pstudiopuh Posted September 5, 2014 · Report post Добрый день! интересует следующий вопрос. Есть в пользовании роутер микротик и есть провайдер который блочит некоторые ресурсы по решению гос органов. На данный момент проблема решается включением прокси локально на ПК при просмотре таких ресурсов. Интересует вопрос возможно ли как то автоматизировать этот процесс при помощи микротика - тоесть поднять на нем vpn тунель до другого оператора (удаленная точка входа на неблочащем провайдере есть ) или сделать какой то лист сайтов которые запускать через прокси или еще каким ли бо то ни было методом. просто очень не хочется запускать весь трафик через прокси - заметно медленнее работает интернет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted September 5, 2014 · Report post а турброрежим в опере уже не работает? да и у огнелиса вроде бы была приблуда для подобных "запасных маршрутов" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted September 5, 2014 · Report post Сделать то можно, только где вы достанете блэклист? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lynx.palana Posted September 5, 2014 · Report post На данный момент проблема решается включением прокси локально на ПК при просмотре таких ресурсов. ну так и укажите микротику вышестоящий прокси Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted September 5, 2014 · Report post Если адреса ресурсов известны, то может через фаервол настроить, чтобы на них ходил через впн? А на всё остальное напрямую. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lynx.palana Posted September 5, 2014 · Report post ну да, сделать лист нужных ресурсов и по этому листу заворачивать на порт прокси микротика, а там указать вышестоящий... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted September 6, 2014 · Report post ну да, сделать лист нужных ресурсов и по этому листу заворачивать на порт прокси микротика, а там указать вышестоящий... Никаких прокси. Через впн так как автор хотел поднять на нем vpn тунель до другого оператора да и прокси уже отстойный вариант. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
lynx.palana Posted September 6, 2014 · Report post в vpn на микротике вам придется весь трафик инкапсулировать чтобы небыло гемороя... у автора лочатся только неокторые ресурсы, которые вероятно невсегда и нужны, проще и менее накладнее вывернуть их на проксю, чем держать гдето vpn, следить на микротике неотвалился ли vpn-клиент и все ли в порятке с роутингом для данных ресурсов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diamont Posted September 6, 2014 (edited) · Report post в vpn на микротике вам придется весь трафик инкапсулировать чтобы небыло гемороя С какого это весь? Я делал выборку на основе порта например 80. В итоге веб шел через впн, остальное напрямую. Никакого гемороя. Если впн отвалится, то трафик просто не пойдет и блог Навального не откроется-вот вам и знак. Про емеил и смс уведомления уже не говорю. Edited September 9, 2014 by Diamont Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
poisons Posted September 8, 2014 (edited) · Report post Как это сделал я 1) создал address list, в котором 100% известные мне хосты 2) есть ряд ресурсов, которые прыгают с адреса на адрес или хуже того используют cdn Их можно победить вот таким скриптом :foreach i in=[/ip dns cache all find where (name~"xxxx.xx" || name~"yyyy.yy") && (type="A") ] do={ :local tmpAddress [/ip dns cache get $i address]; delay delay-time=10ms #prevent script from using all cpu time :if ( [/ip firewall address-list find where address=$tmpAddress] = "") do={ :local cacheName [/ip dns cache get $i name] ; :log info ("added entry: $cacheName $tmpAddress"); /ip firewall address-list add address=$tmpAddress list=block_sites comment=$cacheName timeout=1d; } } Засовываем его в шедулер и вуаля. Ну и собственно все, что состоит в block_sites заворачивается в vpn туннель. Edited September 8, 2014 by poisons Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pstudiopuh Posted September 10, 2014 · Report post огромное спасибо за подсказки. если можно - для тупых расписать как через фаирвол завернуть на конкретный адрес )) конкретно интересует толко ресурс rutor.org - у меня на него ходит XBMC, vpn поднят и настроен - там всенорм и мониторингом и со всем остальным ) вот с фаирволом пока не игрался - боюсь напортачить в настройках Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
poisons Posted September 10, 2014 (edited) · Report post Создаем address list с ip/подсетями нужных нам сайтов. /ip firewall address-list add address=x.x.x.x/x list=block_sites Добавляем routing mark для пакетов, которые идут из внутренней подсети 192.168.88.0/24 с интерфейса ether2-master-local. /ip firewall mangle add action=mark-routing chain=prerouting comment=mark_for_routing_block_sites \ dst-address-list=block_sites in-interface=ether2-master-local \ new-routing-mark=block_sites src-address=192.168.88.0/24 Создаем маршрут для пакетов с меткой block_sites /ip route add distance=1 gateway=your.vpn.gate. routing-mark=block_sites Edited September 10, 2014 by poisons Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Svop Posted September 18, 2014 · Report post Создаем address list с ip/подсетями нужных нам сайтов. /ip firewall address-list add address=x.x.x.x/x list=block_sites Добавляем routing mark для пакетов, которые идут из внутренней подсети 192.168.88.0/24 с интерфейса ether2-master-local. /ip firewall mangle add action=mark-routing chain=prerouting comment=mark_for_routing_block_sites \ dst-address-list=block_sites in-interface=ether2-master-local \ new-routing-mark=block_sites src-address=192.168.88.0/24 Создаем маршрут для пакетов с меткой block_sites /ip route add distance=1 gateway=your.vpn.gate. routing-mark=block_sites сделал все как тут написано, но без маскарадинга пптп ничего не заработало, так и должно быть? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
poisons Posted September 18, 2014 (edited) · Report post Так и должно быть в общем случае. У вас получается 2 ната, один на домашней железке маскарадит пакеты в vpn подсеть, второй на vpn сервере, маскарадит из vpn подсети в тырнет. Можно от ната на вашей железке избавиться - нужен маршрут на вашем впн сервере обратно в вашу домашнюю подсеть. В моем случае накладные расходы на нат достаточно низкие, порты внутрь прошвыривать не нужно, так что и смысла мудрить с раутингом со стороны vpn сервера нет, кусманы конфига выдирал из своей железки. Edited September 18, 2014 by poisons Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Svop Posted September 19, 2014 · Report post Так и должно быть в общем случае. ... Спасибо за ответ. Я уже себя к идиотам начал причислять - у всех работает и так, а я маскарадил. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
BlackMonk Posted April 19, 2015 · Report post У меня аналогичная ситуация, нужно обойти заблокированные сайты, все настроил как в этой теме, но работает только при маскарадинге в pptp, можете мне разжевать, нужен он все таки или нет? а то без него тоже не работает. PS. Интернет получаю через NAT, на самом MT Интернет-трафик не маскарадю, т.е. маскарадинг у меня только в pptp-канал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...