mcheev Posted May 6, 2018 Posted May 6, 2018 Здравствуйте! Подскажите как разделить трафик через VPN. Задача - обойти блокировки РКН. Есть Mikrotik и сервис VPN, на Микротике настроены 1. scr-nat для интерфейса pptp-out 2. Маркировка пакетов по портам 80, 8080, 433 3. Маршрут отправляющий трафик через pptp-out Судя по WinBox трафик идет, но сайты не открываются. Подскажите пожалуйста в чем может быть проблема. Вставить ник Quote
Atlant Posted May 8, 2018 Posted May 8, 2018 Я делаю так (для l2tp-впна): /ip firewall nat add action=masquerade chain=srcnat out-interface=l2tp-out1 place-before=0 /ip route add distance=1 dst-address=10.2.2.0/24 gateway=l2tp-out1 /ip firewall mangle add action=route chain=prerouting dst-address-list=unblock \ passthrough=no route-dst=10.2.2.1 place-before=0 И список сетей на перенаправление создаю - с именем unblock /ip firewall address-list add address=74.125.0.0/16 comment=goo list=unblock add address=64.233.0.0/16 list=unblock add address=173.194.0.0/16 list=unblock и т.д. PS. l2tp впн автоматом поднимается с мту 1450 Вставить ник Quote
pingz Posted May 8, 2018 Posted May 8, 2018 Давай по простому на пальцах.(человек выше написал мту если, что) Для теста делай без маркировки и т.д.(чтобы проверить твой туннель работает вообще или нет) а уже потом маркировку нат и т.д. Со своего ПК ты отправляешь пакет размером 1500, у твоего оператора авторизация допустим пппое мту по дефолту будет 1480(возможно его уменьшить или увеличить) твой туннель создаётся с мту допустим 1500 приходится тунельному трафику фрагментироватся(делится на меньшие куски), чтобы пролазить в 1480. Поэтому для туннелей принято понижать мту, чтобы пролазить, через канал интернета без фрагментаций. Не забываем, что мту нужно смотреть с обоих сторон. Ну это не точно, но первым делом нужно проверить мту. Возможно роуты не правильно прописаны. Есть прямой роутер в интернет ну 0.0.0.0/0, а есть обратный т.е. твой удаленный микротик не знает, про подсеть на соседе. В первом правеле маскарада(основное правило для не заблокированного интернета), по логике должно быть исключение, заблокированного листа в противном, случае трафик для листа будет идти по первому правилу. Вставить ник Quote
amper Posted May 20, 2018 Posted May 20, 2018 А есть ли способ в ВПН заруливать только определенные браузеры? Или, например, браузеру указать перечень локальных портов с которых он может осуществлять подключение и по ним отруливать на маршрутизаторе? Вставить ник Quote
alibek Posted May 20, 2018 Posted May 20, 2018 Браузеры это прикладной уровень. VPN это уровень транспорта. Транспорт не знает о приложениях, а приложения о транспорте. Вставить ник Quote
saaremaa Posted May 20, 2018 Posted May 20, 2018 Занижайте MTU. Цитата Транспорт не знает о приложениях, а приложения о транспорте. Только если на транспорте не применяется DSCP. Вставить ник Quote
McSea Posted May 21, 2018 Posted May 21, 2018 18 hours ago, amper said: А есть ли способ в ВПН заруливать только определенные браузеры? Прокси. Например хрому можно в ком.строке указать. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.