Обход блокировки на mikrotik

Можете еще проверить, что имеется в списке скриптов и планировщике

System > Scripts
System > Scheduler

Возможно там есть скрипты автоматической настройки, которые меняют настройки после ваших манипуляций.
И чтобы наверняка, убедитесь что пользователь имеет пароль, желательно пользователя пересоздать со своим запоминающимся именем, что угодно кроме слова - admin.

Например:

Username: izogar
Password: myISP#874sucks*

Если ваш Микротик настраивал сотрудник компании провайдера, в нем могли оказаться какие угодно настройки, имейте ввиду.

Поглядите еще, не включены ли на устройстве сервера: Telnet,SSH…
И по возможности все остальные методы удаленного управления устройством.
Возможно это автоматические системы, которые контролируют оборудование клиентов. Для автоматической настройки или еще чего либо.

Понял, спасибо ) Нет, роутер без бэкдоров скриптов скрытых админов и прочего. Настраивал сам, сбросив дефолтную конфу.
Но! Заметил одну забавную вещь - мобильник стабильно работает c заблокированными сайтами и показывает DNS Германия, а ноут на той же wifi сети нет (Макос). sudo dscacheutil -flushcache не помогает - помогает перезагрузка. Мистика! продолжаю копать дальше

Всем привет, сделал данную настройку для hAP ac2 - все прекрасно работает! Но теперь у меня загвоздка: я правильно понимаю что не получится теперь поставить фильтра DNS типа Pi-Hole или AdGuard DNS? Если же можно, ткните пожалуйста, а то я еще зеленый в микротах(

Можно поставить PI-Hole или аналог, если свой контейнер запустите.
Вот тут смотрите https://ntc.party/t/vpn/129/39

Делал по вашему посту Обход блокировки на mikrotik - #22 by khammatov в нем гораздо быстрее и удобнее описан способ чем в первом посте. Но после выполнения всех действий обход блокировок не заработал. Я стал сравнивать с инструкцией первого поста и заметил что по вашей инструкции у меня в графе Use Peer DNS выбрано значение yes, я изменил его на exclusively и обход блокировок заработал. Может внесёте изменения в свою инструкцию с учётом того что я выше написал.

И ещё не могли бы вы также подробно сделать инструкцию на случай если сайт antizapret.prostovpn.org перестанет работать. То микторик сам бы менял DNS на провайдерские (или другие, лишь бы интернет не переставал работать). Ну и обратно на antizapret когда он восстановит работу.

Ещё добавлю. В вашей инструкции при копировании команды вот кусок “cipher=aes128 connect-to=vpn.antizapret.prostovpn.org 3 name=AntiZapret” появляется символ 2 или 3 ну сколько раз было нажато на ссылку. И когда всю команду копируешь и вставляешь в микротик то естественно он пишет ошибку из за этого лишнего символа.

Для настройки АнтиЗапрет.

Заходим сюда:

IP - DHCP Server - Networks - выбираем свой сервер - DNS Servers

Задаем DNS Servers

1.1.1.1
9.9.9.9

Перезагружаем Микротик.

Настраиваем Антизапрет.

Загружаем актуальный архив с сертификатом и ключом:

https://antizapret.prostovpn.org/antizapret-tcp.zip

Распаковываем архив:

antizapret-tcp.zip

Отправляем 2 этих файла в память Микротика:

antizapret-client-shared.crt
antizapret-client-shared.key

Импортируем сертификат, а после ключ:

/certificate import file-name=antizapret-client-shared.crt passphrase=""
/certificate import file-name=antizapret-client-shared.key passphrase=""

Проверим статус сертификата:

/certificate print detail from=antizapret-client-shared.crt_0

Screenshot from 2023-03-17 09-43-521095×86 33.6 KB

Если наблюдаем 2 этих флага: K T
Выделено красной линией
Значит порядок, смотрим картинку и идем далее

Делаем так, чтобы наш Микротик взял на себя ответственность за обработку DNS

/ip dns set allow-remote-requests=yes

Добавим DNS, в конце настройки оно само очиститься.

/ip dns set servers="1.1.1.1,9.9.9.9";

Проведем осмотр интерфейсов способных отдать список DNS серверов

PPPoE, DHCP Client, ...

И отключим опцию: Use Peer DNS

Сейчас раздел IP - DNS
Должен выглядеть как на картинке

Создаем профиль для виртуального интерфейса:

/ppp profile 
add change-tcp-mss=yes name=AntiZapret on-down="/ip dns set servers=\"1.1.1.1,9.9.9.9\";\r\
    \n/ip dns cache flush;\r\
    \n{:delay 10};\r\
    \n/ip dns static remove [find comment=\"vpn.antizapret.prostovpn.org\"];\r\
    \n/ip dns static add address=[/put [resolve vpn.antizapret.prostovpn.org]] comment=vpn.antizapret.prostovpn.org name=vpn.antizapret.prostovpn.org;" on-up=\
    "/ip dns set servers=\"\";\r\
    \n/ip dns cache flush"

Создаем виртуальный интерфейс:

/interface ovpn-client add certificate=antizapret-client-shared.crt_0 cipher=aes128 connect-to=vpn.antizapret.prostovpn.org name=AntiZapret password=none port=1194 profile=AntiZapret user=none use-peer-dns=yes disabled=yes

Создадим 3 правила в NAT, первый для Маскарада и два других для редиректа всего не шифрованного DNS на Микротик.

/ip firewall nat add chain=srcnat action=masquerade out-interface=AntiZapret comment=AntiZapret;
/ip firewall nat add action=redirect chain=dstnat comment="DNS Redirect to Router" dst-port=53,5353,1253 protocol=udp;
/ip firewall nat add action=redirect chain=dstnat comment="DNS Redirect to Router" dst-port=53,5353,1253 protocol=tcp;

Перетащим их на самый верх или под правило Маскарад вашего провайдера (основного шлюза).

/interface enable AntiZapret

По итогу раздел IP - DNS
Должен выглядеть вот так

Перезагрузите Микротик, проверяйте.

Роутрер микротик настроенный по инструкции от сюда. Вчера и сегодня периодически не открываются сайты.
При открытии browserleaks.com показывает немецкий ip и два российских.
Germany, Limburg an der Lahn
Russia, St Petersburg (Tsentralnyy rayon)
Russia, Moscow
И это всё периодично происходит. Потом через какое то время показывает только немецкий ip и сайты открываются.

Внимательно перечитайте заметки из этой темы.

Ваша задача:

• Избавиться от лишних DNS серверов, ресолверов.

Вот вам напоминание на Bitbucket
Найдите строку по Ctrl + F

Особенности VPN

Добрый день!
когда делаю настройку с полным сбросом конфигурации по инструкции Создание домашней сети на базе MikroTik | GREGORY GOST

и последующей настройкой Обход блокировки на mikrotik - #36 by khammatov

антизапрет работает, но сильно режет скорость, даже с отключенным антизапретом (350-400 от 600мб/с траифа)

Если делаю сброс, базовую настройку через wizard - со скоростью все отлично, но антизапрет работает криво
в DNS Leak Test вижу 8 адресов 6 из Росиии (Cloudfare ip4 и ip6 по 3 )
и два немецких ip4, причем немецкие появляются не всегда, наверно в 2х из 5 тестов.

сверял обе конфигурации - не могу понять откуда подтягиваются dns сервера от провайдера

Покажите что у вас есть по команде такой /ip dns print

dns1034×296 18.5 KB

Да и скриншот с результатом DNS Leak Test - BrowserLeaks

/ip dns print
servers:
dynamic-servers: 192.168.104.1
use-doh-server:
verify-doh-cert: no
allow-remote-requests: yes
max-udp-packet-size: 4096
query-server-timeout: 2s
query-total-timeout: 10s
max-concurrent-queries: 100
max-concurrent-tcp-sessions: 20
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 99KiB

Либо, если vpn погашен:
servers: 77.88.8.8,9.9.9.9
dynamic-servers:
use-doh-server:
verify-doh-cert: no
allow-remote-requests: yes
max-udp-packet-size: 4096
query-server-timeout: 2s
query-total-timeout: 10s
max-concurrent-queries: 100
max-concurrent-tcp-sessions: 20
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 44KiB

пробую разные dns, и списки российских серверов в dnsleak появляются при выборе 1.1.1.1

	IP Address :	ISP :	Location :
—	—	—
172.68.14.33	Cloudflare, Inc.	Russia, Moscow
172.68.14.189	Cloudflare, Inc.	Russia, Moscow
172.68.14.195	Cloudflare, Inc.	Russia, Moscow
2400:cb00:87:1024::ac44:e21	Cloudflare, Inc.	Russia, Moscow
2400:cb00:87:1024::ac44:ebd	Cloudflare, Inc.	Russia, Moscow
2400:cb00:87:1024::ac44:ec3	Cloudflare, Inc.	Russia, Moscow

Скриншот из теста, когда АнтиЗапрет работает показывайте.

проблема нашлась, но не там.
яндекс браузер похоже что то мутит с днс,

попробовал с FF и оперу - работает норм, как и с мобильных устросйтв.
во всех случаях по одному адресу в списке днс,

Вот и отлично.

Еще один нюанс всплыл.
Если использовать в микротике Wizard для базовой настройки - у Яндекс браузера остается возможность подменять/дополнять списки dns серверов.

у меня не хватает компетенций найти в чем разница конфигураций…

Почему-то не работает…
ВПН антизапрета подключился без проблем, но заблокированные сайты не открываются. Ниже данные настроек. Помогите пожалуста

/ip dns print
servers:
dynamic-servers: 192.168.104.1
use-doh-server: https://dns.google/dns-query
verify-doh-cert: no
allow-remote-requests: yes
max-udp-packet-size: 4096
query-server-timeout: 2s
query-total-timeout: 10s
max-concurrent-queries: 100
max-concurrent-tcp-sessions: 20
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 134KiB

Тест на сайте DNS Leak Test - BrowserLeaks выдаёт следующие адреса:

Отключите Google DOH.
Найдите причину появления адресов Cloudflare.
Читайте инструкцию заново.

Инструкция вся зачитана и перечитана. Правила редиректа и маскарада в NAT-е микротика созданы и располагаются в самом верху, трафик в правила попадает. Может адреса как-то подставлять мой провайдер? У меня подключение к провайдеру по VPN (PPTP) и в настройках интерфейса нет пункта Use Peer DNS.
Без DOH адреса CloudFlare всё равно присутствуют.

Попробуйте тест через смартфон например, исключите браузер.
Или сразу браузер проверьте, там тоже DOH может быть включен.
Firefox, Chrome точно имеют такую функцию, выше про Яндекс есть, он так же вроде делает.

Насчет ВПН не могу ничего добавить, не сталкивался с такими уловками.