Comments 75
А можно такую-же, но без VPN, например, как в GoodbyeDPI? Цены бы не было.
Работает на OpenWRT без проблем, вообще красота. Никуда ничего не заворачивается (есть вариант с проксированием), все обрабатывается локально и никакие списки не нужны по сути. Моему провайдеру оказалось достаточно смены DNS и nfqws в простом режиме disorder или split.
RouterOS конечно не поддерживает, но есть Metarouter… правда не уверен что это будет нормально работать.
RouterOS конечно не поддерживает, но есть Metarouter… правда не уверен что это будет нормально работать.
UFO just landed and posted this here
Но возможно позже вы столкнетесь с проблемами при создании туннелей внутри вашего из-за малого MTU. Это общая проблема ppp/l2tp/pptp.
А где в этом «подробном туториале» настройка сервера?
настройка сервера в софтэзере достаточно простая
гораздо больше смущает то, что софтэзер-протокол идет в комплекте с кучей оверхеда и достаточно медленно работает сам по себе, ну и в целом не сильно ясно зачем это все делать на роутере, если есть инструменты, которые работают на любых платформах
гораздо больше смущает то, что софтэзер-протокол идет в комплекте с кучей оверхеда и достаточно медленно работает сам по себе, ну и в целом не сильно ясно зачем это все делать на роутере, если есть инструменты, которые работают на любых платформах
хз, для меня линукс это уже не просто. Особенно когда вроде всё сделал, но не поднимается и хз с какой стороны ошибка.
На данный момент я хочу настроить на роутере потому что:
1)у меня дома 2 компьютера, ноутбук, 3 смартфона. Вопрос: что настроить проще 1 роутер или 6 устройств на разных ОС?
2)если опыт будет признан успешным, можно легко поставить кому-то другому роутер микротик и настроить его аналогично.
На данный момент я хочу настроить на роутере потому что:
1)у меня дома 2 компьютера, ноутбук, 3 смартфона. Вопрос: что настроить проще 1 роутер или 6 устройств на разных ОС?
2)если опыт будет признан успешным, можно легко поставить кому-то другому роутер микротик и настроить его аналогично.
Одна проблема — если добавить в route все заблокированные сайты, Mikrotik может перегреться.
А оно нужно? я поднимал через BGP IP всех сайтов с антифильтра,
но в итоге убрал это всё и сделал через /ip firewall address-list только те которые нужны.
В итоге у меня там болтается 10-20 IP и всё.
Наткнулся на нужный заблокированный сайт -> внес туда, причём по доменному имени и не парюсь.)
но в итоге убрал это всё и сделал через /ip firewall address-list только те которые нужны.
В итоге у меня там болтается 10-20 IP и всё.
Наткнулся на нужный заблокированный сайт -> внес туда, причём по доменному имени и не парюсь.)
А если наткнулась жена, а «администратор» на совещании/в командировке/в лесу?
Я вообще в обратную сторону поступил. Что критично без VPN, то и без VPN. Критично без VPN оказалось исчезающе мало:
- корпоративные адреса с моей работы и жены (не то чтобы критично, но для RDP удобнее пинг 1 мс, а не 20 мс).
- домены yandex (жене для музыки, мне для mirrors, откуда все обновления для linux быстро льются)
- mos.ru (часть поддоменов не работает через VPN)
- несколько сайтов, которые, возможно, столкнулись с DDoS и параноидально позакрывались (не буду говорить, что за сайты, но у меня это 3 сайта)
- codeforces.com (вместе с dmoj.ca, atcoder.jp и подобными) — чтобы не нервничать (это сайты контестов по программированию и во время контестов они работают на пределе)
- 2ip.ru и canyouseeme.org — для проверки и сравнения с другими аналогичными (нужно было только при настройке, но удалять из списка нет смысла)
Остальной трафик (включая DNS, конечно) строго через VPN.
https://antizapret.prostovpn.org/
Ничего проще пока не придумали, если речь идёт о клиентской настройки.
Наживка выглядит очень привлекательно для обывателя…
При VPN Ваш комп доступен со стороны чужого VPN сервера.
При использовании proxy.pac Вы намеренно запускаете у себя в браузере чужой js код. При этом браузер будет дергать ссылку на pac при каждом запросе.
Но ведь давно известо — бесплатный сыр бывает только в мышеловке, причем только для второй мышки.
При VPN Ваш комп доступен со стороны чужого VPN сервера.
При использовании proxy.pac Вы намеренно запускаете у себя в браузере чужой js код. При этом браузер будет дергать ссылку на pac при каждом запросе.
Но ведь давно известо — бесплатный сыр бывает только в мышеловке, причем только для второй мышки.
Что-то столько лет все пользуются, и ничего. Где же бесплатный сыр?
Ничего, но в то же время все помнят историю про неуловимого Джо. Посмотрел реализацию antizapret, так себе решение, пускать вообще весь трафик через VPN сервер, зачем, открывать свой комп сети неизвестного провайдера, как то боязно, их хакнут, а достанется всем пользователям. То как предлагается в статье и надежнее, и удобнее, вся инфраструктура находится под контролем пользователя, через VPN только избранные узлы открываются, красота.
пускать вообще весь трафик через VPN серверЭто не так, через Antizaprer идёт только трафик до заблокированных ресурсов. Благодаря этому объём трафика остаётся достаточно небольшим для того, чтобы держать сервис бесплатным.
удобнееЕсли говорить именно об удобстве, то отсутствие необходимости держать и оплачивать свой сервер — удобнее. Отсутствие необходимости пополнять список правил при столкновении с очередным заблокированным ресурсом — удобнее. Я, например, не люблю, когда проблема требует моего периодического участия. Предпочитаю решения «настроил и забыл».
Перечисленные вами преимущества — это «безопаснее», но не «удобнее».
Отсутствие необходимости пополнять список правил при столкновении с очередным заблокированным ресурсом — удобнее.
Кому как. Лично мне удобнее самому решать какие правила пополнять. А какие оставить заблокированными.
В реестре содержатся записи по IP-адресам и IP-диапазонам, которые то появляются, то исчезают. Сомневаюсь, что вы каждый раз вручную анализируете реестр и решаете, что добавить, а что не добавлять. А без проксирования этих адресов и диапазонов у вас некоторые, на первый взгляд не заблокированные сайты, могут либо не открываться вовсе, либо работать с перебоями, т.к., например, один из IP-адресов на домене периодически попадает в заблокированный диапазон.
А сейчас еще и вререестровые блокировки появляются, которые были замечены, по меньшей мере, у Ростелекома и дом.ру.
А сейчас еще и вререестровые блокировки появляются, которые были замечены, по меньшей мере, у Ростелекома и дом.ру.
Сомневаюсь, что вы каждый раз вручную анализируете реестр и решаете, что добавить, а что не добавлять.
Все сильно проще, нужен ресурс — добавляю. Более того, стал ненужен — выкидываю. Никаких реестров я, разумеется, не анализирую.
Делать какие-то выводы по спискам которые не контролирую лично я, считаю неправильным. Эти клоуны могут завтра 127 или 192 прописать в реестр, и что тогда?
А сейчас еще и вререестровые блокировки появляются, которые были замечены, по меньшей мере, у Ростелекома и дом.ру.
Вот вот. Поэтому или руками, или на крайний случай анализ отдаваемого на шаблон запрета.
Все сильно проще, нужен ресурс — добавляю. Более того, стал ненужен — выкидываю. Никаких реестров я, разумеется, не анализирую.Как вы изначально узнаете, заблокирован ли ресурс, или нет? При блокировке по IP-диапазонам никакой заглушки не показывается, просто трафик не доходит до адреса назначения. А если речь о домене, у которого заблокирована часть адресов, то он будет то работать, то нет.
Лично я регулярно вижу заглушку — «недоступен согласно роскомпозор ля-ля». Вот тогда и разблокирую.
Если уже известный мне ресурс стал недоступен, то проверяю его доступность через альтернативные каналы. Если там все ок, то добавляю в исключения.
Собственно модель поведения аналогична носкрипту — по умолчанию наглухо отключено, и только в случае полной не функциональности открываются минимальные доступы. Если ресурс хочет сильно многого, то ресурс просто посылается лесом.
У меня смутное чувство что мы на все это смотрим сильно с разных колоколен, и круг наших задач не очень совпадает.
Если уже известный мне ресурс стал недоступен, то проверяю его доступность через альтернативные каналы. Если там все ок, то добавляю в исключения.
Собственно модель поведения аналогична носкрипту — по умолчанию наглухо отключено, и только в случае полной не функциональности открываются минимальные доступы. Если ресурс хочет сильно многого, то ресурс просто посылается лесом.
У меня смутное чувство что мы на все это смотрим сильно с разных колоколен, и круг наших задач не очень совпадает.
Что-то столько то лет мыло наводнено тоннами спама. Вы стопроцентно уверены что Ваши хосты чисты? Болезнь легче предотвратить, чем вылечить.
При VPN Ваш комп доступен со стороны чужого VPN сервера.
Нет
Исходный код прошивки открыт, желающие могут посмотреть, как это устроено (всего одно правило iptables).
При VPN Ваш комп доступен со стороны чужого VPN сервера.Соединения между клиентами блокированы на VPN-сервере. Windows и любые современные дистрибутивы Linux по умолчанию блокируют входящие соединения для новых интерфейсов, если не указать иного вручную. Разве что над пользователями Windows XP и необновлённых Windows 7 можно поглумиться, но и их уже встретишь нечасто.
Хотите полный аналог антизапрета на своих серверах? Установите его себе: bitbucket.org/anticensority/antizapret-vpn-container/src
При использовании proxy.pac Вы намеренно запускаете у себя в браузере чужой js код. При этом браузер будет дергать ссылку на pac при каждом запросе.А можете запускать точно такой же код, но свой: bitbucket.org/anticensority/antizapret-pac-generator-light/src
Но ведь давно известо — бесплатный сыр бывает только в мышеловке, причем только для второй мышки.Я обычно не отвечаю на подобные высказывания, но они меня сильно расстраивают, потому что в наше время даже не предполагается, что есть бесплатные честные сервисы, без какого-либо подвоха, которые делают ровно то, что заявлено, и ничего больше. Наверное, мне следует начать продавать трафик и встраивать рекламу, чтобы «соответствовать ожиданиям и запросам пользователей».
А как бы еще сделать что список запрещенный сайтов сам скачивался, перерабатывался на ip и маршрутизация шла в тоннель?
Однажды столкнулся с проблемой: рекламное агентство было практически остановлено, shutterstock попал в список запрещенных на пару дней.
Однажды столкнулся с проблемой: рекламное агентство было практически остановлено, shutterstock попал в список запрещенных на пару дней.
Сначала тоже подумал, вот было бы здорово весь список пихать в white list, кстати, такое возможно, вот только в списке уже больше 300к постановлений, так что лучше добавить пару десяток имен в white list, которые интересны, а остальное, зачем? + список не в реал тайме обрабатывается, он ДСП, так что либо у провайдеров брать (если дадут), или с github, когда его роскомсвобода обновит, так что лучше самому распоряжаться, какие имена через тоннель открывать, а какие напрямую.
а как узнать что важный для меня ресурс оказался запрещенным? Все нужное повернуть через впн независимо от запретов? Не лучшее решение по многим причинам.
Список обязан провайдерами выгружаться не реже чем раз в сутки. Блокировку после выгрузки многие делают по разному. Некоторые проверяют много чаще и блокируют в считанные часы, если не минуты, после попадания в список.
Не могу сказать как сейчас, ранее для выгрузки этого списка достаточно было иметь ЭЦП и все.
Список обязан провайдерами выгружаться не реже чем раз в сутки. Блокировку после выгрузки многие делают по разному. Некоторые проверяют много чаще и блокируют в считанные часы, если не минуты, после попадания в список.
Не могу сказать как сейчас, ранее для выгрузки этого списка достаточно было иметь ЭЦП и все.
На хабре была статья про скрипт, скачивающий список заблокированных ip, преобразующий его в подсети, чтобы микротик от количества маршрутов не умер. Спиок маршрутов обновляется по BGP.
Ссылку к сожалению нет возможности сейчас найти.
Лучше переехать в страну, где не блокируют интернет.
Такие остались?
Остались. Но стоимость интернета там выше, а качество ниже, нежели туннель через VPN, подобный, описанному в посте. Некоторые вообще до сих пор на xDSL сидят.
У нас (Республика Молдова) оптоволоконный интернет 100Мбит/с — сейчас стоит около 8$.
Но это это для физических лиц. Блокировок нет, торренты работают.
Но это это для физических лиц. Блокировок нет, торренты работают.
Да ладно? Везде есть блокировки в интернете кроме стран Африки наверно.
А штрафы за торренты только в Германии и Финляндии, в России блокируют некоторые трекеры.
В Молдове одобрили закон, позволяющий блокировать сайты и читать электронную почту
Введение данных поправок повысит затраты операторов связи.
Кабмин Молдовы накануне на заседании одобрил законопроект, направленный на обеспечение информационной безопасности и борьбу с киберпреступлениями.
Однако на поверку документ узаконивает цензуру Интернета. Так, закон дает право органам правопорядка блокировать сайты, проверять личные электронные почтовые ящики, читать SMS, сообщения в Viber, Telegram и WhatsApp, пишет agora.md.
Также поправки в закон обязывают поставщиков услуг связи по требованию приостанавливать подачу Интернета на 6 месяцев, а услуг фиксированной и мобильной телефонии — на срок от 180 дней до 1 года. Введение данных поправок повысит затраты операторов связи, что может повлечь и подорожание их услуг для потребителей.
Министерство внутренних дел аргументирует введение поправок необходимостью соответствия молдавского законодательства с международной правовой базой, в том числе с положениями Конвенции Совета Европы о киберпреступности, Конвенции Совета Европы о защите детей от сексуальной эксплуатации и директивы Европейского парламента о борьбе с сексуальным насилием в отношении детей.
А штрафы за торренты только в Германии и Финляндии, в России блокируют некоторые трекеры.
25€ в месяц за 1000/200 Мбит. В комплекте роутер провайдера (убран в кладовку, заменен на Mikrotik)
Так вроде да, к западу от РФ.
Спасибо за статью!
А в 2020 это ещё актуально? Последние года три хабр завален такими статьями.
Если включен fasttrack то неплохо бы еще делать mark connection для всего что идет в vpn и все что помечено этой меткой игнорировать в правиле fasttrack. Иначе все может продолжать идти в обход впн.
Эх, опять обход блокировок только по списку заданных ip… Их ведь тысячи и постоянно появляются новые. Нельзя ли сделать чтоб в VPN шло только после неудачной попытки подключиться напрямую?
А как понять что попытка подключения неудачная? Это нужно обход реализовывать либо на уровне плагина в браузере, либо костыли через локальный DPI городить.
Можно поднять BGP с antifilter.download, но лично у меня ни один из микротиков по каким-то причинам не смог поднять впн после загрузки айпишников оттуда, хотя адрес впн не находится в списке блокировок.
Можно поднять BGP с antifilter.download, но лично у меня ни один из микротиков по каким-то причинам не смог поднять впн после загрузки айпишников оттуда, хотя адрес впн не находится в списке блокировок.
Больше года пользуюсь аналогичным прекрасным сервисом — antifilter.network, всё работает прекрасно.
Если у вас нет внешнего IP, то можно установить установить VPN-туннель с ними и поднять BGP-сессию внутри туннеля.
Если у вас нет внешнего IP, то можно установить установить VPN-туннель с ними и поднять BGP-сессию внутри туннеля.
Проблема в том, что соединение происходит. Но с заглушкой провайдера. По крайней мере, в домру так. Помимо этого, они ещё и в трафике копаются, подменяя днс ответы. Так что, либо DoH, либо тоже заворачивать днс-трафик в впн
И ещё: VPN VPNу рознь. У меня на итальянской Arube VPS для всяких мелочей поднят, завернул туда браузер, на торренты ходить, а там сюрприз, внезапно заблокирован рутрекер у макаронников
Предельно странная статья — идея плодить по правилу на каждый ресурс, перед тем где-то в ручную раздобыв его айпи (это в мире облачных сервисов-то)… странная словом идея.
Тики уж года 2 как умеют резолвить в адрес-листах — почему это не использовать?
Так же не стоило бы стрелять себе в ногу и в прероутинге исключать только трафик до 192.168.1.1 — более правильно было бы опять же составить адрес-лист, с используемыми локальными сетями, и в исключения прописывать уже его — в текущем же конфиге у вас будут проблемы если к тику привязано более одной локальной сети.
Тики уж года 2 как умеют резолвить в адрес-листах — почему это не использовать?
Так же не стоило бы стрелять себе в ногу и в прероутинге исключать только трафик до 192.168.1.1 — более правильно было бы опять же составить адрес-лист, с используемыми локальными сетями, и в исключения прописывать уже его — в текущем же конфиге у вас будут проблемы если к тику привязано более одной локальной сети.
Не у всех RB3011, а скорее всего mikrotik hap ac2 или что еще похуже, загрузка листов по BGP это очень удобно и я сам это делаю, но что будет с младшими моделями? А до корпоративных ресурсов я делаю все как в статье.
Так я вроде ни слова про BGP не сказал. Идея в том чтобы целевые заблокированные сайты добавить в адрес-лист в виде доменов и трафик до этого адрес-листа пускать на VPN.
Вряд ли вам нужны 99,9% заблокированных ресурсов: пару трекеров, какой-нибудь порнхаб да и хватит — такой объём несложно в ручную ввести, просто не в виде отдельных роутов, а в виде доменов в адрес-листе.
Вряд ли вам нужны 99,9% заблокированных ресурсов: пару трекеров, какой-нибудь порнхаб да и хватит — такой объём несложно в ручную ввести, просто не в виде отдельных роутов, а в виде доменов в адрес-листе.
UFO just landed and posted this here
С чего ему не работать? Другой вопрос что чек-гейтвей зачастую бесполезен без рекурсивного роутинга и это уже относительно морочный конфиг, но в принципе всё работает.
UFO just landed and posted this here
В v6 ещё достаточно много что не работает у тиков, уточняйте тогда.
По треду же в форуме — опять же уточняйте тогда что речь про ecmp. Там вполне вероятно что не работает, но опять же — можно попробовать сделать ecmp с рекурсивным роутингом и чекать гейтвей на на отдельном маршруте на рекурсивный шлюз.
По треду же в форуме — опять же уточняйте тогда что речь про ecmp. Там вполне вероятно что не работает, но опять же — можно попробовать сделать ecmp с рекурсивным роутингом и чекать гейтвей на на отдельном маршруте на рекурсивный шлюз.
Делал себе схожие настройки и столкнулся с проблемой: запросы на помеченные сайты иногда уходили с задержкой.
Чтобы это исправить, необходимо либо отключить FastTrack в Firewall -> Filter Rules (тогда будут проседания производительности), либо провести дополнительные настройки:
1. В Firewall -> Mangle дополнительно создать правило вида:
2. В Firewall -> Filter настроить правило для FastTrack:
После этого маршруты через VPN и FastTrack будут уживаться вместе.
Кстати, удобно использовать Address List, туда можно заносить доменные имена, которые будут резолвиться при запуске.
Для DNS рекомендую включить DoH, который стал доступен в 6.47.
Чтобы это исправить, необходимо либо отключить FastTrack в Firewall -> Filter Rules (тогда будут проседания производительности), либо провести дополнительные настройки:
1. В Firewall -> Mangle дополнительно создать правило вида:
/ip firewall mangle
add action=mark-connection chain=prerouting connection-state=new \
dst-address-list=rkp new-connection-mark=connection_rkp passthrough=yes2. В Firewall -> Filter настроить правило для FastTrack:
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-mark=!connection_rkp connection-state=established,relatedПосле этого маршруты через VPN и FastTrack будут уживаться вместе.
Кстати, удобно использовать Address List, туда можно заносить доменные имена, которые будут резолвиться при запуске.
Для DNS рекомендую включить DoH, который стал доступен в 6.47.
Не понимаю, почему http и dns маркируются через mark-routing, а рутрекер прописывается в маршрутах. Если строить мангл, то проще же сделать правило для пометки траффика на адреса из какого-нибудь адрес листа vpn_out
И сделать маршрут для помеченных пакетов
После этого можно просто добавлять нужные сервисы в /ip firewall address-list
Более того, теперь можно вписывать туда доменные имена, он их сам резолвит. Например, рутрекер:
/ip firewall address-list add address=rutracker.org list=vpn_out
CLI
/ip firewall mangle add chain=prerouting action=mark-routing dst-address-list=vpn_out new-routing-mark=vpn_out_mark passthrough=yes
И сделать маршрут для помеченных пакетов
CLI
/ip route
add dst-address=0.0.0.0/0 gateway=%VPN_INTERFACE% routing-mark=vpn_out distance=1
add dst-address=0.0.0.0/0 gateway=%VPN_INTERFACE% routing-mark=vpn_out distance=1
После этого можно просто добавлять нужные сервисы в /ip firewall address-list
Более того, теперь можно вписывать туда доменные имена, он их сам резолвит. Например, рутрекер:
/ip firewall address-list add address=rutracker.org list=vpn_out
В обход DPI работает?
Может кто подскажет VPS для VPN? раньше у VDSina.ru был VPS в нидерландах за 30р, а сейчас нет. вообще ничего подходящего дешевле 2долларов в месяц не нашёл. Дороже не искал.
У hetzner есть за 2.89 евро
Оракл бесплатно раздаёт. Если сможете пройти регистрацию…
www.oracle.com/cloud/free/#always-free
www.oracle.com/cloud/free/#always-free
1,5 доллара alienvds
Я настроил таким образом zoogvpn... Когда я тупо метил весь исходящий траффик и гнал его на это подключение (по ppp) - оно работало. Но как-то это топорно было и не правильно. Мне нужен vpn только чтобы лазить на сайты, доступ на которые запрещен (например любые частные страницы с хостингом в германии не могут дать доступ к загрузке софта с них!!). И когда я сделал всё так как тут описано - интернета пропала. Причем при попытке доступа к любому сайту выдается ошибка "не найдено dns имя" как то так.. Кроме яндекса, он чудесным образом поисковую страницу отображает, но это потому что их браузер судя по всему, игнорит любые днс серверы, кроме вшитых адресов яндексовских серверов.
В общем, не заработало. Проверил дважды - всё верно. Причем на скриншотах статьи есть ошибка - неверный адрес connect to на третьем скриншоте (настройка интерфейса). Я туда правильный, рабочий адрес вписал.
Может в этом дело? Адрес-то сервера у меня доменный, а если днс запросы идут через этот сервер, то.. как узнать его ip?.. Если включить только правило для http, то ничего не меняется для меня (мне надо чтобы мой ip с ТОЙ стороны определялся как не российский) - myip.com так же показывает РФ. Я не очень-то в этих настройках соображаю - пытаюсь учиться, подскажите как сделать чтобы все эти настройки включались вместе с включением подключения по ppp. Или еще каким-то удобным способом..
Sign up to leave a comment.
Разблокируем интернет с помощью Mikrotik и VPN: подробный туториал