Добавляем сертификат и ключ в хранилище.
Для этого открываем меню System => Certificates. Во вкладке Certificates кнопка Import. В поле File name выбираем сертификат flash/antizapret-client-shared.crt и нажимаем Import. Сертификат появится в списке с флагом T (Trusted). Аналогично добавляем ключ flash/antizapret-client-shared.key. У сертификата появится ещё один флаг K (private key).
Создадим профиль для подключения.
Для этого открываем меню PPP вкладка Profiles, нажимаем плюс. Называем профиль как удобно, например profile_antizapret. Настройки оставим по-умолчанию и переходим во вкладку Scripts. В поле On Up и в On Down: копируем строку: /ip dns cache flush
Это нужно для того, чтобы при отключении или включении VPN-подключения у вас очищался DNS-кеш.
Создаём подключение OpenVPN.
Для этого во вкладке Interface нажимаем плюс и выбираем OVPN Client.
Во вкладке General: Name: Называем как удобно, например ovpn-antizapret
Во вкладке Dial Out: Connect To:vpn.antizapret.prostovpn.org Port: оставляем 1194 Mode: оставляем ip Protocol:tcp User: пишем любой, например user Password: оставляем неактивным Profile: выбираем ранее созданный profile_antizapret Certificate: выбираем ранее добавленный antizapret-client-shared.crt_0 TLS Version: можно оставить any Auth: оставляем sha1 Cipher: меняем на blowfish (bf-cbc) Use Peer DNS: выставляем на exclusively, чтобы при подключении OVPN-клиента основным DNS стал полученный от Антизапрета
Галочки на Add Default Route и Don’t Add Peshed Routes не ставим.
Нажимаем Apply, сразу должно произойти подключение. Внизу Status поменяется на connected.
Сводка
NAT настраиваем в зависимости от настроек домашнего интернета. У меня роутер получает настройки по DHCP от провайдера с реальным IP. Я у себя настроил вторым правилом IP => Firewall => NAT:
Вкладка General: Chain:srcnat Src.Address:192.168.100.0/24 (Это пул адресов моей локальной сети, вы указываете свой) Out. Interface:ovpn-antizapret
Вкладка Action: Action:masquerade
Не так давно в браузерах начали по-умолчанию включать так называемый “Безопасный DNS”. При этой включенной функции в браузере все DNS запросы будут идти в зашифрованном виде мимо вашего роутера, а значит заблокированные сайты останутся заблокированными. В таком случае нужно отключать “Безопасный DNS” в браузере, которым пользуетесь. Это касается и мобильных устройств.
Проще всего найти эту галку можно введя слово “DNS” в строке поиска в параметрах вашего браузера.
На данный момент везде использую версию 6.47.1 . Стараюсь поддерживать в актуальном состоянии.
Чуть позже, по свой же невнимательности обнаружил, что на сайте уже есть отдельно выложенный архив с сертификатами и ключом. Чтобы не было нужды вырезать их из файла конфигурации как описано у меня.
Под MIKROTIK HAP AC² данный способ пойдёт? В отзывах пишут что у данной модели ограниченный функционал openvpn (не поддерживает сжатие и определённые типы аутентификации).
volq, большое спасибо за приведенную инструкцию.
Попробовал настроить MIKROTIK HAP AC² RouterOS 6.47.3.
Интерфейс opvn-antizapret запустился, но блокировки не снялись.
Провайдер МГТС. В чем может быть проблема?
Пробуйте добавить Маскарад для интерфейса: opvn-antizapret
Вот так: /ip firewall nat add chain=srcnat action=masquerade out-interface=opvn-antizapret
И еще позаботьтесь о DNS, чтобы обход работал - все ваши устройства в сети должны использовать DNS-ресолвер от Антизапрета.
Лично я перенаправляю весь DNS трафик на свой роутер, и таким образом любое устройство подключенное к роутеру получает обход блокировок.
Делаю так,
Очищаю список Servers в разделе IP - DNS
В результате там должно остаться только Dynamic Servers
Выглядит адрес примерно вот так 192.168.104.1
Включаю пункт Allow Remote Requets
И добавляю правила такие: /ip firewall nat add chain=dstnat action=redirect protocol=tcp dst-port=53,5353,1253 /ip firewall nat add chain=dstnat action=redirect protocol=udp dst-port=53,5353,1253
На случай непредвиденных проблем, отключения сервера Антизапрета и чего либо еще я оставляю несколько DNS ресолверов в настройках IP - DHCP Server - Networks - Выбираем свой DHCP сервер - DNS Servers, чтобы быстро можно было отключить два правила Файрвола, которые выше, и интернет продолжил работать как раньше, но уже без обхода блокировок, и обратно так же быстро вернуть настройки. Выключил - Включил.
Здравствуйте. У меня настроены 2 бриджа с разными портами в каждом. И после того как я всё добавил, антизапрет заработал на первом бридже, хотя должен на втором. Как это исправить?
Интересная проблема возникла. Когда активен обход на микротике, не могу получить доступ к домену, который обслуживается на cloudflare. Выдаёт ошибку dns_probe_finished_nxdomain. Как только вводишь другие dns серверы (например гугловский или от cloudflare), то работает. Но, естественно, тогда не работает обход блокировок. Как это исправить?
Возникла проблема. Все настроено, как написано и все работало около недели. Потом перестали работать только заблокированные ресурсы.
Подключение к VPN - есть.
DNS Антизапрета получен.
Никаких других ДНС в системе нет.
При отключении от VPN - интернет не работает совсем с ошибкой по ДНС, при подключении все сайты работают, кроме заблокированных
Спасибо, разобрался. Была проблема с файрволом на маршрутизаторе
Проверьте какой DNS-сервер получил микротик: IP - DNS, Dynamic Servers
Проверьте IP - Firewall - Filter Rules, не закрыт ли порт 53
Укажите в вашем правиле scr-address=“пул ip вашей локальной сети”
Либо в in-interface=“интерфейс вашей локальной сети”
Я редиректы не использую. При отключении и включении ВПН прекрасно справляется скрипт на очищение ДНС. Я уже и забыл, что у меня антизапрет настроен, пока вы не написали)
