mcheev Posted May 6, 2018 Здравствуйте! Подскажите как разделить трафик через VPN. Задача - обойти блокировки РКН. Есть Mikrotik и сервис VPN, на Микротике настроены 1. scr-nat для интерфейса pptp-out 2. Маркировка пакетов по портам 80, 8080, 433 3. Маршрут отправляющий трафик через pptp-out Судя по WinBox трафик идет, но сайты не открываются. Подскажите пожалуйста в чем может быть проблема. Share this post Link to post Share on other sites More sharing options...
stalker86 Posted May 6, 2018 MTU Share this post Link to post Share on other sites More sharing options...
Atlant Posted May 8, 2018 Я делаю так (для l2tp-впна): /ip firewall nat add action=masquerade chain=srcnat out-interface=l2tp-out1 place-before=0 /ip route add distance=1 dst-address=10.2.2.0/24 gateway=l2tp-out1 /ip firewall mangle add action=route chain=prerouting dst-address-list=unblock \ passthrough=no route-dst=10.2.2.1 place-before=0 И список сетей на перенаправление создаю - с именем unblock /ip firewall address-list add address=74.125.0.0/16 comment=goo list=unblock add address=64.233.0.0/16 list=unblock add address=173.194.0.0/16 list=unblock и т.д. PS. l2tp впн автоматом поднимается с мту 1450 Share this post Link to post Share on other sites More sharing options...
pingz Posted May 8, 2018 Давай по простому на пальцах.(человек выше написал мту если, что) Для теста делай без маркировки и т.д.(чтобы проверить твой туннель работает вообще или нет) а уже потом маркировку нат и т.д. Со своего ПК ты отправляешь пакет размером 1500, у твоего оператора авторизация допустим пппое мту по дефолту будет 1480(возможно его уменьшить или увеличить) твой туннель создаётся с мту допустим 1500 приходится тунельному трафику фрагментироватся(делится на меньшие куски), чтобы пролазить в 1480. Поэтому для туннелей принято понижать мту, чтобы пролазить, через канал интернета без фрагментаций. Не забываем, что мту нужно смотреть с обоих сторон. Ну это не точно, но первым делом нужно проверить мту. Возможно роуты не правильно прописаны. Есть прямой роутер в интернет ну 0.0.0.0/0, а есть обратный т.е. твой удаленный микротик не знает, про подсеть на соседе. В первом правеле маскарада(основное правило для не заблокированного интернета), по логике должно быть исключение, заблокированного листа в противном, случае трафик для листа будет идти по первому правилу. Share this post Link to post Share on other sites More sharing options...
amper Posted May 20, 2018 А есть ли способ в ВПН заруливать только определенные браузеры? Или, например, браузеру указать перечень локальных портов с которых он может осуществлять подключение и по ним отруливать на маршрутизаторе? Share this post Link to post Share on other sites More sharing options...
alibek Posted May 20, 2018 Браузеры это прикладной уровень. VPN это уровень транспорта. Транспорт не знает о приложениях, а приложения о транспорте. Share this post Link to post Share on other sites More sharing options...
saaremaa Posted May 20, 2018 Занижайте MTU. Цитата Транспорт не знает о приложениях, а приложения о транспорте. Только если на транспорте не применяется DSCP. Share this post Link to post Share on other sites More sharing options...
McSea Posted May 21, 2018 18 hours ago, amper said: А есть ли способ в ВПН заруливать только определенные браузеры? Прокси. Например хрому можно в ком.строке указать. Share this post Link to post Share on other sites More sharing options...
