Перейти к содержимому
Калькуляторы

Обход блокировок сайтов при помощи Микротика варианты решения

Добрый день! интересует следующий вопрос.

Есть в пользовании роутер микротик и есть провайдер который блочит некоторые ресурсы по решению гос органов. На данный момент проблема решается включением прокси локально на ПК при просмотре таких ресурсов.

Интересует вопрос возможно ли как то автоматизировать этот процесс при помощи микротика - тоесть поднять на нем vpn тунель до другого оператора (удаленная точка входа на неблочащем провайдере есть ) или сделать какой то лист сайтов которые запускать через прокси или еще каким ли бо то ни было методом. просто очень не хочется запускать весь трафик через прокси - заметно медленнее работает интернет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а турброрежим в опере уже не работает?

да и у огнелиса вроде бы была приблуда для подобных "запасных маршрутов"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сделать то можно, только где вы достанете блэклист?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На данный момент проблема решается включением прокси локально на ПК при просмотре таких ресурсов.

 

ну так и укажите микротику вышестоящий прокси

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если адреса ресурсов известны, то может через фаервол настроить, чтобы на них ходил через впн? А на всё остальное напрямую.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну да, сделать лист нужных ресурсов и по этому листу заворачивать на порт прокси микротика, а там указать вышестоящий...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну да, сделать лист нужных ресурсов и по этому листу заворачивать на порт прокси микротика, а там указать вышестоящий...

Никаких прокси. Через впн так как автор хотел
поднять на нем vpn тунель до другого оператора
да и прокси уже отстойный вариант.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в vpn на микротике вам придется весь трафик инкапсулировать чтобы небыло гемороя...

 

у автора лочатся только неокторые ресурсы, которые вероятно невсегда и нужны, проще и менее накладнее вывернуть их на проксю, чем держать гдето vpn, следить на микротике неотвалился ли vpn-клиент и все ли в порятке с роутингом для данных ресурсов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в vpn на микротике вам придется весь трафик инкапсулировать чтобы небыло гемороя

С какого это весь? Я делал выборку на основе порта например 80. В итоге веб шел через впн, остальное напрямую. Никакого гемороя. Если впн отвалится, то трафик просто не пойдет и блог Навального не откроется-вот вам и знак. Про емеил и смс уведомления уже не говорю.
Изменено пользователем Diamont

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как это сделал я

1) создал address list, в котором 100% известные мне хосты

2) есть ряд ресурсов, которые прыгают с адреса на адрес или хуже того используют cdn

Их можно победить вот таким скриптом

:foreach i in=[/ip dns cache all find where (name~"xxxx.xx" || name~"yyyy.yy") && (type="A") ] do={
    :local tmpAddress [/ip dns cache get $i address];
delay delay-time=10ms
#prevent script from using all cpu time
   :if ( [/ip firewall address-list find where address=$tmpAddress] = "") do={         
    :local cacheName [/ip dns cache get $i name] ;
    :log info ("added entry: $cacheName  $tmpAddress");
    /ip firewall address-list add address=$tmpAddress list=block_sites comment=$cacheName timeout=1d;

}

}

Засовываем его в шедулер и вуаля. Ну и собственно все, что состоит в block_sites заворачивается в vpn туннель.

Изменено пользователем poisons

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

огромное спасибо за подсказки. если можно - для тупых расписать как через фаирвол завернуть на конкретный адрес ))

конкретно интересует толко ресурс rutor.org - у меня на него ходит XBMC, vpn поднят и настроен - там всенорм и мониторингом и со всем остальным ) вот с фаирволом пока не игрался - боюсь напортачить в настройках

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создаем address list с ip/подсетями нужных нам сайтов.

/ip firewall address-list
add address=x.x.x.x/x list=block_sites

Добавляем routing mark для пакетов, которые идут из внутренней подсети 192.168.88.0/24 с интерфейса ether2-master-local.

/ip firewall mangle
add action=mark-routing chain=prerouting comment=mark_for_routing_block_sites \
   dst-address-list=block_sites in-interface=ether2-master-local \
   new-routing-mark=block_sites src-address=192.168.88.0/24

Создаем маршрут для пакетов с меткой block_sites

/ip route
add distance=1 gateway=your.vpn.gate. routing-mark=block_sites

Изменено пользователем poisons

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создаем address list с ip/подсетями нужных нам сайтов.

/ip firewall address-list
add address=x.x.x.x/x list=block_sites

Добавляем routing mark для пакетов, которые идут из внутренней подсети 192.168.88.0/24 с интерфейса ether2-master-local.

/ip firewall mangle
add action=mark-routing chain=prerouting comment=mark_for_routing_block_sites \
   dst-address-list=block_sites in-interface=ether2-master-local \
   new-routing-mark=block_sites src-address=192.168.88.0/24

Создаем маршрут для пакетов с меткой block_sites

/ip route
add distance=1 gateway=your.vpn.gate. routing-mark=block_sites

 

сделал все как тут написано, но без маскарадинга пптп ничего не заработало, так и должно быть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так и должно быть в общем случае.

У вас получается 2 ната, один на домашней железке маскарадит пакеты в vpn подсеть, второй на vpn сервере, маскарадит из vpn подсети в тырнет.

Можно от ната на вашей железке избавиться - нужен маршрут на вашем впн сервере обратно в вашу домашнюю подсеть.

В моем случае накладные расходы на нат достаточно низкие, порты внутрь прошвыривать не нужно, так что и смысла мудрить с раутингом со стороны vpn сервера нет, кусманы конфига выдирал из своей железки.

Изменено пользователем poisons

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так и должно быть в общем случае.

...

Спасибо за ответ. Я уже себя к идиотам начал причислять - у всех работает и так, а я маскарадил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня аналогичная ситуация, нужно обойти заблокированные сайты, все настроил как в этой теме, но

работает только при маскарадинге в pptp, можете мне разжевать, нужен он все таки или нет? а то без него тоже не работает.

 

PS. Интернет получаю через NAT, на самом MT Интернет-трафик не маскарадю, т.е. маскарадинг у меня только в pptp-канал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас