Jump to content
Калькуляторы

Обход блокировок сайтов при помощи Микротика варианты решения

Добрый день! интересует следующий вопрос.

Есть в пользовании роутер микротик и есть провайдер который блочит некоторые ресурсы по решению гос органов. На данный момент проблема решается включением прокси локально на ПК при просмотре таких ресурсов.

Интересует вопрос возможно ли как то автоматизировать этот процесс при помощи микротика - тоесть поднять на нем vpn тунель до другого оператора (удаленная точка входа на неблочащем провайдере есть ) или сделать какой то лист сайтов которые запускать через прокси или еще каким ли бо то ни было методом. просто очень не хочется запускать весь трафик через прокси - заметно медленнее работает интернет.

Share this post


Link to post
Share on other sites

На данный момент проблема решается включением прокси локально на ПК при просмотре таких ресурсов.

 

ну так и укажите микротику вышестоящий прокси

Share this post


Link to post
Share on other sites

Если адреса ресурсов известны, то может через фаервол настроить, чтобы на них ходил через впн? А на всё остальное напрямую.

Share this post


Link to post
Share on other sites

ну да, сделать лист нужных ресурсов и по этому листу заворачивать на порт прокси микротика, а там указать вышестоящий...

Share this post


Link to post
Share on other sites

ну да, сделать лист нужных ресурсов и по этому листу заворачивать на порт прокси микротика, а там указать вышестоящий...

Никаких прокси. Через впн так как автор хотел
поднять на нем vpn тунель до другого оператора
да и прокси уже отстойный вариант.

Share this post


Link to post
Share on other sites

в vpn на микротике вам придется весь трафик инкапсулировать чтобы небыло гемороя...

 

у автора лочатся только неокторые ресурсы, которые вероятно невсегда и нужны, проще и менее накладнее вывернуть их на проксю, чем держать гдето vpn, следить на микротике неотвалился ли vpn-клиент и все ли в порятке с роутингом для данных ресурсов.

Share this post


Link to post
Share on other sites

в vpn на микротике вам придется весь трафик инкапсулировать чтобы небыло гемороя

С какого это весь? Я делал выборку на основе порта например 80. В итоге веб шел через впн, остальное напрямую. Никакого гемороя. Если впн отвалится, то трафик просто не пойдет и блог Навального не откроется-вот вам и знак. Про емеил и смс уведомления уже не говорю.
Edited by Diamont

Share this post


Link to post
Share on other sites

Как это сделал я

1) создал address list, в котором 100% известные мне хосты

2) есть ряд ресурсов, которые прыгают с адреса на адрес или хуже того используют cdn

Их можно победить вот таким скриптом

:foreach i in=[/ip dns cache all find where (name~"xxxx.xx" || name~"yyyy.yy") && (type="A") ] do={
    :local tmpAddress [/ip dns cache get $i address];
delay delay-time=10ms
#prevent script from using all cpu time
   :if ( [/ip firewall address-list find where address=$tmpAddress] = "") do={         
    :local cacheName [/ip dns cache get $i name] ;
    :log info ("added entry: $cacheName  $tmpAddress");
    /ip firewall address-list add address=$tmpAddress list=block_sites comment=$cacheName timeout=1d;

}

}

Засовываем его в шедулер и вуаля. Ну и собственно все, что состоит в block_sites заворачивается в vpn туннель.

Edited by poisons

Share this post


Link to post
Share on other sites

огромное спасибо за подсказки. если можно - для тупых расписать как через фаирвол завернуть на конкретный адрес ))

конкретно интересует толко ресурс rutor.org - у меня на него ходит XBMC, vpn поднят и настроен - там всенорм и мониторингом и со всем остальным ) вот с фаирволом пока не игрался - боюсь напортачить в настройках

Share this post


Link to post
Share on other sites

Создаем address list с ip/подсетями нужных нам сайтов.

/ip firewall address-list
add address=x.x.x.x/x list=block_sites

Добавляем routing mark для пакетов, которые идут из внутренней подсети 192.168.88.0/24 с интерфейса ether2-master-local.

/ip firewall mangle
add action=mark-routing chain=prerouting comment=mark_for_routing_block_sites \
   dst-address-list=block_sites in-interface=ether2-master-local \
   new-routing-mark=block_sites src-address=192.168.88.0/24

Создаем маршрут для пакетов с меткой block_sites

/ip route
add distance=1 gateway=your.vpn.gate. routing-mark=block_sites

Edited by poisons

Share this post


Link to post
Share on other sites

Создаем address list с ip/подсетями нужных нам сайтов.

/ip firewall address-list
add address=x.x.x.x/x list=block_sites

Добавляем routing mark для пакетов, которые идут из внутренней подсети 192.168.88.0/24 с интерфейса ether2-master-local.

/ip firewall mangle
add action=mark-routing chain=prerouting comment=mark_for_routing_block_sites \
   dst-address-list=block_sites in-interface=ether2-master-local \
   new-routing-mark=block_sites src-address=192.168.88.0/24

Создаем маршрут для пакетов с меткой block_sites

/ip route
add distance=1 gateway=your.vpn.gate. routing-mark=block_sites

 

сделал все как тут написано, но без маскарадинга пптп ничего не заработало, так и должно быть?

Share this post


Link to post
Share on other sites

Так и должно быть в общем случае.

У вас получается 2 ната, один на домашней железке маскарадит пакеты в vpn подсеть, второй на vpn сервере, маскарадит из vpn подсети в тырнет.

Можно от ната на вашей железке избавиться - нужен маршрут на вашем впн сервере обратно в вашу домашнюю подсеть.

В моем случае накладные расходы на нат достаточно низкие, порты внутрь прошвыривать не нужно, так что и смысла мудрить с раутингом со стороны vpn сервера нет, кусманы конфига выдирал из своей железки.

Edited by poisons

Share this post


Link to post
Share on other sites

Так и должно быть в общем случае.

...

Спасибо за ответ. Я уже себя к идиотам начал причислять - у всех работает и так, а я маскарадил.

Share this post


Link to post
Share on other sites

У меня аналогичная ситуация, нужно обойти заблокированные сайты, все настроил как в этой теме, но

работает только при маскарадинге в pptp, можете мне разжевать, нужен он все таки или нет? а то без него тоже не работает.

 

PS. Интернет получаю через NAT, на самом MT Интернет-трафик не маскарадю, т.е. маскарадинг у меня только в pptp-канал.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.