Настройка VPN сервиса для обхода блокировок

Базовая функциональность RouterOS
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Пропадает почему? Базовая диагностика (пинг, трассировка) хотя бы нужна, телепатов нет. Число адресов у сервера ни на что не влияет, любое обращение роутера к любому из адресов в списке пойдёт через WAN-E
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Настройка VPN сервиса для обхода блокировок

Сообщение r136a8 »

Сделал трассировку. Интернет через WAN-E, страницы вовсе не грузятся.
https://prnt.sc/k4amub

Без этих настроек, когда интернет через WAN-V скорость отличная, обрывов связи нет
Chupaka писал(а): 04 июл 2018, 17:54 Если у сервера много адресов - можно так:

Код: Выделить всё

/ip firewall address-list add list=vpn-server-addresses address=eu-1.vpn.server.com
/ip firewall mangle add chain=output dst-address-list=vpn-server-addresses action=mark-routing new-routing-mark=WAN-E
https://prnt.sc/k4au5m
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

r136a8 писал(а): 09 июл 2018, 15:49 Сделал трассировку. Интернет через WAN-E, страницы вовсе не грузятся.
https://prnt.sc/k4amub
Ну, тут вроде доступа не было, потом появился - должно было заработать. Возможно, кэш DNS не позволяет клиентам мгновенно войти в работу.
r136a8 писал(а): 09 июл 2018, 15:49 Без этих настроек, когда интернет через WAN-V скорость отличная, обрывов связи нет
Другой канал - другое качество. Вроде ничего неожиданного :)
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Настройка VPN сервиса для обхода блокировок

Сообщение r136a8 »

По пропускаемости оба канала одинаковые.
Если работает через провайдера WAN-E то работает не стабльно после перезагрузки устройства интернет работает на хорошей скорости около 5 минут и потом начинаютя тормоза, высокой скорости я так и не дождался.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Что с использованием ресурсов роутера? ЦПУ, память...
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Настройка VPN сервиса для обхода блокировок

Сообщение r136a8 »

Как по мне все хорошо
https://prnt.sc/k4ep33
Включил, перезагрузил. Интернета нет. Подождал минут 30-40 тоже самое.
Включил выключил pptp-out в меню интерфейс для переподключения (иногда помогает) но ничего не меняется страницы не грузятся.

Возможно попробовать выписать каждый хост и по отдельности попробовать по этой настройке

Код: Выделить всё

/ip route add dst-address=адрес_сервера_vpn gateway=.219.1
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Судя по трассировке, доступ есть. Может, с DNS загвоздка? Какие ошибки в браузере?
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Настройка VPN сервиса для обхода блокировок

Сообщение r136a8 »

Скрин Chrome и Firefox а также ping google.com и speedtest.net через терминал
https://prnt.sc/k4f7sb
https://prnt.sc/k4f82e
https://prnt.sc/k4f861
https://prnt.sc/k4f8bu
https://prnt.sc/k4f8g2
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Ну, тут пару раз уже встречалось, что по итогу причиной оказывался провайдер VPN - в данном случае не может такого быть? :)
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Настройка VPN сервиса для обхода блокировок

Сообщение r136a8 »

Вы имеете ввиду что этот провайдет не воспринимает VPN? Сам VPN работает хорошо/ не плохо.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Ну, разве что ещё попробовать уменьшить MSS:

Код: Выделить всё

/ip firewall mangle
add chain=prerouting protocol=tcp tcp-flags=syn tcp-mss=1301-65535 action=change-mss new-mss=1300
А дальше, если не поможет - смотреть через Tools -> Torch или Packet Sniffer, какие пакеты куда улетают и где теряются, например.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Настройка VPN сервиса для обхода блокировок

Сообщение r136a8 »

Добрый день, помогите.
Вернулся к VPN сервису и есть проблема с подключением к интернету.

Устройство - RB4011iGS+
Прошивка - 6.45.7
Тип подключения PPTP иснструкция от поставщика услуг https://support.purevpn.com/mikrotik-configuration


Как делаю (так как вы писали несколько постов выше)
  • Создал pptp клиент, заполнил, куда подключаться и скаким паролем. Убрал галку Add default route (интерфейс в состоянии connected).
Изображение

  • Создал правило NAT для трафика, идущего в этот интерфейс (/ip firew nat add chain=srcnat out-interface=VPN-PPTP action=masq).
Изображение
  • Создал маршрут по умолчанию в новой таблице маршрутизации (/ip route add routing-mark=VPN gateway=VPN-PPTP).
Изображение

  • В mangle отмаркировал (action=mark-routing new-routing-mark=VPN-PPTP) и указал адрес IP на какое устройство гнать трафик в Src Address
Изображение


Все бы работало хорошо, но так-как у меня в IP - DNS стоит галка Allow Remote request
А также в IP - DHCP Server - Network (dns servers) прописаны DNS провайдера интернета нет по VPN (хотя я уверен что раньше с такими же настройками все работало, сейчас по каким-то причинам не работает) Если дописать DNS VPN сюда то всеравно не работает
Изображение

Куда мне прописать DNS VPN провйдера согласно инструкции 13-14 пунката https://support.purevpn.com/mikrotik-configuration так как интернет так не работает и google выдает ошибку DNS_PROBE_FINISHED_BAD_CONFIG
Изображение

В общем прошу помощи
Спасибо
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Добрый. Начали за здравие — а на самом важном как-то сумбурно всё в кучу свалили, ничего не понятно. Есть подозрение, что у вас DNS-сервером должен быть роутер (т.к. вы упомянули Allow remote requests), но ваше правило любой трафик от указанного клиента отправляет в VPN. Добавьте в правило маркировки dst-address-type=!local — тогда оно не будет метить пакеты, идущие на адреса самого роутера.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Настройка VPN сервиса для обхода блокировок

Сообщение r136a8 »

Chupaka писал(а): 01 дек 2019, 15:47 Добрый. Начали за здравие — а на самом важном как-то сумбурно всё в кучу свалили, ничего не понятно. Есть подозрение, что у вас DNS-сервером должен быть роутер (т.к. вы упомянули Allow remote requests), но ваше правило любой трафик от указанного клиента отправляет в VPN. Добавьте в правило маркировки dst-address-type=!local — тогда оно не будет метить пакеты, идущие на адреса самого роутера.
Если я правильно понимаю если бы роутер выступал DNS-сервером то у меня бы в IP -> DHCP Server -> Networks были прописаны адреса 192.168.88.1 и 192.168.99.1 соответственно к примеру, но у меня там прописаны DNS провайдеров (так как если прописать днс сети то иногда интернет провадает на всех сетях роутера ( у меня их сейчас 3))

Как быть в такой ситуации когда роутер не выступат в роли DNS-сервера?
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Так а кто является DNS? Не VPN? А то я не очень различаю, чем отличаются "провайдер" и "сеть" в вашем понимании...

В общем, если ДНС не должны запихиваться в ВПН - добавьте выше в mangle правило для accept'а трафика в сторону ДНС.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Настройка VPN сервиса для обхода блокировок

Сообщение r136a8 »

Chupaka писал(а): 03 дек 2019, 00:14 Так а кто является DNS? Не VPN? А то я не очень различаю, чем отличаются "провайдер" и "сеть" в вашем понимании...

В общем, если ДНС не должны запихиваться в ВПН - добавьте выше в mangle правило для accept'а трафика в сторону ДНС.
Микротик не является DNS (как я понимаю)
Изображение
Изображение

А если нужно ДНС запихнуть в VPN как это сделать?
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

r136a8 писал(а): 08 дек 2019, 20:23 А если нужно ДНС запихнуть в VPN как это сделать?
У вас, как понимаю, это уже сделано. Проверьте трассировкой.
voip
Сообщения: 2
Зарегистрирован: 24 июн 2020, 19:32

Re: Настройка VPN сервиса для обхода блокировок

Сообщение voip »

Здравствуйте. Схема сети у меня похожая за одним исключением что VPN сервером является MikroTik CHR установленный на VPS. Клиентом является уже железный MikroTik(между ними l2tp), который так же обслуживает локальную сеть. Таким же образом как и у автора сделана маркировка и один компьютер из локальной сети ходит через туннель в интернет. Такая же проблема с ДНС которую не могу понять. Суть: с локального хоста, который " ходит через туннель в интернет" не могу пинговать сайты по именам, не резолвятся. Пинги же по IP адресам прекрасно работают. Подскажите советом пожалуйста. Возможно нужно как то дополнительно маркировать именно днс запросы с хоста и направлять их в vpn-туннель в сторону MikroTik CHR? Пробовал так, но не помогло - счетчики по нулям.

/ip firewall mangle
add chain=output protocol=udp dst-port=53 action=mark-routing new-routing-mark=dns
/ip route
add gateway=VPN_TUNNEL routing-mark=dns
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Приветствую. У вас в chain=output других правил выше нет, которые могут перехватывать пакеты DNS? А в таблице main есть маршрут по умолчанию или хотя бы маршрут к адресу DNS-сервера?
voip
Сообщения: 2
Зарегистрирован: 24 июн 2020, 19:32

Re: Настройка VPN сервиса для обхода блокировок

Сообщение voip »

Здравствуйте.
Я извиняюсь сам перегрелся, искал там где не нужно было. На стороне MikroTik CHR в профиле PPP создал новый профиль с указанием DNS. В качестве ДНС указал ip адрес туннеля на сервере MikroTik CHR.

Отвечаю на вопросы. В chain=output других правил нет. Вообще оно одно. В таблице main - я со своими скромными познаниями считаю ее дефолтной в случаи одного провайдера, могу сказать только то, что локальная сеть за железным микротиком получает днс от провайдера. Прошу прощения если не так Вас понял.
Спасибо что откликнулись, пытался озвучить данный вопрос в канал телеграмма посвященных микротику, но там подсказку не получил.
Но как начинающему было бы интересно узнать возможно ли передать запросы внутрь l2tp к софтовому MikroTik CHR.
Еще раз СПАСИБО за ВАШЕ не равнодушие.
Аватара пользователя
Chupaka
Сообщения: 3878
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Честно говоря, я так и не понял, решена ли проблема :)

Запросы можно передать куда угодно, надо только понять, куда. Вы локальным хостом называете не тот роутер, который поднимает VPN? Просто chain=output - это трафик, сгенерированный самим роутером, а его клиентов надо искать в chain=forward.

А про main я спросил из-за особенности обработки локального (сгенерированного роутером) трафика в RouterOS: сначала производится просмотр таблицы main, потом трафик попадает в mangle output, и если там была навешена routing mark - происходит просмотр уже новой таблицы маршрутизации. Если в main подходящего маршрута не оказалось - процесс прерывается с ошибкой.
Ответить