Обход блокировок Mikrotik Роскомнадзора, Instagram, Telegram, рунета, провайдера, настройка VPN

Настройка Mikrotik для обхода блокировки сайтов

Бывают такие ситуации, когда провайдер блокирует доступ к некоторым ресурсам. Для обход блокировок используют Mikrotik VPN.

Зачастую, блокировка ресурсов осуществляется на базе URL, IP и DNS, многое, конечно же, зависит от типа и возможностей оборудования, применяемого самим провайдером.

Блокировка по IP – один из популярных методов, при котором запрет осуществляется на базе конечного IP-адреса ресурса, это также может быть диапазон IP или же несколько диапазонов (для очень больших проектов).

Блокировка по DNS сводится к запрету, исключению либо подмене конечного IP для заданного домена. По сути, данный метод блокировки обходится довольно просто, путем замены DNS провайдера на сторонние, к примеру Google DNS (8.8.8.8, 8.8.4.4), Yandex DNS (базовый: 77.88.8.8, 77.88.8.1; безопасный: 77.88.8.88, 77.88.8.2; семейный 77.88.8.7, 77.88.8.3) или любой другой, который вашей душе угоден.

Серьезные провайдеры могут использовать так называемый DPI (Deep packet inspection), который по сути, является глубоким анализов пакетов. DPI способен блокировать ресурсы не только по IP или DNS, но и при использовании прокси-серверов (Proxy) или других незащищенных каналов передачи.

В случае с простой блокировкой IP, обход осуществляется без проблем при помощи любого прокси-анонимайзера или любого VPN.

В случае с DPI, всё куда более сложнее, т.к. система анализирует не только заголовки пакетов, конечного получателя и т.д., но и содержимое пакета, копаясь в передаваемых данных, тем самым может даже нарушать законодательство, если, конечно же, в пользовательском соглашении нет мелкого шрифта. Возможности DPI очень широки и при желании, провайдер может даже запретить вам использовать OpenVPN.

Сегодня мы не будем рассматривать все методы обхода всех видов блокировки, а лишь рассмотрим один из вариантов реализации обхода, который предложен в официальной документации Mikrotik (Policy Based Routing).

Предполагается, что заранее у вас уже должен быть маршрутизатор на RouterOS, если такого не имеется — по выгодной цене маршрутизаторы Mikrotik можно приобрести в интернет-магазине asp24.ru.

Наиболее простой вариант обхода – использовать серверы VPN. Причем заблокированные ресурсы можно открывать через VPN, а все оставшиеся – через провайдера.

У данного метода существует ряд преимуществ. Одно из главных достоинств данного метода состоит в том, что вы будете использовать лишь часть пропускной способности VPN. Дело в том, что сервисы VPN обычно находятся далеко заграницей и каналы к ним сильно загружены, поэтому направляя через тоннель весь трафик, скорость доступа будет падать, причем как для заблокированных ресурсов, так и для всех остальных.

Из дополнительных преимуществ данного метода можно отметить отсутствие необходимости настройки VPN на всех клиентских устройствах, особенно если это смартфон. Хотя для смартфонов существует достаточное количество бесплатных приложений, реализующих необходимый функционал.

Есть у данного способа и недостаток – поиск оптимального VPN-сервиса, как вариант, покупка премиум-аккаунта.

Создание списка адресов

К примеру, у нас есть листинг из заблокированных адресов. В качестве примера у нас 4 списка: ВКонтакте, Одноклассники, Yandex и Mail.ru.

Все диапазоны в виде команд для Mikrotik, для простоты добавление. Некоторые спросят, а почему не объединить все ресурсы в один список? Ответ очень простой, при изменении всего одного интернет-ресурса, вы будете вынуждены пересматривать весь список, т.к. по одним подсетям вы ориентироваться будет сложно.

Адреса можно добавлять как вручную через терминал из WinBox > New Terminal.

Список подсетей для ресурсов ВКонткте

/ip firewall address-list add address=87.240.128.0/18list=vkcom add address=93.186.224.0/20list=vkcom add address=95.142.192.0/20list=vkcom add address=95.213.0.0/17list=vkcom add address=185.32.248.0/22list=vkcom add address=95.213.0.0/18list=vkcom add address=95.142.207.0/24list=vkcom add address=95.142.206.0/24list=vkcom add address=95.142.204.0/23list=vkcom add address=95.142.203.0/24list=vkcom add address=95.142.202.0/24list=vkcom add address=95.142.201.0/24list=vkcom add address=95.142.200.0/21list=vkcom add address=95.142.192.0/21list=vkcom add address=93.186.232.0/21list=vkcom add address=93.186.224.0/21list=vkcom add address=185.32.251.0/24list=vkcom add address=185.32.250.0/24list=vkcom add address=185.32.248.0/23list=vkcom add address=185.29.130.0/24list=vkcom

 

Либо предварительно загрузив в память микротика необходимые списки в виде командных файлов с разрешением RSC. Файлы в Mikrotik загружаются путем обычного петаскивания на окно WinBox > Files. Или же при помощи кнопки Upload, если Drag-n-Drop по каким-то причинам не работает. После чего импортируете списки командой:

import file=vkcom.rsc

Список подсетей для ресурсов Яндекса (в т.ч. КиноПоиск)

/ip firewall address-list add address=5.45.192.0/18list=yandex add address=5.255.192.0/18list=yandex add address=37.9.64.0/18list=yandex add address=37.140.128.0/18list=yandex add address=77.88.0.0/18list=yandex add address=84.201.128.0/18list=yandex add address=87.250.224.0/19list=yandex add address=93.158.128.0/18list=yandex add address=95.108.128.0/17list=yandex add address=100.43.64.0/19list=yandex add address=130.193.32.0/19list=yandex add address=141.8.128.0/18list=yandex add address=178.154.128.0/17list=yandex add address=199.21.96.0/22list=yandex add address=199.36.240.0/22list=yandex add address=213.180.192.0/19list=yandex add address=93.158.134.0/24list=yandex add address=87.250.255.0/24list=yandex add address=87.250.254.0/24list=yandex add address=87.250.251.0/24list=yandex add address=87.250.250.0/24list=yandex add address=87.250.247.0/24list=yandex add address=77.88.8.0/24list=yandex add address=77.88.55.0/24list=yandex add address=77.88.54.0/24list=yandex add address=77.88.44.0/24list=yandex add address=77.88.35.0/24list=yandex add address=77.88.21.0/24list=yandex add address=77.75.159.0/24list=yandex add address=77.75.152.0/22list=yandex add address=5.45.240.0/24list=yandex add address=5.45.232.0/24list=yandex add address=5.45.229.0/24list=yandex add address=5.45.217.0/24list=yandex add address=5.45.213.0/24list=yandex add address=5.45.205.0/24list=yandex add address=5.45.196.0/24list=yandex add address=5.255.255.0/24list=yandex add address=5.255.200.0/24list=yandex add address=5.255.196.0/24list=yandex add address=5.255.195.0/24list=yandex add address=37.9.112.0/24list=yandex add address=213.180.204.0/24list=yandex add address=213.180.202.0/24list=yandex add address=213.180.199.0/24list=yandex add address=213.180.193.0/24list=yandex add address=185.71.79.0/24list=yandex add address=185.71.78.0/24list=yandex add address=185.71.77.0/24list=yandex add address=185.71.76.0/24list=yandex add address=185.71.76.0/22list=yandex add address=185.32.186.0/24list=yandex add address=185.32.185.0/24list=yandex add address=178.154.170.0/24list=yandex add address=178.154.131.0/24list=yandex add address=109.235.165.0/24list=yandex add address=109.235.160.0/21list=yandex add address=100.43.87.0/24list=yandex

Список подсетей для Одноклассники.ru

/ip firewall address-list add address=5.61.16.0/21list=okru add address=5.61.232.0/21list=okru add address=79.137.157.0/24list=okru add address=79.137.183.0/24list=okru add address=94.100.176.0/20list=okru add address=95.163.32.0/19list=okru add address=128.140.168.0/21list=okru add address=178.22.88.0/21list=okru add address=178.237.16.0/20list=okru add address=185.5.136.0/22list=okru add address=185.6.247.0/24list=okru add address=185.16.244.0/22list=okru add address=188.93.56.0/21list=okru add address=194.186.63.0/24list=okru add address=195.211.20.0/22list=okru add address=195.218.168.0/24list=okru add address=195.218.190.0/23list=okru add address=217.20.144.0/20list=okru add address=217.69.128.0/20list=okru

Список подсетей для ресурсов Mail.ru

/ip firewall address-list add address=5.61.16.0/21list=mailru add address=5.61.232.0/21list=mailru add address=79.137.157.0/24list=mailru add address=79.137.183.0/24list=mailru add address=94.100.176.0/20list=mailru add address=95.163.32.0/19list=mailru add address=128.140.168.0/21list=mailru add address=178.22.88.0/21list=mailru add address=178.237.16.0/20list=mailru add address=185.5.136.0/22list=mailru add address=185.6.247.0/24list=mailru add address=185.16.244.0/22list=mailru add address=188.93.56.0/21list=mailru add address=194.186.63.0/24list=mailru add address=195.211.20.0/22list=mailru add address=195.218.168.0/24list=mailru add address=195.218.190.0/23list=mailru add address=217.20.144.0/20list=mailru add address=217.69.128.0/20list=mailru add address=195.211.21.0/24list=mailru add address=195.211.22.0/24list=mailru add address=195.211.20.0/24list=mailru add address=208.87.94.0/24list=mailru add address=195.211.130.0/23list=mailru add address=195.211.128.0/24list=mailru add address=195.211.128.0/23list=mailru add address=195.211.128.0/22list=mailru add address=185.16.244.0/23list=mailru add address=185.16.148.0/22list=mailru add address=128.140.170.0/24list=mailru

Списки адресов находятся в разделе IP – Firewall – Address Lists.

Маркировка пакетов

Для того, чтобы отобрать только заблокированные ресурсы, необходимо найти и промаркировать необходимые пакеты. Делается это в IP – Firewall – Mangle.

При создании указываем следующие параметры:

chain=prerouting

action=mark-routing

dst-address-list=mailru (список адресов)

src-address=192.168.106.0/24 (локальная подсеть)

Вместо 192.168.106.0/24 необходимо указывать свою локальную подсеть, из которой будут идти обращения. Как несложно догадаться, dst-address-list это конечный адрес (из списка). Для всего трафика, удовлетворяющего данным условиям, будет установлена соответствующая метка Traffic_XXXXX.

/ip firewall mangle add action=mark-routing chain=prerouting comment=»Mark mail.ru» dst-address-list=mailru new-routing-mark=Traffic_mailru passthrough=no src-address=192.168.106.0/24 add action=mark-routing chain=prerouting comment=»Mark ok.ru» dst-address-list=okru new-routing-mark=Traffic_okru passthrough=no src-address=192.168.106.0/24 add action=mark-routing chain=prerouting comment=»Mark vk.com» dst-address-list=vkcom new-routing-mark=Traffic_vkcom passthrough=no src-address=192.168.106.0/24 add action=mark-routing chain=prerouting comment=»Mark Yandex» dst-address-list=yandex new-routing-mark=Traffic_yandex passthrough=no src-address=192.168.106.0/24

Создание VPN-подключения

В качестве примера воспользуемся бесплатным сервисом VPN PPTP – SuperFreeVPN. Для примера выберем сервер, расположенный в Лондоне (Великобритания) – IP 77.92.68.65 (uk.superfreevpn.com), логин free, пароль 1891. Обратите внимание, тип подключения PPTP либо L2TP. Минусом конкретно данного сервиса является то, что он постоянно меняет пароли для подключения к серверу, мы же используем его исключительно в качестве примера.

Создание подключения к VPN осуществляется в разделе PPP – Interface, нажимаем синий плюс и выбираем необходимый тип подключения.

/interface pptp-client add comment=»VPN Failover» connect-to=uk.superfreevpn.com disabled=no name=pptp-to-freevpn password=1891 user=free

Важно! Не используйте опцию «Add Default Route», в противном случае весь трафик пойдет через VPN.

Обратите внимание, некоторые серверы могут, как требовать шифрование, так и не использовать его вовсе, поэтому если соединение не удалось – проверьте используемый профиль подключения (PPP – Profiles). Для L2TP, в лучшем случае, используется MPPE 128-bit, который уже давным-давно скомпрометирован.

Лучшим вариантом будет использование OpenVPN, в частности с премиум-аккаунтом. Также не забывайте, что RouterOS не поддерживает пока TLS для OpenVPN.

Большинство бесплатных серверов могут быть нестабильны как в плане доступности, так и в плане скорости. К тому же, никто не гарантирует сохранности ваших личных данных. С учетом вышесказанного, к выбору поставщика услуг стоит подойти ответственно. Как минимум, всегда используйте защищенное соединение (HTTP) при работе с сайтами.

Настройка маскарадинга

Сам Mikrotik уже знает про новый шлюз, а для того, чтобы ресурсами VPN-канала смогли пользоваться другие пользователи локальной сети, необходимо настроить маскарадинг.

Делается это в разделе IP – Firewall – NAT. Для out-interface обязательно следует указать правильное название вашего VPN-подключения.

/ip firewall nat add action=masquerade chain=srcnat out-interface=pptp-to-freevpn

Добавление статических маршрутов

После настройки маскарадинга переходим к завершающему шагу – созданию статических маршрутов. Делается это в разделе IP – Routers.

/ip route add comment=»Route MAIL.RU» distance=1 gateway=pptp-to-freevpn routing-mark=Traffic_mailru add comment=»Route OK.RU» distance=1 gateway=pptp-to-freevpn routing-mark=Traffic_okru add comment=»Route VK.COM» distance=1 gateway=pptp-to-freevpn routing-mark=Traffic_vkcom add comment=»Route YANDEX» distance=1 gateway=pptp-to-freevpn routing-mark=Traffic_yandex

При создании маршрутов конечный адрес задаем как и для обычного интернет подключения –0.0.0.0/0, в качестве шлюза (gateway) необходимо указать VPN-подключение (в нашем случае pptp-to-freevpn). Обязательно выбираем routing-mark из выпадающего списка. Таким образом мы создаем статический маршрут для промаркированного трафика.

Вот собственно и всё, если всё проделано верно, а VPN рабочий – вы сможете получить доступ к необходимым ресурсам. Также можете почитать официальную документацию Mikrotik по Policy Base Routing.

Как узнать IP определенного сайта

Чуть выше, в качестве примера, опубликованы общие списки IP-адресов и диапазонов, принадлежащих соответствующим ресурсам. Списки предоставлен как есть, без претензий к их точности. Настоятельно рекомендую формировать список самостоятельно, так сказать «под себя».

В случае с обычными интернет-сайтам, обычно требуется добавить всего 1-2 IP-адреса, в то время как для больших проектов может использоваться несколько диапазонов. Как же найти все IP по определенному сайту?

В качестве наиболее простого варианта, из под Windows (вызов командной строки – комбинация Win+R) можно использовать стандартную команду:

nslookup <домен></ДОМЕН>

Недостатком такого метода является получение неполного списка адресов — некоторые сервисы могут отдавать всего 2 записи из Х, а на следующий день они уже могуть стать другими. Для поиска наиболее полного списка всех адресов, можно воспользоваться специальными сервисами. При помощи поиска от Hurricane Electric, можно производить поиск, как по доменному домену (например, youtube.com), так и по названию компании, которая владеет пулом адресов (например, Youtube либо YouTube, LLC).

Редактирование, обновление и добавление новых ресурсов

Еще одним неоспоримым преимуществом раздельных списков является то, что в любой момент можно добавлять, удалять или изменять отдельные списке, при этом остальные ресурсы не будут затронуты.

Список подсетей для Лаборатории Касперского

/ip firewall address-list add address=93.159.230.0/23list=kaspersky add address=93.159.228.0/23list=kaspersky add address=93.159.224.0/22list=kaspersky add address=91.103.64.0/21list=kaspersky add address=77.74.183.0/24list=kaspersky add address=77.74.180.0/22list=kaspersky add address=77.74.178.0/23list=kaspersky add address=77.74.177.0/24list=kaspersky add address=77.74.176.0/24list=kaspersky add address=185.85.15.0/24list=kaspersky add address=185.85.14.0/24list=kaspersky add address=185.85.12.0/24list=kaspersky add address=185.54.221.0/24list=kaspersky add address=185.54.220.0/24list=kaspersky

Ну и, конечно же, чтобы начать обработку нового списка, необходимо создать новый мангл (промаркировать пакеты) и статический маршрут для нового списка (общий принцип описан выше).

Что делать, если Policy Based Routing медленно работает?

На некоторых конфигурациях может возникнуть проблема, суть которой состоит в том, что при прямом подключении по VPN на ПК – всё работает быстро, но если настроить Policy Based Routing по вышеуказанному примеру в Mikrotik, сайты начинают открываются медленно.

Проблема решается отключением FastTrack в IP – Firewall – Filter Rules.

Поддержка FastTrack была добавлена, начиная с RouterOS 6.29, если кратко, функция позволяет пересылать некоторые пакеты без дополнительно обработки. В некоторых конфигурациях, данная функция позволяет существенно (в несколько раз) ускорить обработку пакетов и понизить нагрузку на процессор.

Что делать, если провайдер делает подмену DNS-записей?

Для того, чтобы показывать клиенту страницу-заглушку, вместо конечного URL, провайдеры практикуют подмену DNS-записей. Проверить это очень легко: открываем командную строку и делаем tracert для необходимого домена, после чего проверяем whois для конечного IP, который асоциирован с доменным именем. Если IP не принадлежит конечному ресурсу, значит имеет место подмена DNS-записи.

В таком случае, если вы используете DNS провайдера, при подключении по VPN, для конечного домена будет использоваться IP, предоставленный провайдером. Поэтому, при обращении к домену даже через VPN, в конечном итоге, вы обратно попадете на страницу с заглушкой (если это внешний IP) либо получите ошибку «сервер не найден» (если IP недоступен). В этом случае необходимо отказаться от использования DNS провайдера (use-peer-dns=no), например:

/ip dhcp-client
add comment=»default configuration» dhcp-options=hostname,clientid disabled=no interface=ether1-gateway use-peer-dns=no

Либо через интерфейс Winbox: зайти в подменю IP — DHCP Client, выбрать свое подключение к Интернет и отключить в его профиле опцию «Use Peer DNS».

Далее необходимо задействовать сторонние DNS-серверы, например Google DNS (8.8.8.8, 8.8.4.4), Яндекс DNS (77.88.8.8, 77.88.8.1) и/или любой другой сервер:

/ip dns set allow-remote-requests=yes cache-size=1024KiB query-server-timeout=1s servers=8.8.8.8,8.8.4.4,77.88.8.8,77.88.8.1

После чего выполняетм очистку кеша DNS-записей:

/ip dns cache flush

Либо в Winbox: в разделе IP — DNS — Cache — Flush Cache.

Что делать, если провайдер перехватывает обращения к стороннему DNS

На практике возможны случаи, когда провайдер перехватывает обращения к внешним DNS-сервисам (используя DNAT), возвращая при этом клиенту измененный ответ от сервера, в котором можно сразу подставить страницу с заглушкой. В этом случае все обращения к внешнему DNS также необходимо заворачивать в VPN, например:

/ip firewall address-list add address=8.8.8.8list=dns add address=8.8.4.4list=dns add address=77.88.8.8list=dns add address=77.88.8.1list=dns /ip firewall mangle add action=mark-routing chain=prerouting comment=»Mark DNS traffic»new-routing-mark=Traffic_dns passthrough=no src-address=192.168.106.0/24 /ip route add check-gateway=ping comment=»Route DNS» distance=1 gateway=l2tp-to-germany routing-mark=Traffic_dns

Есть у данного метода и минус: при подключении к серверу VPN по dns-имени, может возникнуть проблема, связанная с невозможностью получения IP, т.к. подключение по имени, а ответы от DNS принимаются только внутри тоннеля.

Обязательно, ВАЖНО, не ставить галочку Add Default Route

Мест, где можно купить VPS сервер в наше время очень много. Все зависит от ваших пожеланий и умению читать на иностранных языках. В любом случае рекомендую выбирать датацентр не очень далеко и который врядли заблокирует РосКомНадзор, то есть брать, например, Amazon или Google Cloud или Digital Ocean можно строго на свой страх и риск. Можно рассмотреть Hetzner или Aruba. Цена вопроса от 1 Евро в месяц (это я не пошутил). Можно взять за 5 Евро, а можно за 10. Смысл в том, чтобы там было достаточно траффика, точно не меньше 1Тб в месяц, но это предлагают по сути все провайдеры.

Покупаем VPS, операционная система Ubuntu 14. Поднять можно на чем угодно, просто Ubuntu роднее и удобнее лично мне.

После этого устанавливаем на нее pptp сервер. Инструкция взята отсюда. По факту инструкция такова. Получили логин-пароль, зашли через putty на сервер под root.

Создаем файл

nano vpn.sh

Вставляем внутрь файла вот этот вот скрипт:

#!/bin/bash

echo “Выберите, что вы хотите сделать:”

echo “1) Настроить новый PoPToP VPN сервер И создать нового пользователя”

echo “2) Создать дополнительных пользователей (к уже существующему VPN)”

read x

if test $x -eq 1; then

echo “Введите имя пользователя, которое нужно создать (н.п.. client1 or john):”

read u

echo “Введите пароль для этого пользователя:”

read p

# get the VPS IP

ip=`ifconfig eth0 | grep ‘inet addr’ | awk {‘print $2’} | sed s/.*://`

echo

echo “установка и настройка PoPToP”

apt-get update

apt-get install pptpd

echo

echo “Создание конфигурации сервера”

cat >> /etc/ppp/pptpd-options << END

name pptpd

refuse-pap

refuse-chap

refuse-mschap

require-mschap-v2

require-mppe-128

ms-dns 8.8.8.8

ms-dns 8.8.4.4

proxyarp

nodefaultroute

lock

nobsdcomp

END

# setting up pptpd.conf

echo “option /etc/ppp/pptpd-options” > /etc/pptpd.conf

echo “logwtmp” >> /etc/pptpd.conf

echo “localip $ip” >> /etc/pptpd.conf

echo “remoteip 10.1.0.1–100” >> /etc/pptpd.conf

# adding new user

echo “$u * $p *” >> /etc/ppp/chap-secrets

echo

echo “Переадресация IPv4 и добавление этого в автозагрузку”

cat >> /etc/sysctl.conf << END

net.ipv4.ip_forward=1

END

sysctl -p

echo

echo “Обновление IPtables Routing и добавление этого в автозагрузку”

iptables -t nat -A POSTROUTING -j SNAT — to $ip

# saves iptables routing rules and enables them on-boot

iptables-save > /etc/iptables.conf

cat >> /etc/network/if-pre-up.d/iptables << END

#!/bin/sh

iptables-restore < /etc/iptables.conf

END

chmod +x /etc/network/if-pre-up.d/iptables

cat >> /etc/ppp/ip-up << END

ifconfig ppp0 mtu 1400

END

echo

echo “Перезапуск PoPToP”

/etc/init.d/pptpd restart

echo

echo “Настройка вашего собственного VPN завершена!”

echo “Ваш IP: $ip? логин и пароль:”

echo “Имя пользователя (логин):$u ##### Пароль: $p”

# runs this if option 2 is selected

elif test $x -eq 2; then

echo “Введите имя пользователя для создания (eg. client1 or john):”

read u

echo “введите пароль для создаваемого пользователя:”

read p

# get the VPS IP

ip=`ifconfig venet0:0 | grep ‘inet addr’ | awk {‘print $2’} | sed s/.*://`

# adding new user

echo “$u * $p *” >> /etc/ppp/chap-secrets

echo

echo “Дополнительный пользователь создан!”

echo “IP сервера: $ip, данные для доступа:”

echo “Имя пользователя (логин):$u ##### Пароль: $p”

else

echo “Неправильный выбор, выход из программы…”

exit

fi

Нажимаем CTRL+O (сохранить файл)
Нажимаем CTRL+X (выход из редактора)

Ну и запускаем скрипт

sh vpn.sh

Скрипт задаст вопросы в стиле Установить? Точно? Вы уверены? Создаст логин и пароль и завершит работу. Если вам надо подключать два разных устройства (например работу и дом) — то в целом можно создать еще одного пользователя. Для этого ровно также как выше запускаем скрипт, но выбираем не п.1 — установка, а п.2 — добавление пользователей.

После всего этого вводим IP нашего VPS логин и пароль в виндовую внутреннюю “подключение к VPN” и проверяем что заходим и у нас есть интернет. Получается обычно с первого раза.

Микротик штука очень простая, однако не всем все понятно сразу. Потому:

  1. PPP — New — PPTP Client
  2. Заполняем MTU (рекомендую 1400, можно в диапазоне с 1320 до 1420 смело поэкспериментировать)
  3. Заполняем IP нашего VPS
  4. Заполняем Логин
  5. Заполняем Пароль

Интерфейс подключен, радуемся буковке R рядом с его названием.

Теперь надо объяснить микротику, для чего этот интерфейс будет использоваться.

Начнем с того, что нам надо промаркировать все пакеты, которые направляются из нашей сети в мир, и при этом идут на адреса, которые по психическому отклонению заблокировал РосКомНадзор.

IP — Firewall — Mangle — Add

Mangle

Легко видеть, что Src.Address это наша сеть, dst Address list пишете любой, я рекомендую писать нечто короткое, например rkn, в закладке Action — Mark Routing, New routing Mark — имя метки. Я использовал testmark

Теперь все пакеты, которые ходят по адресам из списка rkn помечаются меткой testmark

Но что же микротику делать с этой меткой? Надо ему объяснить.

Для этого нам потребуется во-первых этому интерфейсу дать метрику.

IP — Routes — ADD

Ip-Routes

Заполняйте как на картинке, Gateway — ваше подключение pptp. При этом в Routing Mark должна быть вставлена та метка, которую мы делали раньше

Теперь очень важно, чтобы по этому интерфейсу вообще было разрешено ходить, то есть нам нужен маскарадинг.

IP-Firewall-NAT-Add

в Out Interface должен быть наш PPTP

На этом настройка микротика первичная закончена и мы вернемся к нему уже в самом конца.

РосКомНадзор не отдает простым смертным списки своих заблокированных адресов. При этом можно смотреть заблокирован или нет какой-либо сайт или ip прямо на их сайте. В целом существует по крайней мере два сайта, которые собирают эти данных и отдают в качестве одного файла, ими мы и воспользуемся. Я рекомендую вот этот api. По факту все что нам нужно — это скачивать актуальный список заблокированных IP по этой ссылке. Если вы скачали данный файл, то заметите, что он в ужасающем виде, который использовать в реальной жизни без подготовки примерно невозможно вообще.

Но у нас есть сервер, на котором уже крутится Ubuntu 14 и мы им и воспользуемся.

За все скрипты спасибо моему товарищу Morphenix-у. Скрипты были найдены на просторах интернета и творчески им переработаны.

Но прежде чем пользоваться скриптами нам надо поставить ftp на наш vps. Это нужно для того, чтобы без проблем передавать этот файл в наш микротик по расписанию в будущем. Установка ftp — это просто.

sudo apt-get install proftpd

Затем выбрать Standalone при установке.

Теперь правим конфиг

nano /etc/proftpd/proftpd.conf

В конфиге нам надо изменить имя сервера и посмотреть какой используется пользователь. В моем случае пользователя звали ftp, в стандартном конфиге пользователя зовут proftpd. Для этого пользователя вам потребуется пароль. Для этого вводим:

sudo passwd proftpd

Еще очень важно раскомментировать (убрать # с этой строки)

DefaultRoot ~

Итак наш фтп работает, что можно проверить, например, через Total Commander или Far. Будьте внимательны, все данные фтп лежат на сервере в srv/username, в ней мы и будем дальше работать

Далее буду страшные скрипты. Их надо переместить в папку srv/username. Я для этого использую Winscp.

script.awk

@include “/srv/USERNAME/lib_netaddr.awk”

function sanitize(ip) {
split(ip, slice, “.”)
return slice[1]/1 “.” slice[2]/1 “.” slice[3]/1 “.” slice[4]/1
}

function snbounds(to,i) {
sn_min=grp[1]
sn_max=grp[to]

for(sn_mask=32; sn_mask && sn_min != sn_max; sn_mask — ) {
sn_min = rshift(sn_min,1)
sn_max = rshift(sn_max,1)
}

for(i=32; i>sn_mask; i — ) {
sn_min = lshift(sn_min,1)
sn_max = lshift(sn_max,1) + 1
}
}

function grpstd(val, tot, cnt, mean, sqtot) {
cnt = length(grp)
snbounds(cnt)
tot = sn_min + sn_max
cnt += 2
for(val in grp) tot=tot + grp[val]
mean = tot / cnt
sqtot = (sn_min — mean) * (sn_min — mean) + \
(sn_max — mean) * (sn_max — mean)
for(val in grp) {
sqtot = sqtot + (grp[val] — mean) * (grp[val] — mean)
}
return sqrt(sqtot / cnt)
}

BEGIN { limit=1000 }

{ k[NR]=ip2dec(sanitize($1)) }

END {
n=asort(k)
print “/ip firewall address-list”

for(idx=1; idx <= n ; idx++) {
grp[++have]=k[idx]
# print dec2ip(grp[have]) “ std: “ grpstd()
if(grpstd() > limit) {
snbounds(length(grp)-1)
#print “\nSubnet from “ dec2ip(grp[1]) “ to “ dec2ip(grp[have-1]) “ “ have — 1 “ IP(s)”
print “add address=” dec2ip(sn_min) “/” sn_mask “ list=rkn”
have=split(grp[have], grp)
}
}
if (have) {
snbounds(length(grp))
#print “\nSubnet from “ dec2ip(grp[1]) “ to “ dec2ip(grp[have]) “ “ have “ IP(s)”
print “add address=” dec2ip(sn_min) “/” sn_mask “ list=rkn”
}
}

lib_netaddr.awk

#
# Library with various ip manipulation functions
#

# convert ip ranges to CIDR notation
# str range2cidr(ip2dec(“192.168.0.15”), ip2dec(“192.168.5.115”))
#
# Credit to Chubler_XL for this brilliant function. (see his post below for non GNU awk)
#
function range2cidr(ipStart, ipEnd, bits, mask, newip) {
bits = 1
mask = 1
result = “-A cidr “
while (bits < 32) {
newip = or(ipStart, mask)
if ((newip>ipEnd) || ((lshift(rshift(ipStart,bits),bits)) != ipStart)) {
bits —
mask = rshift(mask,1)
break
}
bits++
mask = lshift(mask,1)+1
}
newip = or(ipStart, mask)
bits = 32 — bits
result = result dec2ip(ipStart) “/” bits
if (newip < ipEnd) result = result “\n” range2cidr(newip + 1, ipEnd)
return result
}

# convert dotted quads to long decimal ip
# int ip2dec(“192.168.0.15”)
#
function ip2dec(ip, slice) {
split(ip, slice, “.”)
return (slice[1] * 2²⁴) + (slice[2] * 2¹⁶) + (slice[3] * 2⁸) + slice[4]
}

# convert decimal long ip to dotted quads
# str dec2ip(1171259392)
#
function dec2ip(dec, ip, quad) {
for (i=3; i>=1; i — ) {
quad = 256^i
ip = ip int(dec/quad) “.”
dec = dec%quad
}
return ip dec
}

# convert decimal ip to binary
# str dec2binary(1171259392)
#
function dec2binary(dec, bin) {
while (dec>0) {
bin = dec%2 bin
dec = int(dec/2)
}
return bin
}

# Convert binary ip to decimal
# int binary2dec(“1000101110100000000010011001000”)
#
function binary2dec(bin, slice, l, dec) {
split(bin, slice, “”)
l = length(bin)
for (i=l; i>0; i — ) {
dec += slice[i] * 2^(l-i)
}
return dec
}

# convert dotted quad ip to binary
# str ip2binary(“192.168.0.15”)
#
function ip2binary(ip) {
return dec2binary(ip2dec(ip))
}

# count the number of ip’s in a dotted quad ip range
# int countIp (“192.168.0.0” ,”192.168.1.255″) + 1
#
function countQuadIp(ipStart, ipEnd) {
return (ip2dec(ipEnd) — ip2dec(ipStart))
}

# count the number of ip’s in a CIDR block
# int countCidrIp (“192.168.0.0/12”)
#
function countCidrIp (cidr) {
sub(/.+\//, “”, cidr)
return 2^(32-cidr)
}

Скрипты объединяют IP в подсети и собирают из них приличный внешний вид для дальнейшей обработки. Все скрипты направлены на парсинг изначальной выгрузки, с которой мы работаем.

Также потребуется создать файл vpn.sh, мы же это умеем уже делать, да?

nano start.sh

И внутрь добавить

#!/bin/bash

cat $1 | grep -E -o “(25[0–5]|2[0–4][0–9]|[01]?[0–9][0–9]?)\.(25[0–5]|2[0–4][0–9]|[01]?[0–9][0–9]?)\.(25[0–5]|2[0–4][0–9]|[01]?[0–9][0–9]?)\.(25[0–5]|2[0–4][0–9]|[01]?[0–9][0–9]?)” | sort -t. -n -k1,1 -k2,2 -k3,3 -k4,4 | uniq | awk -f /srv/USERNAME/script.awk > /srv/USERNAME/subnets.rsc

Будьте внимательны, слово USERNAME надо поменять на ваше имя пользователя, которым вы заходите на FTP и в папке которого находятся скрипты

Ну что же, все что нам нужно у нас есть, вы можете запустить

/srv/USERNAME/start.sh all.php

И посмотреть результат работы. В результате создается файл subnets.rsc, который мы и будем загружать в наш Микротик, ради чего мы все тут и собрались.

Но нам нужны актуальные данные, потому данная процедура будет выполняться каждую ночь, чтобы с утра никаких блокировок мы не ощущали.

Для этого мы воспользуемся CRON

crontab -e

Нам потребуется выполнить две задачи:

  1. Нам надо скачивать каждую ночь наш файл
  2. Парсить данный файл, чтобы он был готов к загрузке в mikrotik

Итого выглядеть это будет так:

30 3 * * * wget -O /srv/USERNAME/all.php http://api.antizapret.info/all.php
50 3 * * * /srv/USERNAME/start.sh /srv/USERNAME/all.php

Не забываем менять USERNAME на имя нашего пользователя.

В 3–30 утра по времени сервера будет делаться закачка новой версии файла, в 3–50 утра будет парсится и делаться файл subnets.rsc

На этом настройка закончена и нам остается только подключить к этому всему Микротик.

Идем в винбокс и создаем первый скрипт. System — Scripts — ADD

{
:global ftpserver
:global usrnme
:global passwd
:global pckgname

:set pckgname (“subnets.rsc”)
:set ftpserver “IP_ADDRESS”
:set usrnme “USERNAME”
:set passwd “PASSWORD”

/tool fetch address=”$ftpserver” src-path=”$pckgname” user=”$usrnme” password=”$passwd” mode=ftp
}

Не забываем в скрипте подставить свой IP, Username и пароль. Выглядеть будет это так:

Downloadallphp

Данный скрипт просто качает файл с сервера

Второй скрипт несколько сложнее — он уточняет скачал ли первый скрипт файл, удаляет все что было в адрес листе (нам же не нужны старые данные) и заполняет новые данные, после чего удаляет файл с микротика

:if ([:len [/file find name=subnets.rsc]] > 0) do={
/ip firewal address-list remove [find]
import file=subnets.rsc
/file remove subnets.rsc
}

Теперь мы можем по очереди нажать Run Script на первом файле, потом на втором и у нас УЖЕ будет работать обход блокировок и гугл будет нормально открываться.

Но нам этого мало. Нам надо, чтобы оно обновлялось автоматически, не зря же мы так старались со скриптами выше.

Потому мы идем в System — Scheduler и там создаем два простых правила, просто запускающие наши скрипты. Обратите внимание, что неплохо иметь хотя-бы 10 минут между их запуском по времени. Интервал 24 часа говорит нам о том, что запускаться они будут каждый день.

На этом настройка полностью закончена.

Прозрачный обход блокировок при помощи Mikrotik и Tor

Необходимые ингредиенты

  • VPS (желательно)
  • VPN (обязательно, можно использовать поднятый на VPS)
  • Mikrotik
  • Прямые руки

Подготовка сервера

Для того, чтобы выгружать базу заблокированных IP нам нужно использовать свой VPS, я пользуюсь Digital Ocean, но может подойти также и Hetzner (или другие). Брать можно самый дешевый, но если на нем же будет поднят еще и VPN — стоит обратить внимание на то, чтобы трафик был не лимитирован. В качестве операционной системы я использую Debian/Ubuntu, лично мне так удобнее.

Создаем на сервере несколько файлов по пути /usr/local/bin/update-rkn со следующим содержимым:

update-rkn #!/bin/bash -eset-o pipefail curl -sS’https://raw.githubusercontent.com/zapret-info/z-i/master/dump.csv’| iconv -f cp1251 \ |sed-re’s/^([^;]*);.*$/\1/’-e’s/ \| /\n/g’|sort-u \ |{echo’/ip firewall address-list’; echo’remove [/ip firewall address-list find list=rkn]’; sed-rne’s/^([0-9]+\.){3}[0-9]+(\/[0-9]+)?$/add list=rkn address=&/p’; echo’/log info’ $(date-d»+3 hours» +%D/%T); } \ >/tmp/rkn.rsc mv/tmp/rkn.rsc rkn.rsc

И делаем его исполняемым:

sudochmod +x /usr/local/bin/update-rkn

Этот скрипт формирует в понятном для Mikrotik виде выгрузку IP, теперь нам надо сделать так, чтобы он исполнялся через определенное время. Я для себя решил это делать на сервере раз в час, потому что у меня используется не один роутер, и загружают они данные в разное время.

Создаем файл по пути /etc/systemd/system/update-rkn.service.

update-rkn.service [Unit]Description=Update RKN list Wants=network-online.target.wants   [Service]Type=oneshot ExecStart=/usr/local/bin/update-rkn User=root WorkingDirectory=/var/www/mr-allen.com/public_html

Создаем файл таймера (периодичность запуска скрипта и генерации выгрузки IP) /etc/systemd/system/update-rkn.timer.

update-rkn.timer [Unit]Description=Update RKN list hourly   [Timer]OnCalendar=hourly Persistent=true   [Install]WantedBy=timers.target

И выдаем файлам нужные права:

sudochmod755/etc/systemd/system/update-rkn.service sudochmod755/etc/systemd/system/update-rkn.timer

Задача этих файлов — выгружать список в каталог веб-сервера, откуда его уже будет забирать Mikrotik. Теперь можем их запустить, и понять, что файл успешно генерируется в каталоге веб-сервера.

systemctl start update-rkn.service systemctl start update-rkn.timer systemctl enable update-rkn.timer

Проверить, правильно ли генерируется выгрузка можно следующим образом:

tail/var/www/mr-allen.com/public_html/rkn.rsc

В ответ должен быть показан скрипт выгрузки и последней строчкой дата его генерации:

add list=rkn address=99.192.231.70 add list=rkn address=99.192.231.87 add list=rkn address=99.192.247.195 add list=rkn address=99.192.247.35 add list=rkn address=99.192.247.37 add list=rkn address=99.192.247.50 add list=rkn address=99.192.247.61 add list=rkn address=99.192.254.165 add list=rkn address=99.192.254.198 /log info 09/07/18/18:00:37

Если все получилось именно так, значит настройка сервера завершена, и можно переходить к настройке роутера.

Настройка PIA VPN на Mikrotik

Я в своем случае не стал поднимать VPN на сервере, и решил использовать VPN от Private Internet Access.

Заходим в Winbox по пути PPP ⇒ Interface ⇒ L2TP Client ⇒ Add (+) и задаем параметры, как на скриншоте:

ivpn_step_1

Нельзя ставить галочку Add Default Route, иначе весь трафик пойдет через VPN

Соединение с VPN установлено, теперь надо объяснить роутеру, что пускать через него, в этом нам поможет маркировка трафика.

Заходим по пути IP ⇒ Firewall ⇒ Mangle ⇒ Add (+).

ivpn_step_2
ivpn_step_3
ivpn_step_4

Src. Address — это наша локальная сеть, Dst. Address List — название списка адресов, куда будут импортироваться заблокированные IP, а во вкладке Action ⇒ Mark Routing ⇒ New Routing Mark — имя метки. Теперь все пакеты, которые ходят по адресам из списка rkn помечаются меткой rkn. Но что же делать роутеру с этой меткой? Объясним ему это.

Заходим по пути IP ⇒ Firewall ⇒ NAT ⇒ Add (+)

ivpn_step_5

Указываем все также, как и на скриншоте. Где Gateway — это наш VPN, а где rkn — наша метка.

Теперь нам нужно, чтобы роутер мог использовать VPN, для этого настроем маскарадинг — IP ⇒ Firewall ⇒ NAT ⇒ Add (+).

ivpn_step_6
ivpn_step_7

Настройка VPN завершена, теперь нам осталось только настроить обновление списка заблокированных адресов в автоматическом режиме, для этого нам помогут Scripts и Scheduler. Сначала добавляем скрипт в System ⇒ Scripts.

Вы можете загружать мой скрипт, который генерируется раз в час, но я крайне НЕ советую этого делать, так как загружать конфигурацию с чужого сервера — достаточно глупо.

/tool fetch url=»https://mr-allen.com/rkn.rsc» dst-path=rkn.rsc :import rkn.rsc /file remove rkn.rsc

ivpn_step_8

Ссылку необходимо заменить на вашу, которая генерируется на вашем сервере и доступна из браузера. После сохранения скрипта, его можно запустить — должны начать открываться заблокированные сайты, нам осталось только сделать так, чтобы база обновлялась сама.

Для этого переходим в System ⇒ Scheduler и настраиваем автоматический запуск скрипта. У меня настроен запуск 1 раз в 4 часа.

ivpn_step_9

Время старта 00:00:02 — это первый запуск в 12:02 ночи, двухминутный запас нужен для того, чтобы сервер успел сгенерировать файл (обычно на это уходит не более 40 секунд). Интервал можно выставить такой, какой вам нужен (главное, чтобы файл успевал обновиться на сервере). Не рекомендую это делать чаще, так как роутер достаточно долго прожевывает базу (около 10 минут на обновление базы заблокированных IP), и в итоге получается так, что раз в 4 часа могут быть на несколько минут недоступны заблокированные сайты. Рекомендуемый интервал — 1 день, ночью.

Проверка работы

Если вы все правильно настроили, то теперь должны открываться все ранее недоступные сайта, а также проверка с помощью BlockCheck показывать именно то, что у меня на скриншоте. Когда будете тестировать — не забудьте указать аргумент –no-report.

blockcheck

linux, vpn, vps, mikrotik, dpi, роскомнадзор 1) за основу исходный код взят — Alexander Shpilkin’s GIT, немного подкорректирован на мое усмотрение, огромный респект автору!

  • mikrotik/incremental-rkn-bypass.txt

Обход блокировки, используя роутер Mikrotik и сервис prostovpn

Перейдем к конфигурации OVPN Client

OVPN Client

OVPN Client

На вкладке General, в поле name, напишите для удобства prostovpn.На вкладка Dial Out:

  • connect to — пишем то, что мы скопировали из файла.
  • port — там же в файле, после имени сервера.
  • username — ваш логин.
  • Сertificate  выбираем из списка ваш логин.

Жмем OK.

Далее переходим в IP -> Route.

Route

Ищем ваше соединение. Смотрим какой IP у вас получило соединение:

IP

Добавляем новый маршрут:

маршрут
Жмем ОК и радуемся. Теперь у вас все запросы телеграм ботов будут уходить через VPN. Проверенно уже на 2 точках. Работает без нарекания. И 1 доллар за стабильные уведомления, я считаю, что не так дорого.

VPN для роутера

Как защитить домашнюю сеть Wi-Fi с помощью роутера?

1. Проверьте ваш роутер на совместимость с VPN

2. Получите настройки

Используйте код, который вы получили при оплате или запросе тестового периода.

3. Настройте VPN на роутере

Теперь все подключенные устройства защищены и получают доступ к нужным ресурсам.

Выберите роутер для настройки

AsusTP-Link

Эта инструкция поможет вам настроить VPN-соединение на роутере Asus с базовой оригинальной прошивкой, используя протоколы OpenVPN и PPTP.

Большинство роутеров Asus подготовлены к работе с VPN уже «из коробки», ничего дополнительного с прошивкой делать не придется.

Протестированные модели роутеров: Asus RT-N16, Asus RT-N18U, Asus RT-N66U, Asus RT-AC66U, Asus RT-AC68U, Asus RT-AC87U, Asus RT-AC3200.

Если вы только подбираете себе роутер и хотите легко его настроить на работу с VPN в дальнейшем, обратите внимание на спецификацию. В ней, среди прочих функций, должна упоминаться поддержка «VPN». Пример такого роутера.

Теперь перейдём к настройке:

Подготовительный этап

На подготовительном этапе необходимо провести базовую настройку роутера. Это необходимо сделать один раз. В дальнейшем заходить в эти разделы и что-либо менять не потребуется.

Любая настройка роутера начинается со входа в его панель управления. Для входа в роутер Asus перейдите по адресу http://192.168.1.1/ и авторизуйтесь.

Информация о логине и пароле находится на корпусе роутера с обратной стороны. Обычно это admin/admin, и мы советуем в дальнейшем поменять пароль на более сложный.

Первый шаг: перейдите в раздел  Интернет , он расположен в навигации слева. Либо кликните по ссылке: http://192.168.1.1/Advanced_WAN_Content.asp

Выставьте параметры:

    • Тип WAN-подключения: Автоматический IP
    • WAN, NAT и UPnP: Да.
    • Подключаться к DNS-серверу автоматически: Нет.
    • DNS-сервер 1: 1.1.1.1
    • DNS-сервер 2: 8.8.8.8
    • DHCP query frequency: Aggressive Mode

Нажмите  Применить , чтобы сохранить настройки.

Второй шаг: зайдите в раздел  IPv6 : http://192.168.1.1/Advanced_IPv6_Content.asp

  • Тип подключения: Отключить.
  • Включить объявления маршрутизатора: Отключить

Нажмите  Применить .

На этом подготовительный этап настройки завершен. Теперь выберите вариант подключения к VPN: PPTP/L2TP попроще, OpenVPN чуть сложнее.

PPTP / L2TP

Зайдите в раздел  VPN , затем сверху вкладка  VPN Client . Либо перейдите по ссылке: http://192.168.1.1/Advanced_VPNClient_Content.asp

Теперь добавим профиль. Нажмите внизу кнопку  Add profile , появится окошко с полями для ввода: Описание, Server, Имя и Пароль.

Для продолжения настройки вам потребуется код доступа к нашему сервису.
Его вы могли получить после оплаты, либо запроса тестового периода.

Получить настройки

    • Описание: может быть любым. Впишите туда город расположения сервера.
    • Сервер: ip-адрес сервера, выглядит как цифры разделённые точками. Выбрать другой
    • Имя пользователя: ваш код доступа, состоит из 12-16 цифр.
    • Пароль: по умолчанию это 4 цифры, но вы можете придумать более сложный. сохранить изменить
    • IPSec (PSK): incloaknetwork

После заполнения всех полей, нажмите  OK . Появится новая строчка, а справа кнопка  Connect . Жмите её и соединение должно пройти успешно, слева отобразится галочка.
При успешном подключении проверьте, изменился ли ваш IP-адрес.

OpenVPN

Отметим сразу, что настройка OpenVPN немного сложнее, чем PPTP / L2TP, но разница буквально в несколько минут вашего времени.

Зайдите в раздел  VPN , затем сверху вкладка  VPN Client . Либо перейдите по ссылке: http://192.168.1.1/Advanced_VPNClient_Content.asp

Теперь добавим профиль. Нажмите внизу кнопку  Add profile , появится окошко, вкладка  OpenVPN .

Для продолжения настройки вам потребуется код доступа к нашему сервису.
Его вы могли получить после оплаты, либо запроса тестового периода.

Скачать файлы .ovpn

После загрузки файла конфигурации, нажмите  OK .

В таблице появится новая строчка, а справа кнопка  Connect  — нажмите её. Соединение должно пройти успешно, а слева отобразится галочка. При успешном подключении проверьте, изменился ли ваш IP-адрес.

Эта инструкция поможет вам настроить VPN-соединение на роутере TP-Link с базовой оригинальной прошивкой, используя протоколы PPTP и L2TP.

Большинство роутеров TP-Link подготовлены к работе с VPN уже «из коробки», ничего дополнительного с прошивкой делать не придется.

Если вы только подбираете себе роутер и хотите легко его настроить на работу с VPN в дальнейшем, обратите внимание на спецификацию. В ней, среди прочих функций, должна упоминаться поддержка «VPN». Пример такого роутера.

Теперь перейдём к настройке:

Панель управления роутером

Любая настройка роутера начинается со входа в его панель управления. Для входа в роутер TP-Link перейдите по адресу http://192.168.1.1/ или http://192.168.0.1/, и авторизуйтесь.

Информация о логине и пароле находится также в инструкции, либо на корпусе роутера с обратной стороны. Обычно это admin/admin, и мы советуем в дальнейшем поменять пароль на более сложный.

PPTP / L2TP

Зайдите в раздел  Network , далее  WAN .

Теперь настроим подключение. Вверху страницы выберите из выпадающего списка  PPTP/PPTP Россия , ниже будут поля: Имя пользователя, Пароль, Адрес сервера.

Для продолжения настройки вам потребуется код доступа к нашему сервису.
Его вы могли получить после оплаты, либо запроса тестового периода.

Получить настройки

    • Описание: может быть любым. Впишите туда город расположения сервера.
    • Сервер: ip-адрес сервера, выглядит как цифры разделённые точками. Выбрать другой
    • Имя пользователя: ваш код доступа, состоит из 12-16 цифр.
    • Пароль: по умолчанию это 4 цифры, но вы можете придумать более сложный. сохранить изменить
    • IPSec (PSK): incloaknetwork

После заполнения всех полей, нажмите  Сохранить  в самом низу страницы.
Прокрутите страницу наверх и нажмите кнопку  Подключиться .
При успешном подключении проверьте, изменился ли ваш IP-адрес.

Эта инструкция поможет вам настроить VPN-соединение на любом роутере, который поддерживает такую функцию «из коробки».

В настройках роутера должен быть раздел под названием «VPN», либо «VPN-клиент». И возможность выбрать протокол, это может быть: PPTP, L2TP, OpenVPN.

Если вы только подбираете себе роутер и хотите легко его настроить на работу с VPN в дальнейшем, обратите внимание на спецификацию. В ней, среди прочих функций, должна упоминаться поддержка «VPN». Пример такого роутера.

Теперь перейдём к настройке: Подготовительный этап

Любая настройка роутера начинается со входа в его панель управления. Адрес такой панели указывается в инструкции к роутеру, и может находиться по адресу http://192.168.1.1/, http://192.168.0.1/, либо каком-то похожем другом. После попадания по правильному адресу, браузер спросит у вас логин и пароль.

Информация о логине и пароле находится также в инструкции, либо на корпусе роутера с обратной стороны. Обычно это admin/admin, и мы советуем в дальнейшем поменять пароль на более сложный.

PPTP / L2TP

Зайдите в раздел  Network , далее  WAN .

Теперь настроим подключение. Вверху страницы выберите из выпадающего списка  PPTP/PPTP Россия , ниже будут поля: Имя пользователя, Пароль, Адрес сервера.

Для продолжения настройки вам потребуется код доступа к нашему сервису.
Его вы могли получить после оплаты, либо запроса тестового периода.

Получить настройки

    • Описание: может быть любым. Впишите туда город расположения сервера.
    • Сервер: ip-адрес сервера, выглядит как цифры разделённые точками. Выбрать другой
    • Имя пользователя: ваш код доступа, состоит из 12-16 цифр.
    • Пароль: по умолчанию это 4 цифры, но вы можете придумать более сложный. сохранить изменить
    • IPSec (PSK): incloaknetwork

После заполнения всех полей сохраните их, а затем нажмите на подключение.
При успешном подключении проверьте, изменился ли ваш IP-адрес.

OpenVPN

Отметим сразу, что OpenVPN поддерживает по умолчанию значительно меньше роутеров, чем более привычные PPTP и L2TP. Но если вы нашли в панели управления своим роутером одноименный раздел, значит вы, скорее всего, сможете успешно его настроить для работы с этим типом протокола.

Для продолжения настройки вам потребуется код доступа к нашему сервису.
Его вы могли получить после оплаты, либо запроса тестового периода.

Скачать файлы .ovpn

В архиве находятся файлы конфигурации в формате .ovpn, они уже содержат в себе сертификаты и ключи. Загрузите их в настройки роутера. Имя пользователя и пароль не требуются, оставьте их пустыми.

Чуть подробнее про VPN на роутере

Установка нашего сервиса на роутер несколько отличается от установки непосредственно на компьютер/ноутбук или мобильное устройство. Чтобы защитить всю домашнюю сеть сразу, воспользуйтесь настройками, которые можно получить после ввода кода доступа в инструкции выше.

Обратите внимание, что перед тем, как оформить платную подписку, вы можете воспользоваться бесплатным тестовым доступом на 24 часа.

VPN на роутере работает для прямого подключения по кабелю и для WiFi.

Подключение к VPN обеспечивает:

  • свободно посещение заблокированных и недоступных в вашей стране сайтов;
  • полную конфиденциальность действий в сети — весь трафик идет через IP наших серверов;
  • безопасность — паролей, передаваемых данных, онлайн-переписки.

Благодаря тому, что мы поддерживаем очень большое количество серверов, на каждый из них приходится небольшая нагрузка. А это значит — быстрое и стабильное соединение ВПН на роутере для наших пользователей.

VPN на Mikrotik через Hidemy.name

Рассмотрим подключение роутера mikrotik через vpn-сервис Hidemy.name. К преимуществам Hidemy.name я могу отнести:

  • демократичные тарифы, итоговая стоимость получается дешевле аренды vps/vds;
  • до 5-ти одновременных подключений на одной учетке с разных устройств или к разным серверам;
  • легкая замена IP-адреса/страны;
  • возможность использовать в linux и различных роутерах;

Получить бесплатный demo-доступ на 24 часа можно по ссылке https://hidemy.name/ru/demo/. Требуется указать свой почтовый ящик:

После подтверждения email вы получите письмо с цифровым кодом доступа. В моем случае это был:

Ваш тестовый код: 54058222980238

В Mikrotik я буду использовать PPTP-подключение. Нам требуется получить настройки PPTP для роутера по ссылке, для этого нужно ввести код доступа.

Сохраняем настройки PPTP:

  • IP адрес сервера 77.83.116.10. Можно использовать предложенный голландский сервер, либо выбрать любой другой из 50+ по ссылке. Для доступа к списку серверов также потребуется ввести код доступа.
  • Логин 54058222980238. Соответвует вашему коду доступа.
  • Пароль 4709. При желании можно заменить пароль на другой.

Приступаем к настройке роутера
Добавляем клиентское подключение к pptp-серверу, меню [Interfaces >> Add >> PPTP Client >> Dial Out]

Прописываем значения параметров «Connect To», «User» и «Password» полученные на предыдущем этапе из hidemy.name

Убеждаемся, что сетевой интерфейс pptp-out1 успешно создался и находится в статусе «R» — running.

Всё! VPN подключение успешно создано. Обращаю внимание, что настройка купленного vpn гораздо легче, чем развертывание собственного vpn сервера.

На перспективу можно организовать резервное vpn-подключение к другому серверу сети hidemy.name, т.к. учетная запись сервиса позволяет до 5-ти одновременных подключений.

Если качество услуги в течении демо-доступа вас устроило, то нужно оплатить длительный период hidemy.name и получить новый код доступа.

Источники
  • https://asp24.ru/novosti-asp24-ru/obhod-blokirovki-saytov-so-storony-provaydera-na-mikrotik-routeros-pri-pomoschi-policy-based-routing/
  • https://medium.com/@Croozy/mikrotik-%D0%B8-%D1%80%D0%BE%D1%81%D0%BA%D0%BE%D0%BC%D0%BD%D0%B0%D0%B4%D0%B7%D0%BE%D1%80-%D1%8D%D1%84%D1%84%D0%B5%D0%BA%D1%82%D0%B8%D0%B2%D0%BD%D1%8B%D0%B9-%D0%B8-%D0%B0%D0%B2%D1%82%D0%BE%D0%BC%D0%B0%D1%82%D0%B8%D0%B7%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%BD%D1%8B%D0%B9-%D0%BE%D0%B1%D1%85%D0%BE%D0%B4-%D0%BE%D1%88%D0%B8%D0%B1%D0%BE%D1%87%D0%BD%D1%8B%D1%85-%D0%B1%D0%BB%D0%BE%D0%BA%D0%B8%D1%80%D0%BE%D0%B2%D0%BE%D0%BA-b58647f7d314
  • https://mr-allen.com/mikrotik/incremental-rkn-bypass
  • https://sprut.ai/article/obhod-blokirovki-ispolzuya-router-mikrotik-i-servis-prostovpn
  • https://qna.habr.com/q/340707
  • https://HideMy.name/ru/vpn/router/
  • https://www.xeim.ru/2020/09/vpn-mikrotik-hidemyname.html

Понравилась статья? Поделиться с друзьями:
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: