1.1 400 Bad Request Server: nginx/1.12.2 (и т.д.) Файрвол input потом прикрыть надо будет. Edited April 28, 2018 by McSea Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mcheev Posted May 1, 2018 (edited) · Report post @McSea Через Telnet все ок. Скрытый текст [mcheev@MikroTik] > /system telnet api.telegram.org 443 Trying 149.154.167.220... Connected to 149.154.167.220. Escape character is '^]'. k HTTP/1.1 400 Bad Request Server: nginx/1.12.2 Date: Tue, 01 May 2018 19:04:10 GMT Content-Type: text/html Content-Length: 173 Connection: close Access-Control-Allow-Origin: * Access-Control-Expose-Headers: Content-Length,Content-Type,Date,Server,Connection <html> <head><title>400 Bad Request</title></head> <body bgcolor="white"> <center><h1>400 Bad Request</h1></center> <hr><center>nginx/1.12.2</center> </body> </html> Connection closed by foreign host. Welcome back! API на Микротике работает чисто условно. Устройство скачивает файл getUpdates :tool fetch url=("https://api.telegram.org/".$botID."/getUpdates") ; Пример ссылки: https://api.telegram.org/bot4334584910:AAEPmjlh84N62Lv/getUpdates Требуемые порты для скачивания: 443, 80, 88, 8443 Далее этот файл парсится и выполняется скрипт, а отправка сообщения обратно происходит командой /tool fetch url=("https://api.telegram.org/bot477936908:AAELq33be9YyRvdMjLmu_FJ1sPy0w9IХХХХ/sendMessage?chat_id=20140ХХХХ&text=TECT") keep-result=no; Если соединение идет через провайдера (провайдер пока не заблокировал) то все отлично, стоит пустить через VPN - файл getUpdates не скачивается, сообщения не отправляется. Edited May 1, 2018 by mcheev Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted May 2, 2018 · Report post @mcheev Настройте VPN через L2TP/IPsec. Настройки у них на сайте посмотрите для iOS/macOS. Дополнительно нужно поставить PFS Group = none в default proposal (IP - IPsec - Proposals), а если для L2TP сервера нужны другие настройки, нужно создать (скопировать/поправить) новый proposal и его в шаблон прописать (IP - IPsec - Policies - *T). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted May 3, 2018 · Report post на какие только долбанные извращения не пойдут люди, чтоб привязать свою инфраструктуру к чат-серверам какого-то беглого фрика.... Ведь казалось бы, что может быть проще /tool fetch url=("https://xmpp.our_server.ru:5281/msg/user@domain.ru"),http-data="ТЕСТ",http-content-type="text/plain",user=xmpp_user,password=secret keep-result=no; И отвечаешь за всё САМ без всяких левых посторонних серверов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mcheev Posted May 4, 2018 (edited) · Report post @McSea Спасибо, поправил, но результатов не дало. На самом деле все очень странно, чего-то явно не хватает. Например rutracker.org тоже не открывается с Микротика, хотя если напрямую через VPN, то все отлично. Сейчас ситуация следующая - telegram.org открывается, api.telegram.org не открывается, как оказалось rutracker тоже не доступен, но напрямую (без Mikrotik) через vpn все работает. Остальные сайты (ya.ru, 2ip.ru, nnm и пр.) открываются отлично через VPN. По рутрекеру для эксперимента прописал DNS /ip dns static add address=195.82.146.214 name=rutracker.org ttl=0s /ip route add distance=1 dst-address=195.82.146.214 gateway=pptp-out1 Но результата не дало. Edited May 4, 2018 by mcheev Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted May 7, 2018 · Report post @mcheev change-tcp-mss=yes в профиле поставьте, не заметил сразу. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mcheev Posted May 8, 2018 · Report post @McSea Вчера как-то случайно это и сделал :) Специально зашел написать об этом, чтобы помочь другим, уверен, что не я один так мучился. Огромное спасибо за помощь! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
leomaks Posted October 20, 2018 (edited) · Report post Если можно, распишите пожалуйста как в итоге надо настроить. Тоже бот на микротике был, а теперь к api.telegram.org нет доступа. VPN куплю, а настроить не осилю. Edited October 20, 2018 by leomaks Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...