Обход блокировки на mikrotik

Всем привет. Итого настроил все по инструкции и DNS 192.168.104.1 но ни какие устройства в доме не открывают запрещенку.

image863×377 9.29 KB

Может я что то должен дополнительное прописать в Firewall, что бы на сеть домашнюю распространялось ? Пробовал DOH убирать тоже ни чего не происходит.

Да и еще, я правильно понимаю что у меня в DHCP client должен отображаться IP провайдера (точнее мой выделенный IP показывается и да я User peer DNS отключил) ?

И еще вот что заметил, в DNS Leak Test показывает что я вообще в России хожу

image1852×497 65.2 KB

Спасибо всем за инфу и наводки тут, все получилось как то проще на hAP ac lite 6.48.6 (long-term).

1. создал в address lists запись anti_list с адресом vpn.antizapret.prostovpn.org
2. создал в firewall разрешение на input с in.interface(указал впн инет от билайна) и src.address.list указал anti_list, у меня в конце стоит правило все input с внешки дропать.
3. создал профиль для ovpn со скриптами /ip dns cache flush
4. добавил серты, с ключом.
5. создал ovpn с настройками в сабже, поле connect.to указал 51.158.176.255 (так оно в моем случае быстрее коннектится)
6. в мозилле снял галку “Включить DNS через HTTPS” с cloudfare иначе мозг выносит
7. все. Use peer dns не трогал, иначе потом приходится его включать заново, чтобы vpn провайдера в случае дисконекта поднялся.

Hap ac2 routeOs 7.3.1 полёт нормальный. Сайты разлочены

У меня тоже Hap ac2 routeOs 7.3.1 Провайдер Ростелеком. Но обход блокировок работает нестабильно. Настроил, порадовался, но через некоторое время обход перестал работать до перезагрузки роутера.
После нее опять на несколько часов - норм и потом снова не работает.
Еще момент, можно ли обход блокировок совместить с блокировкой рекламы? Есть такая инструкция, но там нужно грузить статические адреса для блокировки в память роутера, которая и так маленькая. У меня есть pihole на отдельном сервере. Как бы все это вместо заставить работать?

На микротике пропишите в качестве dns сервера ваш pi-hole

AntiZapret VPN Container + AdGuardHome + Method

Неа.

У меня все прекрасно работает. Использую свой dnsmasq сервер. Значит и с pi-hole работать будет т.к это гуи для dnsmasq фактически

у меня была такая же проблема с отображением dns cloudflare
на нескольких устройствах. я заметил что эти устройства получали ip автоматически.
случайно залез в ip-dhcp serves - network и увидел там прописанные dns server: 1.1.1.1 и 9.9.9.9
удалил и прописал адрес шлюза 192.168.88.1

Понял что обход блокировок работает, когда oculus скачал обновление прошивки и DNS Leak Test - BrowserLeaks показывает 1 строчку иностранного dns

правда скорость маленькая, но мне она пока без надобности.

Доброй ночи. А есть ли возможность как-то антизапрет совместить с DoH? Суть в том, чтобы обеспечить для PPPoE использование DoH от того же CloudFlare для работы OpenVPN от АнтиЗапрета через него. Ну а в текущем же виде все DNS запросы остаются в голом виде…
При прописывании DoH в скрипте OpenVPN на заблокированных сайтах выходит PR_CONNECT_RESET_ERROR или же открывается вообще какой-то левак вместо нужных сайтов
/ip dns set allow-remote-requests=yes servers=“1.1.1.3,1.0.0.3” use-doh-server=https://family.cloudflare-dns.com/dns-query verify-doh-cert=yes;

Screenshot (1)1920×1200 295 KB

Разве?

antizapret742×337 70.9 KB

Но перед подключением запрос к домену то через публичные нешифрованные dns идет. Да и после подключения тот же 1.1.1.1/help показывает мои указанные dns и после очистки кэшов.

Используйте DoH(443), вместо PlainDNS(53) после отключения(on-down) интерфейса AntiZapret.

Это что значит?

Ну тогда весь интернет умирает до отката, возможно, что-то неправильно делаю.

То что показывает соединение до CloudFlare

Настройка устройства для работы с DoH вместе с функцией Verify DoH Certificate

/tool fetch url="https://curl.se/ca/cacert.pem" mode=http

/certificate import file-name=cacert.pem passphrase=""

/ip dns set verify-doh-cert=yes

/ip dns set use-doh-server="https://dns.cloudflare.com/dns-query"

/ip dns static
add address=1.1.1.1 comment=dns.cloudflare.com name=dns.cloudflare.com
add address=1.0.0.1 comment=dns.cloudflare.com name=dns.cloudflare.com

/ip dns set servers=""

/ip dns cache flush

Подправить on-up & on-down скрипты для профиля AntiZapret

on-down:
/ip dns set use-doh-server="https://dns.cloudflare.com/dns-query";

on-up:
/ip dns set use-doh-server="";

Не оставляйте там ничего связанного с PlainDNS
/ip dns set servers

Тогда в логе получается без плейна:
DoH server connection error: resolving error
Напишите, пожалуйста, полную последовательность действий как здесь же Обход блокировки на mikrotik - #36 by khammatov , но с учетом работы через DoH

Сборник ссылок

Для замены PlainDNS(53) на DoH(443) в профиле АнтиЗапрет.

Удалить старый профиль AntiZapret
/ppp profile remove AntiZapret

Удалить виртуальный интерфейс AntiZapret
/interface ovpn-client remove AntiZapret

Очистить DNS Upstream сервера
/ip dns set servers=""
/ip dns set use-doh-server=""

Перезагрузить устройство
/system reboot

нажать Y на клавиатуре

После перезагрузки раздел с DNS должен выглядеть вот так

Добавить временные DNS сервера
/ip dns set servers="1.1.1.1,9.9.9.10"

Добавить статические записи для домена: dns.cloudflare.com

/ip dns static
add address=1.1.1.1 comment=dns.cloudflare.com name=dns.cloudflare.com
add address=1.0.0.1 comment=dns.cloudflare.com name=dns.cloudflare.com

Выкачать файл с корневыми сертификатами, в моем примере это хранилище от Mozilla
/tool fetch url="https://curl.se/ca/cacert.pem" mode=http

Импортировать файл с сертификатами
/certificate import file-name=cacert.pem passphrase=""

Включить проверку сертификатов
/ip dns set verify-doh-cert=yes

Удалить временные DNS сервера
/ip dns set servers=""

Вернуть отредактированный профиль интерфейса AntiZapret с использованием DoH(443) вместо PlainDNS(53)

/ppp profile
add change-tcp-mss=yes name=AntiZapret on-down="/ip dns set use-doh-server=\"https://dns.cloudflare.com/dns-query\";\r\
    \n/ip dns cache flush;\r\
    \n{:delay 10};\r\
    \n/ip dns static remove [find comment=\"v.31337.lol\"];\r\
    \n/ip dns static add address=[/put [resolve v.31337.lol]] comment=v.31337.lol name=v.31337.lol;" on-up="/ip dns set use-doh-server=\"\";\r\
    \n/ip dns cache flush"

Вернуть виртуальный интерфейс AntiZapret, без изменений.

/interface ovpn-client add certificate=antizapret-client-shared.crt_0 cipher=blowfish128 connect-to=v.31337.lol name=AntiZapret password=none port=1194 profile=AntiZapret user=none use-peer-dns=yes disabled=yes

Поправить Firewall

/ip firewall nat remove [find comment=AntiZapret]
/ip firewall nat add chain=srcnat action=masquerade out-interface=AntiZapret comment=AntiZapret

Перетащим правило(может быть выделено красным цветом) на самый верх или под правило Маскарад вашего провайдера (основного шлюза).

Поднять виртуальный интерфейс обратно.
/interface enable AntiZapret

Перезагрузите Микротик, проверяйте.

Теперь при падении виртуального интерфейса AntiZapret, все DNS запросы будут перенаправляться на DoH(443) ресолвер от cloudflare.

Как на картинке

Тест: https://one.one.one.one/help

Спасибо, теперь DoH есть при отрубе интерфейса OpenVPN, но разве порты не надо менять с 53 на 443 в Firewall для полноценного сокрытия dns запросов от провайдера? И есть смысл включать сжатие с принудительным шифрованием в профиле?

И еще, а есть ли варианты как-то совместить фильтрующие DoH сервера от CloudFlare с OpenVPN АнтиЗапрета? Просто как-то не особо понятно, почему тот же https://family.cloudflare-dns.com/dns-query требует указать 1.1.1.3, 1.0.0.3, а тот адрес от вас без фильтрации плейна не требует вообще.

Ага

Неа

/ip dns static
add address=1.1.1.3 comment=family.cloudflare-dns.com name=family.cloudflare-dns.com
add address=1.0.0.3 comment=family.cloudflare-dns.com name=family.cloudflare-dns.com

Заменить это:
https://dns.cloudflare.com/dns-query

На это:
https://family.cloudflare-dns.com/dns-query

Для обхода блокировок и параллельной фильтрации DNS трафика требуются отдельные сервисы.

Проще со своим контейнером. Но можно и локально, если есть возможность содержания сервисов в постоянной доступности.

Все это к теме Микротика уже не относится.

Возможно, это будет относится к Микротику если поставить пакет container из Extra packages
Советовать такой вариант не стану, судя по модели вашего устройства.

сделал всё по инструкции - всё работает. единственное хотел уточнить: в случае сбоев антизапрета, мой интернет продолжит работать или тоже падет?