mcheev Опубликовано 6 мая, 2018 · Жалоба Здравствуйте! Подскажите как разделить трафик через VPN. Задача - обойти блокировки РКН. Есть Mikrotik и сервис VPN, на Микротике настроены 1. scr-nat для интерфейса pptp-out 2. Маркировка пакетов по портам 80, 8080, 433 3. Маршрут отправляющий трафик через pptp-out Судя по WinBox трафик идет, но сайты не открываются. Подскажите пожалуйста в чем может быть проблема. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 6 мая, 2018 · Жалоба MTU Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Atlant Опубликовано 8 мая, 2018 · Жалоба Я делаю так (для l2tp-впна): /ip firewall nat add action=masquerade chain=srcnat out-interface=l2tp-out1 place-before=0 /ip route add distance=1 dst-address=10.2.2.0/24 gateway=l2tp-out1 /ip firewall mangle add action=route chain=prerouting dst-address-list=unblock \ passthrough=no route-dst=10.2.2.1 place-before=0 И список сетей на перенаправление создаю - с именем unblock /ip firewall address-list add address=74.125.0.0/16 comment=goo list=unblock add address=64.233.0.0/16 list=unblock add address=173.194.0.0/16 list=unblock и т.д. PS. l2tp впн автоматом поднимается с мту 1450 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 8 мая, 2018 · Жалоба Давай по простому на пальцах.(человек выше написал мту если, что) Для теста делай без маркировки и т.д.(чтобы проверить твой туннель работает вообще или нет) а уже потом маркировку нат и т.д. Со своего ПК ты отправляешь пакет размером 1500, у твоего оператора авторизация допустим пппое мту по дефолту будет 1480(возможно его уменьшить или увеличить) твой туннель создаётся с мту допустим 1500 приходится тунельному трафику фрагментироватся(делится на меньшие куски), чтобы пролазить в 1480. Поэтому для туннелей принято понижать мту, чтобы пролазить, через канал интернета без фрагментаций. Не забываем, что мту нужно смотреть с обоих сторон. Ну это не точно, но первым делом нужно проверить мту. Возможно роуты не правильно прописаны. Есть прямой роутер в интернет ну 0.0.0.0/0, а есть обратный т.е. твой удаленный микротик не знает, про подсеть на соседе. В первом правеле маскарада(основное правило для не заблокированного интернета), по логике должно быть исключение, заблокированного листа в противном, случае трафик для листа будет идти по первому правилу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
amper Опубликовано 20 мая, 2018 · Жалоба А есть ли способ в ВПН заруливать только определенные браузеры? Или, например, браузеру указать перечень локальных портов с которых он может осуществлять подключение и по ним отруливать на маршрутизаторе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 мая, 2018 · Жалоба Браузеры это прикладной уровень. VPN это уровень транспорта. Транспорт не знает о приложениях, а приложения о транспорте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 20 мая, 2018 · Жалоба Занижайте MTU. Цитата Транспорт не знает о приложениях, а приложения о транспорте. Только если на транспорте не применяется DSCP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 21 мая, 2018 · Жалоба 18 hours ago, amper said: А есть ли способ в ВПН заруливать только определенные браузеры? Прокси. Например хрому можно в ком.строке указать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...