Настройка VPN сервиса для обхода блокировок

Базовая функциональность RouterOS
Chupakabra303
Сообщения: 31
Зарегистрирован: 24 янв 2017, 11:57

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupakabra303 »

Если comp-lzo обязателен, то mikrotik подключаться не будет. В свое время потратил прилично времени, прежде чем отловил, что из-за этого ключа не работало.
MAKC7891
Сообщения: 3
Зарегистрирован: 09 окт 2017, 23:09

Re: Настройка VPN сервиса для обхода блокировок

Сообщение MAKC7891 »

Здравствуйте. Настраивал vpn (pptp клиент) аналогичным образом (vpn клиент, маскарад на интерфейс впн клиент, маркировка (src адрес ПК из локалки, без dst адресов), маршрут с маркировкой). При активном маршруте через шлюз впн с маркировкой, пропадает пинг с самого Микротика (8.8.8.8 ya.ru), т.е. нет выхода в интернет. При этом пакеты в счётчиках маскарада, мангал и самого впн клиента отсчитываются. На ПК для ip которого указан в мангл тоже нет выхода в интернет. Настройку пробовал на дефолтной конфигурации. В качестве впн сервера пробовал как Микротик с поднятым на нем впн сервером, так и сервер vpnbook. В чём может быть причина такой проблемы. P.S. Микротик стоит после маршрутизатора провайдера на котором активна DMZ на адрес Микротика.
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Да многое может быть. Например, правила IP Firewall Filter могут запрещать пакеты в интерфейс VPN. Не видя конфиг, сложно сказать.
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Sir_Prikol »

У меня сделано следующим образом (вкратце, если очень интересно будет, выложу все исходники и правила)
Прим1: Все сделано на чистом опенсорсе, без затрат на сторонние VDS.
Прим2: Все работает внутри домашней сети
Прим3: Падения скорости не заметил

Итак, когда в очередной раз мне понадобилось обновить из репозитория определенную софтину, то я столкнулся с тем, что IP репозитория заблокирован на территории РФ. (IP принадежит амазону, а их у нас хлопнули аз 3млн. адресов)
Меня это порядком оскорбило и я решил сделать доступ для всех заблокированных адресов и вообще, получить чистый интернет. При этом чтоб лазать только на заблокированные ресурсы, ибо на всё остальное мне хватало и читого канала.
Перелопатив толпу мануалов и не найдя ничего внятного, решил собрать сам.
Внутри моей сети стоит тестовый стенд vmware (суть дела роли не играет, можно любую виртуализацию, можно любой простой комп на первом пентиуме с 256 RAM и 20Gb HDD, главное, чтоб избавится от тормозов, две сетевые карты)
На компе был развёрнут debian (питаю слабость к этой операционке), на debiane был поднят сервер Tor (не путать с нодой Tor^ за которую и посаить могут), там-же на дебиане я поднял Open VPN сервер (хотя можно хоть ipsec поднимать, тут главное чем меньше шифрования, тем лучше, сейчас вообще подумываю переделать систему на без шифрования, но из-за количества правил маршрутизации, манглов и нат, легче было поднять отдельный интерфейс на микротике, чтоб не запутаться в маршрутах)
Так вот, после того, как был поднят OVPN и с него завёрнут трафф в тор, получилось следующая связка:

Изображение

Всё крутится в одном сегменте сети, на выходе имею чистый интернет без тормозов и блокировок.
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Настройка VPN сервиса для обхода блокировок

Сообщение r136a8 »

Chupaka писал(а): 12 мар 2018, 08:30 Надо просто создать l2tp-клиент, pptp-клиент или ovpn-клиент, соответственно. Там заполнить, куда подключаться и с каким паролем. Убрать галку Add default route. После этого должно нормально подключиться (интерфейс в состоянии established/connected).

Создать правило NAT для трафика, идущего в этот интерфейс (/ip firew nat add chain=srcnat out-interface=l2tp-out1 action=masq).

Затем создать маршрут по умолчанию в новой таблице маршрутизации (например, /ip route add routing-mark=VPN gateway=l2tp-out1).

После этого в mangle отмаркировать (action=mark-routing new-routing-mark=VPN) трафик, который хотите загнать в vpn. Всё :)
Имею два провадера интернета (ether10-WAN-E и ether9-WAN-V) и две сети
https://prnt.sc/k1kxy3
Все работает хорошо, у каждой сети свой интернет провайтер, в случае пропадания интернета на одном из провадеров интернет не переключется от другого.

Настраивал VPN к провадеру ether10-WAN-E и только понял что я сделал что-то не так, как как при пропадании интернета VPN все таки переключается на дугого провайдера + VPN берет интернет не от нужного провайдера это ether10-WAN-E а берет от этого ether9-WAN-V

Тест скорости на ПК с VPN (как видно интернет он берет с ether9-WAN-V) а нужно с ether10-WAN-E
https://prnt.sc/k1k8cj

Еще раз мои настройки

-Создал pptp-клиент (ввел логин, пароль) соединился, статус connected. Убрал галку "Add default route"
-Создать правило NAT для трафика, идущего в этот интерфейс (/ip firew nat add chain=srcnat out-interface=l2tp-out1 action=masq).
-Создал маршрут в таблице маршрутизации
-В mangle создал правило

?-Создал правило в IP - Routers (в случае пропадания интернета в VPN он будет пропадать а не восстанавливаться с параллельной сети) Но не -работает

Я так и не понял, а как указать с какого провайдера VPN будет брать интернет.

Скрин настроек
https://prnt.sc/k1klht
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

r136a8 писал(а): 02 июл 2018, 14:46 Я так и не понял, а как указать с какого провайдера VPN будет брать интернет.
В таблице main будет искаться подходящий маршрут к адресу pptp-сервера - через этот маршрут и пойдёт исходящее подключение.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Настройка VPN сервиса для обхода блокировок

Сообщение r136a8 »

Извините не понял, можете более конкретизировать что и куда.
Спасибо
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Код: Выделить всё

/ip route add dst-address=адрес_сервера_vpn gateway=.219.1
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Если у сервера много адресов - можно так:

Код: Выделить всё

/ip firewall address-list add list=vpn-server-addresses address=eu-1.vpn.server.com
/ip firewall mangle add chain=output dst-address-list=vpn-server-addresses action=mark-routing new-routing-mark=WAN-E
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Настройка VPN сервиса для обхода блокировок

Сообщение r136a8 »

Все работает спасибо интернет уже с нужного провайдера, но появилась проблема со скоростью (очень часто прыгает высокая-низкая) и стабильностью работы интернет иногда совсем пропадает. Я так полагаю причина в количестве адресов у сервера. https://prnt.sc/k42a8d
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Пропадает почему? Базовая диагностика (пинг, трассировка) хотя бы нужна, телепатов нет. Число адресов у сервера ни на что не влияет, любое обращение роутера к любому из адресов в списке пойдёт через WAN-E
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Настройка VPN сервиса для обхода блокировок

Сообщение r136a8 »

Сделал трассировку. Интернет через WAN-E, страницы вовсе не грузятся.
https://prnt.sc/k4amub

Без этих настроек, когда интернет через WAN-V скорость отличная, обрывов связи нет
Chupaka писал(а): 04 июл 2018, 17:54 Если у сервера много адресов - можно так:

Код: Выделить всё

/ip firewall address-list add list=vpn-server-addresses address=eu-1.vpn.server.com
/ip firewall mangle add chain=output dst-address-list=vpn-server-addresses action=mark-routing new-routing-mark=WAN-E
https://prnt.sc/k4au5m
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

r136a8 писал(а): 09 июл 2018, 15:49 Сделал трассировку. Интернет через WAN-E, страницы вовсе не грузятся.
https://prnt.sc/k4amub
Ну, тут вроде доступа не было, потом появился - должно было заработать. Возможно, кэш DNS не позволяет клиентам мгновенно войти в работу.
r136a8 писал(а): 09 июл 2018, 15:49 Без этих настроек, когда интернет через WAN-V скорость отличная, обрывов связи нет
Другой канал - другое качество. Вроде ничего неожиданного :)
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Настройка VPN сервиса для обхода блокировок

Сообщение r136a8 »

По пропускаемости оба канала одинаковые.
Если работает через провайдера WAN-E то работает не стабльно после перезагрузки устройства интернет работает на хорошей скорости около 5 минут и потом начинаютя тормоза, высокой скорости я так и не дождался.
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Что с использованием ресурсов роутера? ЦПУ, память...
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Настройка VPN сервиса для обхода блокировок

Сообщение r136a8 »

Как по мне все хорошо
https://prnt.sc/k4ep33
Включил, перезагрузил. Интернета нет. Подождал минут 30-40 тоже самое.
Включил выключил pptp-out в меню интерфейс для переподключения (иногда помогает) но ничего не меняется страницы не грузятся.

Возможно попробовать выписать каждый хост и по отдельности попробовать по этой настройке

Код: Выделить всё

/ip route add dst-address=адрес_сервера_vpn gateway=.219.1
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Судя по трассировке, доступ есть. Может, с DNS загвоздка? Какие ошибки в браузере?
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Настройка VPN сервиса для обхода блокировок

Сообщение r136a8 »

Скрин Chrome и Firefox а также ping google.com и speedtest.net через терминал
https://prnt.sc/k4f7sb
https://prnt.sc/k4f82e
https://prnt.sc/k4f861
https://prnt.sc/k4f8bu
https://prnt.sc/k4f8g2
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Ну, тут пару раз уже встречалось, что по итогу причиной оказывался провайдер VPN - в данном случае не может такого быть? :)
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Настройка VPN сервиса для обхода блокировок

Сообщение r136a8 »

Вы имеете ввиду что этот провайдет не воспринимает VPN? Сам VPN работает хорошо/ не плохо.
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Ну, разве что ещё попробовать уменьшить MSS:

Код: Выделить всё

/ip firewall mangle
add chain=prerouting protocol=tcp tcp-flags=syn tcp-mss=1301-65535 action=change-mss new-mss=1300
А дальше, если не поможет - смотреть через Tools -> Torch или Packet Sniffer, какие пакеты куда улетают и где теряются, например.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Настройка VPN сервиса для обхода блокировок

Сообщение r136a8 »

Добрый день, помогите.
Вернулся к VPN сервису и есть проблема с подключением к интернету.

Устройство - RB4011iGS+
Прошивка - 6.45.7
Тип подключения PPTP иснструкция от поставщика услуг https://support.purevpn.com/mikrotik-configuration


Как делаю (так как вы писали несколько постов выше)
  • Создал pptp клиент, заполнил, куда подключаться и скаким паролем. Убрал галку Add default route (интерфейс в состоянии connected).
Изображение

  • Создал правило NAT для трафика, идущего в этот интерфейс (/ip firew nat add chain=srcnat out-interface=VPN-PPTP action=masq).
Изображение
  • Создал маршрут по умолчанию в новой таблице маршрутизации (/ip route add routing-mark=VPN gateway=VPN-PPTP).
Изображение

  • В mangle отмаркировал (action=mark-routing new-routing-mark=VPN-PPTP) и указал адрес IP на какое устройство гнать трафик в Src Address
Изображение


Все бы работало хорошо, но так-как у меня в IP - DNS стоит галка Allow Remote request
А также в IP - DHCP Server - Network (dns servers) прописаны DNS провайдера интернета нет по VPN (хотя я уверен что раньше с такими же настройками все работало, сейчас по каким-то причинам не работает) Если дописать DNS VPN сюда то всеравно не работает
Изображение

Куда мне прописать DNS VPN провйдера согласно инструкции 13-14 пунката https://support.purevpn.com/mikrotik-configuration так как интернет так не работает и google выдает ошибку DNS_PROBE_FINISHED_BAD_CONFIG
Изображение

В общем прошу помощи
Спасибо
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Добрый. Начали за здравие — а на самом важном как-то сумбурно всё в кучу свалили, ничего не понятно. Есть подозрение, что у вас DNS-сервером должен быть роутер (т.к. вы упомянули Allow remote requests), но ваше правило любой трафик от указанного клиента отправляет в VPN. Добавьте в правило маркировки dst-address-type=!local — тогда оно не будет метить пакеты, идущие на адреса самого роутера.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Настройка VPN сервиса для обхода блокировок

Сообщение r136a8 »

Chupaka писал(а): 01 дек 2019, 15:47 Добрый. Начали за здравие — а на самом важном как-то сумбурно всё в кучу свалили, ничего не понятно. Есть подозрение, что у вас DNS-сервером должен быть роутер (т.к. вы упомянули Allow remote requests), но ваше правило любой трафик от указанного клиента отправляет в VPN. Добавьте в правило маркировки dst-address-type=!local — тогда оно не будет метить пакеты, идущие на адреса самого роутера.
Если я правильно понимаю если бы роутер выступал DNS-сервером то у меня бы в IP -> DHCP Server -> Networks были прописаны адреса 192.168.88.1 и 192.168.99.1 соответственно к примеру, но у меня там прописаны DNS провайдеров (так как если прописать днс сети то иногда интернет провадает на всех сетях роутера ( у меня их сейчас 3))

Как быть в такой ситуации когда роутер не выступат в роли DNS-сервера?
Аватара пользователя
Chupaka
Сообщения: 3870
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Так а кто является DNS? Не VPN? А то я не очень различаю, чем отличаются "провайдер" и "сеть" в вашем понимании...

В общем, если ДНС не должны запихиваться в ВПН - добавьте выше в mangle правило для accept'а трафика в сторону ДНС.
Ответить