Настройка VPN сервиса для обхода блокировок

[Chupaka]

Ну, разве что ещё попробовать уменьшить MSS:

Код: Выделить всё

/ip firewall mangle
add chain=prerouting protocol=tcp tcp-flags=syn tcp-mss=1301-65535 action=change-mss new-mss=1300

А дальше, если не поможет - смотреть через Tools -> Torch или Packet Sniffer, какие пакеты куда улетают и где теряются, например.

[r136a8]

Добрый день, помогите.
Вернулся к VPN сервису и есть проблема с подключением к интернету.

Устройство - RB4011iGS+
Прошивка - 6.45.7
Тип подключения PPTP иснструкция от поставщика услуг https://support.purevpn.com/mikrotik-configuration


Как делаю (так как вы писали несколько постов выше)

• Создал pptp клиент, заполнил, куда подключаться и скаким паролем. Убрал галку Add default route (интерфейс в состоянии connected).

• Создал правило NAT для трафика, идущего в этот интерфейс (/ip firew nat add chain=srcnat out-interface=VPN-PPTP action=masq).

• Создал маршрут по умолчанию в новой таблице маршрутизации (/ip route add routing-mark=VPN gateway=VPN-PPTP).

• В mangle отмаркировал (action=mark-routing new-routing-mark=VPN-PPTP) и указал адрес IP на какое устройство гнать трафик в Src Address

Все бы работало хорошо, но так-как у меня в IP - DNS стоит галка Allow Remote request
А также в IP - DHCP Server - Network (dns servers) прописаны DNS провайдера интернета нет по VPN (хотя я уверен что раньше с такими же настройками все работало, сейчас по каким-то причинам не работает) Если дописать DNS VPN сюда то всеравно не работает


Куда мне прописать DNS VPN провйдера согласно инструкции 13-14 пунката https://support.purevpn.com/mikrotik-configuration так как интернет так не работает и google выдает ошибку DNS_PROBE_FINISHED_BAD_CONFIG


В общем прошу помощи
Спасибо

[Chupaka]

Добрый. Начали за здравие — а на самом важном как-то сумбурно всё в кучу свалили, ничего не понятно. Есть подозрение, что у вас DNS-сервером должен быть роутер (т.к. вы упомянули Allow remote requests), но ваше правило любой трафик от указанного клиента отправляет в VPN. Добавьте в правило маркировки dst-address-type=!local — тогда оно не будет метить пакеты, идущие на адреса самого роутера.

[r136a8]

Добрый. Начали за здравие — а на самом важном как-то сумбурно всё в кучу свалили, ничего не понятно. Есть подозрение, что у вас DNS-сервером должен быть роутер (т.к. вы упомянули Allow remote requests), но ваше правило любой трафик от указанного клиента отправляет в VPN. Добавьте в правило маркировки dst-address-type=!local — тогда оно не будет метить пакеты, идущие на адреса самого роутера.

Если я правильно понимаю если бы роутер выступал DNS-сервером то у меня бы в IP -> DHCP Server -> Networks были прописаны адреса 192.168.88.1 и 192.168.99.1 соответственно к примеру, но у меня там прописаны DNS провайдеров (так как если прописать днс сети то иногда интернет провадает на всех сетях роутера ( у меня их сейчас 3))

Как быть в такой ситуации когда роутер не выступат в роли DNS-сервера?

[Chupaka]

Так а кто является DNS? Не VPN? А то я не очень различаю, чем отличаются "провайдер" и "сеть" в вашем понимании...

В общем, если ДНС не должны запихиваться в ВПН - добавьте выше в mangle правило для accept'а трафика в сторону ДНС.

[r136a8]

Так а кто является DNS? Не VPN? А то я не очень различаю, чем отличаются "провайдер" и "сеть" в вашем понимании...

В общем, если ДНС не должны запихиваться в ВПН - добавьте выше в mangle правило для accept'а трафика в сторону ДНС.

Микротик не является DNS (как я понимаю)



А если нужно ДНС запихнуть в VPN как это сделать?

[Chupaka]

А если нужно ДНС запихнуть в VPN как это сделать?

У вас, как понимаю, это уже сделано. Проверьте трассировкой.

[voip]

Здравствуйте. Схема сети у меня похожая за одним исключением что VPN сервером является MikroTik CHR установленный на VPS. Клиентом является уже железный MikroTik(между ними l2tp), который так же обслуживает локальную сеть. Таким же образом как и у автора сделана маркировка и один компьютер из локальной сети ходит через туннель в интернет. Такая же проблема с ДНС которую не могу понять. Суть: с локального хоста, который " ходит через туннель в интернет" не могу пинговать сайты по именам, не резолвятся. Пинги же по IP адресам прекрасно работают. Подскажите советом пожалуйста. Возможно нужно как то дополнительно маркировать именно днс запросы с хоста и направлять их в vpn-туннель в сторону MikroTik CHR? Пробовал так, но не помогло - счетчики по нулям.

/ip firewall mangle
add chain=output protocol=udp dst-port=53 action=mark-routing new-routing-mark=dns
/ip route
add gateway=VPN_TUNNEL routing-mark=dns

[Chupaka]

Приветствую. У вас в chain=output других правил выше нет, которые могут перехватывать пакеты DNS? А в таблице main есть маршрут по умолчанию или хотя бы маршрут к адресу DNS-сервера?

[voip]

Здравствуйте.
Я извиняюсь сам перегрелся, искал там где не нужно было. На стороне MikroTik CHR в профиле PPP создал новый профиль с указанием DNS. В качестве ДНС указал ip адрес туннеля на сервере MikroTik CHR.

Отвечаю на вопросы. В chain=output других правил нет. Вообще оно одно. В таблице main - я со своими скромными познаниями считаю ее дефолтной в случаи одного провайдера, могу сказать только то, что локальная сеть за железным микротиком получает днс от провайдера. Прошу прощения если не так Вас понял.
Спасибо что откликнулись, пытался озвучить данный вопрос в канал телеграмма посвященных микротику, но там подсказку не получил.
Но как начинающему было бы интересно узнать возможно ли передать запросы внутрь l2tp к софтовому MikroTik CHR.
Еще раз СПАСИБО за ВАШЕ не равнодушие.

[Chupaka]

Честно говоря, я так и не понял, решена ли проблема

Запросы можно передать куда угодно, надо только понять, куда. Вы локальным хостом называете не тот роутер, который поднимает VPN? Просто chain=output - это трафик, сгенерированный самим роутером, а его клиентов надо искать в chain=forward.

А про main я спросил из-за особенности обработки локального (сгенерированного роутером) трафика в RouterOS: сначала производится просмотр таблицы main, потом трафик попадает в mangle output, и если там была навешена routing mark - происходит просмотр уже новой таблицы маршрутизации. Если в main подходящего маршрута не оказалось - процесс прерывается с ошибкой.