pstudiopuh Опубликовано 5 сентября, 2014 · Жалоба Добрый день! интересует следующий вопрос. Есть в пользовании роутер микротик и есть провайдер который блочит некоторые ресурсы по решению гос органов. На данный момент проблема решается включением прокси локально на ПК при просмотре таких ресурсов. Интересует вопрос возможно ли как то автоматизировать этот процесс при помощи микротика - тоесть поднять на нем vpn тунель до другого оператора (удаленная точка входа на неблочащем провайдере есть ) или сделать какой то лист сайтов которые запускать через прокси или еще каким ли бо то ни было методом. просто очень не хочется запускать весь трафик через прокси - заметно медленнее работает интернет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ChargeSet Опубликовано 5 сентября, 2014 · Жалоба а турброрежим в опере уже не работает? да и у огнелиса вроде бы была приблуда для подобных "запасных маршрутов" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 5 сентября, 2014 · Жалоба Сделать то можно, только где вы достанете блэклист? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lynx.palana Опубликовано 5 сентября, 2014 · Жалоба На данный момент проблема решается включением прокси локально на ПК при просмотре таких ресурсов. ну так и укажите микротику вышестоящий прокси Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamont Опубликовано 5 сентября, 2014 · Жалоба Если адреса ресурсов известны, то может через фаервол настроить, чтобы на них ходил через впн? А на всё остальное напрямую. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lynx.palana Опубликовано 5 сентября, 2014 · Жалоба ну да, сделать лист нужных ресурсов и по этому листу заворачивать на порт прокси микротика, а там указать вышестоящий... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamont Опубликовано 6 сентября, 2014 · Жалоба ну да, сделать лист нужных ресурсов и по этому листу заворачивать на порт прокси микротика, а там указать вышестоящий... Никаких прокси. Через впн так как автор хотел поднять на нем vpn тунель до другого оператора да и прокси уже отстойный вариант. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lynx.palana Опубликовано 6 сентября, 2014 · Жалоба в vpn на микротике вам придется весь трафик инкапсулировать чтобы небыло гемороя... у автора лочатся только неокторые ресурсы, которые вероятно невсегда и нужны, проще и менее накладнее вывернуть их на проксю, чем держать гдето vpn, следить на микротике неотвалился ли vpn-клиент и все ли в порятке с роутингом для данных ресурсов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamont Опубликовано 6 сентября, 2014 (изменено) · Жалоба в vpn на микротике вам придется весь трафик инкапсулировать чтобы небыло гемороя С какого это весь? Я делал выборку на основе порта например 80. В итоге веб шел через впн, остальное напрямую. Никакого гемороя. Если впн отвалится, то трафик просто не пойдет и блог Навального не откроется-вот вам и знак. Про емеил и смс уведомления уже не говорю. Изменено 9 сентября, 2014 пользователем Diamont Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
poisons Опубликовано 8 сентября, 2014 (изменено) · Жалоба Как это сделал я 1) создал address list, в котором 100% известные мне хосты 2) есть ряд ресурсов, которые прыгают с адреса на адрес или хуже того используют cdn Их можно победить вот таким скриптом :foreach i in=[/ip dns cache all find where (name~"xxxx.xx" || name~"yyyy.yy") && (type="A") ] do={ :local tmpAddress [/ip dns cache get $i address]; delay delay-time=10ms #prevent script from using all cpu time :if ( [/ip firewall address-list find where address=$tmpAddress] = "") do={ :local cacheName [/ip dns cache get $i name] ; :log info ("added entry: $cacheName $tmpAddress"); /ip firewall address-list add address=$tmpAddress list=block_sites comment=$cacheName timeout=1d; } } Засовываем его в шедулер и вуаля. Ну и собственно все, что состоит в block_sites заворачивается в vpn туннель. Изменено 8 сентября, 2014 пользователем poisons Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pstudiopuh Опубликовано 10 сентября, 2014 · Жалоба огромное спасибо за подсказки. если можно - для тупых расписать как через фаирвол завернуть на конкретный адрес )) конкретно интересует толко ресурс rutor.org - у меня на него ходит XBMC, vpn поднят и настроен - там всенорм и мониторингом и со всем остальным ) вот с фаирволом пока не игрался - боюсь напортачить в настройках Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
poisons Опубликовано 10 сентября, 2014 (изменено) · Жалоба Создаем address list с ip/подсетями нужных нам сайтов. /ip firewall address-list add address=x.x.x.x/x list=block_sites Добавляем routing mark для пакетов, которые идут из внутренней подсети 192.168.88.0/24 с интерфейса ether2-master-local. /ip firewall mangle add action=mark-routing chain=prerouting comment=mark_for_routing_block_sites \ dst-address-list=block_sites in-interface=ether2-master-local \ new-routing-mark=block_sites src-address=192.168.88.0/24 Создаем маршрут для пакетов с меткой block_sites /ip route add distance=1 gateway=your.vpn.gate. routing-mark=block_sites Изменено 10 сентября, 2014 пользователем poisons Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Svop Опубликовано 18 сентября, 2014 · Жалоба Создаем address list с ip/подсетями нужных нам сайтов. /ip firewall address-list add address=x.x.x.x/x list=block_sites Добавляем routing mark для пакетов, которые идут из внутренней подсети 192.168.88.0/24 с интерфейса ether2-master-local. /ip firewall mangle add action=mark-routing chain=prerouting comment=mark_for_routing_block_sites \ dst-address-list=block_sites in-interface=ether2-master-local \ new-routing-mark=block_sites src-address=192.168.88.0/24 Создаем маршрут для пакетов с меткой block_sites /ip route add distance=1 gateway=your.vpn.gate. routing-mark=block_sites сделал все как тут написано, но без маскарадинга пптп ничего не заработало, так и должно быть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
poisons Опубликовано 18 сентября, 2014 (изменено) · Жалоба Так и должно быть в общем случае. У вас получается 2 ната, один на домашней железке маскарадит пакеты в vpn подсеть, второй на vpn сервере, маскарадит из vpn подсети в тырнет. Можно от ната на вашей железке избавиться - нужен маршрут на вашем впн сервере обратно в вашу домашнюю подсеть. В моем случае накладные расходы на нат достаточно низкие, порты внутрь прошвыривать не нужно, так что и смысла мудрить с раутингом со стороны vpn сервера нет, кусманы конфига выдирал из своей железки. Изменено 18 сентября, 2014 пользователем poisons Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Svop Опубликовано 19 сентября, 2014 · Жалоба Так и должно быть в общем случае. ... Спасибо за ответ. Я уже себя к идиотам начал причислять - у всех работает и так, а я маскарадил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BlackMonk Опубликовано 19 апреля, 2015 · Жалоба У меня аналогичная ситуация, нужно обойти заблокированные сайты, все настроил как в этой теме, но работает только при маскарадинге в pptp, можете мне разжевать, нужен он все таки или нет? а то без него тоже не работает. PS. Интернет получаю через NAT, на самом MT Интернет-трафик не маскарадю, т.е. маскарадинг у меня только в pptp-канал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...