Комментарии
Работает на OpenWRT без проблем, вообще красота. Никуда ничего не заворачивается (есть вариант с проксированием), все обрабатывается локально и никакие списки не нужны по сути. Моему провайдеру оказалось достаточно смены DNS и nfqws в простом режиме disorder или split.

RouterOS конечно не поддерживает, но есть Metarouter… правда не уверен что это будет нормально работать.
Работать не будет совсем, т.к. относительно недавно Metarouter выпилили из RouterOS, к сожалению.
Странно, не вижу нигде в Changelog про удаление. В Stable и Testing MetaROUTER на месте. Про ROS7 ничего не могу сказать, но она еще не готова просто-напросто.
Действительно, не верно трактовал инфу в ветке об CCR1036. RB*** и HAP** это не касается, видимо. Дико извиняюсь.
Для меня закгадка этот GoodbyeDPI. Сколько не пробовал на разных провайдерах, ни разу не работало…
Там есть несколько режимов и каждый можно проверить на своем провайдере, затем задействовать это как службу и радоваться. На Ростелекоме работает, на двух из воронежских провайдеров.
Но возможно позже вы столкнетесь с проблемами при создании туннелей внутри вашего из-за малого MTU. Это общая проблема ppp/l2tp/pptp.
Так ведь можно маршруты до нужных узлов пустить мимо VPN, чтобы туннель устанавливался напрямую. Это еще и на пропускную способность положительно повлияет.
настройка сервера в софтэзере достаточно простая

гораздо больше смущает то, что софтэзер-протокол идет в комплекте с кучей оверхеда и достаточно медленно работает сам по себе, ну и в целом не сильно ясно зачем это все делать на роутере, если есть инструменты, которые работают на любых платформах
хз, для меня линукс это уже не просто. Особенно когда вроде всё сделал, но не поднимается и хз с какой стороны ошибка.
На данный момент я хочу настроить на роутере потому что:
1)у меня дома 2 компьютера, ноутбук, 3 смартфона. Вопрос: что настроить проще 1 роутер или 6 устройств на разных ОС?
2)если опыт будет признан успешным, можно легко поставить кому-то другому роутер микротик и настроить его аналогично.
Одна проблема — если добавить в route все заблокированные сайты, Mikrotik может перегреться.
А оно нужно? я поднимал через BGP IP всех сайтов с антифильтра,
но в итоге убрал это всё и сделал через /ip firewall address-list только те которые нужны.
В итоге у меня там болтается 10-20 IP и всё.

Наткнулся на нужный заблокированный сайт -> внес туда, причём по доменному имени и не парюсь.)
А если наткнулась жена, а «администратор» на совещании/в командировке/в лесу?

Дак, так тогда можно и не городить весь этот огород.
Воспользоваться вашим советом и все — профит.

Я вообще в обратную сторону поступил. Что критично без VPN, то и без VPN. Критично без VPN оказалось исчезающе мало:


  • корпоративные адреса с моей работы и жены (не то чтобы критично, но для RDP удобнее пинг 1 мс, а не 20 мс).
  • домены yandex (жене для музыки, мне для mirrors, откуда все обновления для linux быстро льются)
  • mos.ru (часть поддоменов не работает через VPN)
  • несколько сайтов, которые, возможно, столкнулись с DDoS и параноидально позакрывались (не буду говорить, что за сайты, но у меня это 3 сайта)
  • codeforces.com (вместе с dmoj.ca, atcoder.jp и подобными) — чтобы не нервничать (это сайты контестов по программированию и во время контестов они работают на пределе)
  • 2ip.ru и canyouseeme.org — для проверки и сравнения с другими аналогичными (нужно было только при настройке, но удалять из списка нет смысла)

Остальной трафик (включая DNS, конечно) строго через VPN.

Наживка выглядит очень привлекательно для обывателя…
При VPN Ваш комп доступен со стороны чужого VPN сервера.
При использовании proxy.pac Вы намеренно запускаете у себя в браузере чужой js код. При этом браузер будет дергать ссылку на pac при каждом запросе.
Но ведь давно известо — бесплатный сыр бывает только в мышеловке, причем только для второй мышки.

Что-то столько лет все пользуются, и ничего. Где же бесплатный сыр?

Ничего, но в то же время все помнят историю про неуловимого Джо. Посмотрел реализацию antizapret, так себе решение, пускать вообще весь трафик через VPN сервер, зачем, открывать свой комп сети неизвестного провайдера, как то боязно, их хакнут, а достанется всем пользователям. То как предлагается в статье и надежнее, и удобнее, вся инфраструктура находится под контролем пользователя, через VPN только избранные узлы открываются, красота.
пускать вообще весь трафик через VPN сервер
Это не так, через Antizaprer идёт только трафик до заблокированных ресурсов. Благодаря этому объём трафика остаётся достаточно небольшим для того, чтобы держать сервис бесплатным.

удобнее
Если говорить именно об удобстве, то отсутствие необходимости держать и оплачивать свой сервер — удобнее. Отсутствие необходимости пополнять список правил при столкновении с очередным заблокированным ресурсом — удобнее. Я, например, не люблю, когда проблема требует моего периодического участия. Предпочитаю решения «настроил и забыл».

Перечисленные вами преимущества — это «безопаснее», но не «удобнее».
Отсутствие необходимости пополнять список правил при столкновении с очередным заблокированным ресурсом — удобнее.

Кому как. Лично мне удобнее самому решать какие правила пополнять. А какие оставить заблокированными.
В реестре содержатся записи по IP-адресам и IP-диапазонам, которые то появляются, то исчезают. Сомневаюсь, что вы каждый раз вручную анализируете реестр и решаете, что добавить, а что не добавлять. А без проксирования этих адресов и диапазонов у вас некоторые, на первый взгляд не заблокированные сайты, могут либо не открываться вовсе, либо работать с перебоями, т.к., например, один из IP-адресов на домене периодически попадает в заблокированный диапазон.

А сейчас еще и вререестровые блокировки появляются, которые были замечены, по меньшей мере, у Ростелекома и дом.ру.
Сомневаюсь, что вы каждый раз вручную анализируете реестр и решаете, что добавить, а что не добавлять.

Все сильно проще, нужен ресурс — добавляю. Более того, стал ненужен — выкидываю. Никаких реестров я, разумеется, не анализирую.
Делать какие-то выводы по спискам которые не контролирую лично я, считаю неправильным. Эти клоуны могут завтра 127 или 192 прописать в реестр, и что тогда?
А сейчас еще и вререестровые блокировки появляются, которые были замечены, по меньшей мере, у Ростелекома и дом.ру.

Вот вот. Поэтому или руками, или на крайний случай анализ отдаваемого на шаблон запрета.
Все сильно проще, нужен ресурс — добавляю. Более того, стал ненужен — выкидываю. Никаких реестров я, разумеется, не анализирую.
Как вы изначально узнаете, заблокирован ли ресурс, или нет? При блокировке по IP-диапазонам никакой заглушки не показывается, просто трафик не доходит до адреса назначения. А если речь о домене, у которого заблокирована часть адресов, то он будет то работать, то нет.
Лично я регулярно вижу заглушку — «недоступен согласно роскомпозор ля-ля». Вот тогда и разблокирую.
Если уже известный мне ресурс стал недоступен, то проверяю его доступность через альтернативные каналы. Если там все ок, то добавляю в исключения.
Собственно модель поведения аналогична носкрипту — по умолчанию наглухо отключено, и только в случае полной не функциональности открываются минимальные доступы. Если ресурс хочет сильно многого, то ресурс просто посылается лесом.
У меня смутное чувство что мы на все это смотрим сильно с разных колоколен, и круг наших задач не очень совпадает.
Что-то столько то лет мыло наводнено тоннами спама. Вы стопроцентно уверены что Ваши хосты чисты? Болезнь легче предотвратить, чем вылечить.
25 порт провайдеры домашним пользователям закрывают. Лучше было бы в пример приводить DDoS, но не спам.
При VPN Ваш комп доступен со стороны чужого VPN сервера.
Соединения между клиентами блокированы на VPN-сервере. Windows и любые современные дистрибутивы Linux по умолчанию блокируют входящие соединения для новых интерфейсов, если не указать иного вручную. Разве что над пользователями Windows XP и необновлённых Windows 7 можно поглумиться, но и их уже встретишь нечасто.
Хотите полный аналог антизапрета на своих серверах? Установите его себе: bitbucket.org/anticensority/antizapret-vpn-container/src

При использовании proxy.pac Вы намеренно запускаете у себя в браузере чужой js код. При этом браузер будет дергать ссылку на pac при каждом запросе.
А можете запускать точно такой же код, но свой: bitbucket.org/anticensority/antizapret-pac-generator-light/src

Но ведь давно известо — бесплатный сыр бывает только в мышеловке, причем только для второй мышки.
Я обычно не отвечаю на подобные высказывания, но они меня сильно расстраивают, потому что в наше время даже не предполагается, что есть бесплатные честные сервисы, без какого-либо подвоха, которые делают ровно то, что заявлено, и ничего больше. Наверное, мне следует начать продавать трафик и встраивать рекламу, чтобы «соответствовать ожиданиям и запросам пользователей».
А как бы еще сделать что список запрещенный сайтов сам скачивался, перерабатывался на ip и маршрутизация шла в тоннель?

Однажды столкнулся с проблемой: рекламное агентство было практически остановлено, shutterstock попал в список запрещенных на пару дней.
Сначала тоже подумал, вот было бы здорово весь список пихать в white list, кстати, такое возможно, вот только в списке уже больше 300к постановлений, так что лучше добавить пару десяток имен в white list, которые интересны, а остальное, зачем? + список не в реал тайме обрабатывается, он ДСП, так что либо у провайдеров брать (если дадут), или с github, когда его роскомсвобода обновит, так что лучше самому распоряжаться, какие имена через тоннель открывать, а какие напрямую.
а как узнать что важный для меня ресурс оказался запрещенным? Все нужное повернуть через впн независимо от запретов? Не лучшее решение по многим причинам.

Список обязан провайдерами выгружаться не реже чем раз в сутки. Блокировку после выгрузки многие делают по разному. Некоторые проверяют много чаще и блокируют в считанные часы, если не минуты, после попадания в список.

Не могу сказать как сейчас, ранее для выгрузки этого списка достаточно было иметь ЭЦП и все.

На хабре была статья про скрипт, скачивающий список заблокированных ip, преобразующий его в подсети, чтобы микротик от количества маршрутов не умер. Спиок маршрутов обновляется по BGP.
Ссылку к сожалению нет возможности сейчас найти.

Остались. Но стоимость интернета там выше, а качество ниже, нежели туннель через VPN, подобный, описанному в посте. Некоторые вообще до сих пор на xDSL сидят.
У нас (Республика Молдова) оптоволоконный интернет 100Мбит/с — сейчас стоит около 8$.
Но это это для физических лиц. Блокировок нет, торренты работают.
Да ладно? Везде есть блокировки в интернете кроме стран Африки наверно.

В Молдове одобрили закон, позволяющий блокировать сайты и читать электронную почту

Введение данных поправок повысит затраты операторов связи.

Кабмин Молдовы накануне на заседании одобрил законопроект, направленный на обеспечение информационной безопасности и борьбу с киберпреступлениями.

Однако на поверку документ узаконивает цензуру Интернета. Так, закон дает право органам правопорядка блокировать сайты, проверять личные электронные почтовые ящики, читать SMS, сообщения в Viber, Telegram и WhatsApp, пишет agora.md.

Также поправки в закон обязывают поставщиков услуг связи по требованию приостанавливать подачу Интернета на 6 месяцев, а услуг фиксированной и мобильной телефонии — на срок от 180 дней до 1 года. Введение данных поправок повысит затраты операторов связи, что может повлечь и подорожание их услуг для потребителей.

Министерство внутренних дел аргументирует введение поправок необходимостью соответствия молдавского законодательства с международной правовой базой, в том числе с положениями Конвенции Совета Европы о киберпреступности, Конвенции Совета Европы о защите детей от сексуальной эксплуатации и директивы Европейского парламента о борьбе с сексуальным насилием в отношении детей.


А штрафы за торренты только в Германии и Финляндии, в России блокируют некоторые трекеры.
4 года прошло, как одобрили закон, но я ещё не встречал заблокированных нашими органами сайты. Возможно я не те сайты посещаю.

от провайдера ещё зависит. Какой-то лочит, какой-то нет

25€ в месяц за 1000/200 Мбит. В комплекте роутер провайдера (убран в кладовку, заменен на Mikrotik)

А в 2020 это ещё актуально? Последние года три хабр завален такими статьями.

Если включен fasttrack то неплохо бы еще делать mark connection для всего что идет в vpn и все что помечено этой меткой игнорировать в правиле fasttrack. Иначе все может продолжать идти в обход впн.
Эх, опять обход блокировок только по списку заданных ip… Их ведь тысячи и постоянно появляются новые. Нельзя ли сделать чтоб в VPN шло только после неудачной попытки подключиться напрямую?
А как понять что попытка подключения неудачная? Это нужно обход реализовывать либо на уровне плагина в браузере, либо костыли через локальный DPI городить.

Можно поднять BGP с antifilter.download, но лично у меня ни один из микротиков по каким-то причинам не смог поднять впн после загрузки айпишников оттуда, хотя адрес впн не находится в списке блокировок.
Больше года пользуюсь аналогичным прекрасным сервисом — antifilter.network, всё работает прекрасно.
Если у вас нет внешнего IP, то можно установить установить VPN-туннель с ними и поднять BGP-сессию внутри туннеля.

Проблема в том, что соединение происходит. Но с заглушкой провайдера. По крайней мере, в домру так. Помимо этого, они ещё и в трафике копаются, подменяя днс ответы. Так что, либо DoH, либо тоже заворачивать днс-трафик в впн

И ещё: VPN VPNу рознь. У меня на итальянской Arube VPS для всяких мелочей поднят, завернул туда браузер, на торренты ходить, а там сюрприз, внезапно заблокирован рутрекер у макаронников
image
Все отлично работает через Vodafone, TIM, Wind и Fastweb (Мобильный и домашний Интернет)
Предельно странная статья — идея плодить по правилу на каждый ресурс, перед тем где-то в ручную раздобыв его айпи (это в мире облачных сервисов-то)… странная словом идея.
Тики уж года 2 как умеют резолвить в адрес-листах — почему это не использовать?
Так же не стоило бы стрелять себе в ногу и в прероутинге исключать только трафик до 192.168.1.1 — более правильно было бы опять же составить адрес-лист, с используемыми локальными сетями, и в исключения прописывать уже его — в текущем же конфиге у вас будут проблемы если к тику привязано более одной локальной сети.
Не у всех RB3011, а скорее всего mikrotik hap ac2 или что еще похуже, загрузка листов по BGP это очень удобно и я сам это делаю, но что будет с младшими моделями? А до корпоративных ресурсов я делаю все как в статье.
Так я вроде ни слова про BGP не сказал. Идея в том чтобы целевые заблокированные сайты добавить в адрес-лист в виде доменов и трафик до этого адрес-листа пускать на VPN.
Вряд ли вам нужны 99,9% заблокированных ресурсов: пару трекеров, какой-нибудь порнхаб да и хватит — такой объём несложно в ручную ввести, просто не в виде отдельных роутов, а в виде доменов в адрес-листе.
Я надеюсь, что меня поправят, но при 2х+ гейтвеях чекгейтвей не работает.
С чего ему не работать? Другой вопрос что чек-гейтвей зачастую бесполезен без рекурсивного роутинга и это уже относительно морочный конфиг, но в принципе всё работает.
В v6 ещё достаточно много что не работает у тиков, уточняйте тогда.
По треду же в форуме — опять же уточняйте тогда что речь про ecmp. Там вполне вероятно что не работает, но опять же — можно попробовать сделать ecmp с рекурсивным роутингом и чекать гейтвей на на отдельном маршруте на рекурсивный шлюз.
Делал себе схожие настройки и столкнулся с проблемой: запросы на помеченные сайты иногда уходили с задержкой.

Чтобы это исправить, необходимо либо отключить FastTrack в Firewall -> Filter Rules (тогда будут проседания производительности), либо провести дополнительные настройки:

1. В Firewall -> Mangle дополнительно создать правило вида:

/ip firewall mangle
add action=mark-connection chain=prerouting connection-state=new \
dst-address-list=rkp new-connection-mark=connection_rkp passthrough=yes


2. В Firewall -> Filter настроить правило для FastTrack:

/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-mark=!connection_rkp connection-state=established,related


После этого маршруты через VPN и FastTrack будут уживаться вместе.

Кстати, удобно использовать Address List, туда можно заносить доменные имена, которые будут резолвиться при запуске.

Для DNS рекомендую включить DoH, который стал доступен в 6.47.
Не понимаю, почему http и dns маркируются через mark-routing, а рутрекер прописывается в маршрутах. Если строить мангл, то проще же сделать правило для пометки траффика на адреса из какого-нибудь адрес листа vpn_out
CLI
/ip firewall mangle add chain=prerouting action=mark-routing dst-address-list=vpn_out new-routing-mark=vpn_out_mark passthrough=yes

И сделать маршрут для помеченных пакетов
CLI
/ip route
add dst-address=0.0.0.0/0 gateway=%VPN_INTERFACE% routing-mark=vpn_out distance=1

После этого можно просто добавлять нужные сервисы в /ip firewall address-list
Более того, теперь можно вписывать туда доменные имена, он их сам резолвит. Например, рутрекер:
/ip firewall address-list add address=rutracker.org list=vpn_out
В теории нет, L2TP туннель легко отличим от остального траффика.
Если использовать VPN на SSTP или OVPN на 443 порту то вполне, а l2tp и айписек при желании даже по порту можно закрыть и никакой DPI не нужен.
Может кто подскажет VPS для VPN? раньше у VDSina.ru был VPS в нидерландах за 30р, а сейчас нет. вообще ничего подходящего дешевле 2долларов в месяц не нашёл. Дороже не искал.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.