Настройка VPN сервиса для обхода блокировок

Базовая функциональность RouterOS
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Ну, разве что ещё попробовать уменьшить MSS:

Код: Выделить всё

/ip firewall mangle
add chain=prerouting protocol=tcp tcp-flags=syn tcp-mss=1301-65535 action=change-mss new-mss=1300
А дальше, если не поможет - смотреть через Tools -> Torch или Packet Sniffer, какие пакеты куда улетают и где теряются, например.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Настройка VPN сервиса для обхода блокировок

Сообщение r136a8 »

Добрый день, помогите.
Вернулся к VPN сервису и есть проблема с подключением к интернету.

Устройство - RB4011iGS+
Прошивка - 6.45.7
Тип подключения PPTP иснструкция от поставщика услуг https://support.purevpn.com/mikrotik-configuration


Как делаю (так как вы писали несколько постов выше)
  • Создал pptp клиент, заполнил, куда подключаться и скаким паролем. Убрал галку Add default route (интерфейс в состоянии connected).
Изображение

  • Создал правило NAT для трафика, идущего в этот интерфейс (/ip firew nat add chain=srcnat out-interface=VPN-PPTP action=masq).
Изображение
  • Создал маршрут по умолчанию в новой таблице маршрутизации (/ip route add routing-mark=VPN gateway=VPN-PPTP).
Изображение

  • В mangle отмаркировал (action=mark-routing new-routing-mark=VPN-PPTP) и указал адрес IP на какое устройство гнать трафик в Src Address
Изображение


Все бы работало хорошо, но так-как у меня в IP - DNS стоит галка Allow Remote request
А также в IP - DHCP Server - Network (dns servers) прописаны DNS провайдера интернета нет по VPN (хотя я уверен что раньше с такими же настройками все работало, сейчас по каким-то причинам не работает) Если дописать DNS VPN сюда то всеравно не работает
Изображение

Куда мне прописать DNS VPN провйдера согласно инструкции 13-14 пунката https://support.purevpn.com/mikrotik-configuration так как интернет так не работает и google выдает ошибку DNS_PROBE_FINISHED_BAD_CONFIG
Изображение

В общем прошу помощи
Спасибо
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Добрый. Начали за здравие — а на самом важном как-то сумбурно всё в кучу свалили, ничего не понятно. Есть подозрение, что у вас DNS-сервером должен быть роутер (т.к. вы упомянули Allow remote requests), но ваше правило любой трафик от указанного клиента отправляет в VPN. Добавьте в правило маркировки dst-address-type=!local — тогда оно не будет метить пакеты, идущие на адреса самого роутера.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Настройка VPN сервиса для обхода блокировок

Сообщение r136a8 »

Chupaka писал(а): 01 дек 2019, 15:47 Добрый. Начали за здравие — а на самом важном как-то сумбурно всё в кучу свалили, ничего не понятно. Есть подозрение, что у вас DNS-сервером должен быть роутер (т.к. вы упомянули Allow remote requests), но ваше правило любой трафик от указанного клиента отправляет в VPN. Добавьте в правило маркировки dst-address-type=!local — тогда оно не будет метить пакеты, идущие на адреса самого роутера.
Если я правильно понимаю если бы роутер выступал DNS-сервером то у меня бы в IP -> DHCP Server -> Networks были прописаны адреса 192.168.88.1 и 192.168.99.1 соответственно к примеру, но у меня там прописаны DNS провайдеров (так как если прописать днс сети то иногда интернет провадает на всех сетях роутера ( у меня их сейчас 3))

Как быть в такой ситуации когда роутер не выступат в роли DNS-сервера?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Так а кто является DNS? Не VPN? А то я не очень различаю, чем отличаются "провайдер" и "сеть" в вашем понимании...

В общем, если ДНС не должны запихиваться в ВПН - добавьте выше в mangle правило для accept'а трафика в сторону ДНС.
Аватара пользователя
r136a8
Сообщения: 201
Зарегистрирован: 04 дек 2017, 00:01

Re: Настройка VPN сервиса для обхода блокировок

Сообщение r136a8 »

Chupaka писал(а): 03 дек 2019, 00:14 Так а кто является DNS? Не VPN? А то я не очень различаю, чем отличаются "провайдер" и "сеть" в вашем понимании...

В общем, если ДНС не должны запихиваться в ВПН - добавьте выше в mangle правило для accept'а трафика в сторону ДНС.
Микротик не является DNS (как я понимаю)
Изображение
Изображение

А если нужно ДНС запихнуть в VPN как это сделать?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

r136a8 писал(а): 08 дек 2019, 20:23 А если нужно ДНС запихнуть в VPN как это сделать?
У вас, как понимаю, это уже сделано. Проверьте трассировкой.
voip
Сообщения: 2
Зарегистрирован: 24 июн 2020, 19:32

Re: Настройка VPN сервиса для обхода блокировок

Сообщение voip »

Здравствуйте. Схема сети у меня похожая за одним исключением что VPN сервером является MikroTik CHR установленный на VPS. Клиентом является уже железный MikroTik(между ними l2tp), который так же обслуживает локальную сеть. Таким же образом как и у автора сделана маркировка и один компьютер из локальной сети ходит через туннель в интернет. Такая же проблема с ДНС которую не могу понять. Суть: с локального хоста, который " ходит через туннель в интернет" не могу пинговать сайты по именам, не резолвятся. Пинги же по IP адресам прекрасно работают. Подскажите советом пожалуйста. Возможно нужно как то дополнительно маркировать именно днс запросы с хоста и направлять их в vpn-туннель в сторону MikroTik CHR? Пробовал так, но не помогло - счетчики по нулям.

/ip firewall mangle
add chain=output protocol=udp dst-port=53 action=mark-routing new-routing-mark=dns
/ip route
add gateway=VPN_TUNNEL routing-mark=dns
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Приветствую. У вас в chain=output других правил выше нет, которые могут перехватывать пакеты DNS? А в таблице main есть маршрут по умолчанию или хотя бы маршрут к адресу DNS-сервера?
voip
Сообщения: 2
Зарегистрирован: 24 июн 2020, 19:32

Re: Настройка VPN сервиса для обхода блокировок

Сообщение voip »

Здравствуйте.
Я извиняюсь сам перегрелся, искал там где не нужно было. На стороне MikroTik CHR в профиле PPP создал новый профиль с указанием DNS. В качестве ДНС указал ip адрес туннеля на сервере MikroTik CHR.

Отвечаю на вопросы. В chain=output других правил нет. Вообще оно одно. В таблице main - я со своими скромными познаниями считаю ее дефолтной в случаи одного провайдера, могу сказать только то, что локальная сеть за железным микротиком получает днс от провайдера. Прошу прощения если не так Вас понял.
Спасибо что откликнулись, пытался озвучить данный вопрос в канал телеграмма посвященных микротику, но там подсказку не получил.
Но как начинающему было бы интересно узнать возможно ли передать запросы внутрь l2tp к софтовому MikroTik CHR.
Еще раз СПАСИБО за ВАШЕ не равнодушие.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Настройка VPN сервиса для обхода блокировок

Сообщение Chupaka »

Честно говоря, я так и не понял, решена ли проблема :)

Запросы можно передать куда угодно, надо только понять, куда. Вы локальным хостом называете не тот роутер, который поднимает VPN? Просто chain=output - это трафик, сгенерированный самим роутером, а его клиентов надо искать в chain=forward.

А про main я спросил из-за особенности обработки локального (сгенерированного роутером) трафика в RouterOS: сначала производится просмотр таблицы main, потом трафик попадает в mangle output, и если там была навешена routing mark - происходит просмотр уже новой таблицы маршрутизации. Если в main подходящего маршрута не оказалось - процесс прерывается с ошибкой.