Обход блокировки на mikrotik

Можете еще проверить, что имеется в списке скриптов и планировщике

System > Scripts
System > Scheduler

Возможно там есть скрипты автоматической настройки, которые меняют настройки после ваших манипуляций.
И чтобы наверняка, убедитесь что пользователь имеет пароль, желательно пользователя пересоздать со своим запоминающимся именем, что угодно кроме слова - admin.

Например:

Username: izogar
Password: myISP#874sucks*

Если ваш Микротик настраивал сотрудник компании провайдера, в нем могли оказаться какие угодно настройки, имейте ввиду.

Поглядите еще, не включены ли на устройстве сервера: Telnet,SSH…
И по возможности все остальные методы удаленного управления устройством.
Возможно это автоматические системы, которые контролируют оборудование клиентов. Для автоматической настройки или еще чего либо.

Понял, спасибо ) Нет, роутер без бэкдоров скриптов скрытых админов и прочего. Настраивал сам, сбросив дефолтную конфу.
Но! Заметил одну забавную вещь - мобильник стабильно работает c заблокированными сайтами и показывает DNS Германия, а ноут на той же wifi сети нет (Макос). sudo dscacheutil -flushcache не помогает - помогает перезагрузка. Мистика! продолжаю копать дальше

Всем привет, сделал данную настройку для hAP ac2 - все прекрасно работает! Но теперь у меня загвоздка: я правильно понимаю что не получится теперь поставить фильтра DNS типа Pi-Hole или AdGuard DNS? Если же можно, ткните пожалуйста, а то я еще зеленый в микротах(

Можно поставить PI-Hole или аналог, если свой контейнер запустите.
Вот тут смотрите https://ntc.party/t/vpn/129/39

Делал по вашему посту Обход блокировки на mikrotik - #22 by khammatov в нем гораздо быстрее и удобнее описан способ чем в первом посте. Но после выполнения всех действий обход блокировок не заработал. Я стал сравнивать с инструкцией первого поста и заметил что по вашей инструкции у меня в графе Use Peer DNS выбрано значение yes, я изменил его на exclusively и обход блокировок заработал. Может внесёте изменения в свою инструкцию с учётом того что я выше написал.

И ещё не могли бы вы также подробно сделать инструкцию на случай если сайт antizapret.prostovpn.org перестанет работать. То микторик сам бы менял DNS на провайдерские (или другие, лишь бы интернет не переставал работать). Ну и обратно на antizapret когда он восстановит работу.

Ещё добавлю. В вашей инструкции при копировании команды вот кусок “cipher=aes128 connect-to=vpn.antizapret.prostovpn.org 3 name=AntiZapret” появляется символ 2 или 3 ну сколько раз было нажато на ссылку. И когда всю команду копируешь и вставляешь в микротик то естественно он пишет ошибку из за этого лишнего символа.

Сборник ссылок

Для настройки АнтиЗапрет.

Заходим сюда:

IP - DHCP Server - Networks - выбираем свою сеть - DNS Servers

Задаем DNS Servers

1.1.1.1
9.9.9.10

Перезагружаем Микротик.

Настраиваем Антизапрет.

Загружаем актуальный архив с сертификатом и ключом: antizapret-tcp.zip

https://antizapret.prostovpn.org/antizapret-tcp.zip

Резервные ссылки на актуальный архив с сертификатом и ключом

https://antizapret.prostovpn.org:8443/antizapret-tcp.zip

https://antizapret.prostovpn.org:18443/antizapret-tcp.zip

https://raw.githubusercontent.com/nzkhammatov/certificates/main/antizapret-openvpn/antizapret-tcp.zip

Распаковываем архив:

antizapret-tcp.zip

Отправляем 2 этих файла в память Микротика:

antizapret-client-shared.crt
antizapret-client-shared.key

Импортируем сертификат, а после ключ:

/certificate import file-name=antizapret-client-shared.crt passphrase=""
/certificate import file-name=antizapret-client-shared.key passphrase=""

Проверим статус сертификата:

/certificate print detail from=antizapret-client-shared.crt_0

Если наблюдаем 2 этих флага: K T
Выделено красной линией
Значит порядок, смотрим картинку и идем далее

Делаем так, чтобы наш Микротик взял на себя ответственность за обработку DNS

/ip dns set allow-remote-requests=yes

Добавим DNS, в конце настройки оно само очиститься.

/ip dns set servers="1.1.1.1,9.9.9.10";

:warning: Проведем осмотр интерфейсов способных отдать список DNS серверов

PPPoE

DHCP Client

PPPoE, DHCP Client, ...

:warning: И отключим опцию: Use Peer DNS

Сейчас раздел IP - DNS
Должен выглядеть как на картинке

photo_2024-03-18_22-06-50

Создаем профиль для виртуального интерфейса:

/ppp profile 
add change-tcp-mss=yes name=AntiZapret on-down="/ip dns set servers=\"1.1.1.1,9.9.9.10\";\r\
    \n/ip dns cache flush;\r\
    \n{:delay 10};\r\
    \n/ip dns static remove [find comment=\"vpn.antizapret.prostovpn.org\"];\r\
    \n/ip dns static add address=[/put [resolve vpn.antizapret.prostovpn.org]] comment=vpn.antizapret.prostovpn.org name=vpn.antizapret.prostovpn.org;" on-up=\
    "/ip dns set servers=\"\";\r\
    \n/ip dns cache flush"

Создаем виртуальный интерфейс:

/interface ovpn-client add certificate=antizapret-client-shared.crt_0 cipher=aes128 connect-to=vpn.antizapret.prostovpn.org name=AntiZapret password=none port=1194 profile=AntiZapret user=none use-peer-dns=yes disabled=yes
Возможное (не постоянное) решение при блокировках сервиса АнтиЗапрет OpenVPN

Изменение метода шифрования с AES на Blowfish

Перед применением, удалить старый виртуальный интерфейс с названием AntiZapret в разделе Interfaces

/interface ovpn-client add certificate=antizapret-client-shared.crt_0 cipher=blowfish128 connect-to=vpn.antizapret.prostovpn.org name=AntiZapret password=none port=1194 profile=AntiZapret user=none use-peer-dns=yes disabled=yes

Создадим 3 правила в NAT, первый для Маскарада и два других для редиректа всего не шифрованного DNS на Микротик.

/ip firewall nat add chain=srcnat action=masquerade out-interface=AntiZapret comment=AntiZapret;
/ip firewall nat add action=redirect chain=dstnat comment="DNS Redirect to Router" dst-port=53,5353 protocol=udp;
/ip firewall nat add action=redirect chain=dstnat comment="DNS Redirect to Router" dst-port=53,5353 protocol=tcp;

Перетащим их на самый верх или под правило Маскарад вашего провайдера (основного шлюза).

/interface enable AntiZapret

Перезагрузите Микротик, проверяйте.

По итогу раздел IP - DNS
Должен выглядеть вот так

Screenshot from 2023-04-03 10-18-47

При проведении тестов на ресурсе https://browserleaks.com/dns
Должны получаться результаты как на картинках


Роутрер микротик настроенный по инструкции от сюда. Вчера и сегодня периодически не открываются сайты.
При открытии browserleaks.com показывает немецкий ip и два российских.
Germany, Limburg an der Lahn
Russia, St Petersburg (Tsentralnyy rayon)
Russia, Moscow
И это всё периодично происходит. Потом через какое то время показывает только немецкий ip и сайты открываются.

Внимательно перечитайте заметки из этой темы.

Ваша задача:

  • Избавиться от лишних DNS серверов, ресолверов.

Вот вам напоминание на Bitbucket
Найдите строку по Ctrl + F

Особенности VPN

Добрый день!
когда делаю настройку с полным сбросом конфигурации по инструкции Создание домашней сети на базе MikroTik | GREGORY GOST

и последующей настройкой Обход блокировки на mikrotik - #36 by khammatov

антизапрет работает, но сильно режет скорость, даже с отключенным антизапретом (350-400 от 600мб/с траифа)

Если делаю сброс, базовую настройку через wizard - со скоростью все отлично, но антизапрет работает криво
в DNS Leak Test вижу 8 адресов 6 из Росиии (Cloudfare ip4 и ip6 по 3 )
и два немецких ip4, причем немецкие появляются не всегда, наверно в 2х из 5 тестов.

сверял обе конфигурации - не могу понять откуда подтягиваются dns сервера от провайдера

Покажите что у вас есть по команде такой /ip dns print

Да и скриншот с результатом DNS Leak Test - BrowserLeaks

/ip dns print
servers:
dynamic-servers: 192.168.104.1
use-doh-server:
verify-doh-cert: no
allow-remote-requests: yes
max-udp-packet-size: 4096
query-server-timeout: 2s
query-total-timeout: 10s
max-concurrent-queries: 100
max-concurrent-tcp-sessions: 20
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 99KiB

Либо, если vpn погашен:
servers: 77.88.8.8,9.9.9.9
dynamic-servers:
use-doh-server:
verify-doh-cert: no
allow-remote-requests: yes
max-udp-packet-size: 4096
query-server-timeout: 2s
query-total-timeout: 10s
max-concurrent-queries: 100
max-concurrent-tcp-sessions: 20
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 44KiB

пробую разные dns, и списки российских серверов в dnsleak появляются при выборе 1.1.1.1

IP Address : ISP : Location :
RU172.68.14.33 Cloudflare, Inc. Russia, Moscow
RU172.68.14.189 Cloudflare, Inc. Russia, Moscow
RU172.68.14.195 Cloudflare, Inc. Russia, Moscow
RU2400:cb00:87:1024::ac44:e21 Cloudflare, Inc. Russia, Moscow
RU2400:cb00:87:1024::ac44:ebd Cloudflare, Inc. Russia, Moscow
RU2400:cb00:87:1024::ac44:ec3 Cloudflare, Inc. Russia, Moscow

Скриншот из теста, когда АнтиЗапрет работает показывайте.

проблема нашлась, но не там.
яндекс браузер похоже что то мутит с днс,

попробовал с FF и оперу - работает норм, как и с мобильных устросйтв.
во всех случаях по одному адресу в списке днс,

Вот и отлично.

Еще один нюанс всплыл.
Если использовать в микротике Wizard для базовой настройки - у Яндекс браузера остается возможность подменять/дополнять списки dns серверов.

у меня не хватает компетенций найти в чем разница конфигураций…


для чего у тебя установлена опция " verify-doh-cert: yes"
ведь тыже не используешь его?

Почему-то не работает… :frowning:
ВПН антизапрета подключился без проблем, но заблокированные сайты не открываются. Ниже данные настроек. Помогите пожалуста :slight_smile:

/ip dns print
servers:
dynamic-servers: 192.168.104.1
use-doh-server: https://dns.google/dns-query
verify-doh-cert: no
allow-remote-requests: yes
max-udp-packet-size: 4096
query-server-timeout: 2s
query-total-timeout: 10s
max-concurrent-queries: 100
max-concurrent-tcp-sessions: 20
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 134KiB

Тест на сайте DNS Leak Test - BrowserLeaks выдаёт следующие адреса:

74.125.46.2 Google LLC Finland, Lappeenranta
74.125.46.130 Google LLC Finland, Lappeenranta
74.125.46.131 Google LLC Finland, Lappeenranta
74.125.46.134 Google LLC Finland, Lappeenranta
74.125.46.135 Google LLC Finland, Lappeenranta
74.125.46.140 Google LLC Finland, Lappeenranta
74.125.46.141 Google LLC Finland, Lappeenranta
74.125.74.3 Google LLC Finland, Lappeenranta
74.125.74.7 Google LLC Finland, Lappeenranta
74.125.74.8 Google LLC Finland, Lappeenranta
74.125.74.9 Google LLC Finland, Lappeenranta
74.125.74.13 Google LLC Finland, Lappeenranta
74.125.74.131 Google LLC Finland, Lappeenranta
74.125.74.134 Google LLC Finland, Lappeenranta
74.125.74.136 Google LLC Finland, Lappeenranta
74.125.74.141 Google LLC Finland, Lappeenranta
74.125.74.142 Google LLC Finland, Lappeenranta
74.125.74.145 Google LLC Finland, Lappeenranta
74.125.74.146 Google LLC Finland, Lappeenranta
74.125.112.4 Google LLC Finland, Lappeenranta
74.125.112.9 Google LLC Finland, Lappeenranta
74.125.112.11 Google LLC Finland, Lappeenranta
74.125.112.15 Google LLC Finland, Lappeenranta
74.125.114.129 Google LLC Finland, Lappeenranta
74.125.114.131 Google LLC Finland, Lappeenranta
74.125.114.136 Google LLC Finland, Lappeenranta
74.125.114.141 Google LLC Finland, Lappeenranta
172.68.9.105 Cloudflare, Inc. Russia, Moscow
172.68.14.201 Cloudflare, Inc. Russia, Moscow
172.68.14.207 Cloudflare, Inc. Russia, Moscow
172.217.37.134 Google LLC Finland, Lappeenranta
172.217.37.137 Google LLC Finland, Lappeenranta
172.217.37.138 Google LLC Finland, Lappeenranta
173.194.98.1 Google LLC Finland, Lappeenranta
173.194.98.6 Google LLC Finland, Lappeenranta
173.194.98.7 Google LLC Finland, Lappeenranta
173.194.98.8 Google LLC Finland, Lappeenranta
173.194.98.14 Google LLC Finland, Lappeenranta
173.194.98.15 Google LLC Finland, Lappeenranta
2400:cb00:87:1024::ac44:969 Cloudflare, Inc. Russia, Moscow
2400:cb00:87:1024::ac44:ec9 Cloudflare, Inc. Russia, Moscow
2400:cb00:87:1024::ac44:ecf Cloudflare, Inc. Russia, Moscow
2a00:1450:4010:c02::101 Google LLC Finland, Lappeenranta
2a00:1450:4010:c02::102 Google LLC Finland, Lappeenranta
2a00:1450:4010:c02::107 Google LLC Finland, Lappeenranta
2a00:1450:4010:c06::10a Google LLC Finland, Lappeenranta
2a00:1450:4010:c06::10b Google LLC Finland, Lappeenranta
2a00:1450:4010:c08::10c Google LLC Finland, Lappeenranta
2a00:1450:4010:c0a::10a Google LLC Finland, Lappeenranta
2a00:1450:4010:c0a::10c Google LLC Finland, Lappeenranta
2a00:1450:4010:c1c::10c Google LLC Finland, Lappeenranta
2a00:1450:4010:c1e::104 Google LLC Finland, Lappeenranta
2a00:1450:4010:c1e::105 Google LLC Finland, Lappeenranta
2a00:1450:4010:c1e::10d Google LLC Finland, Lappeenranta

Отключите Google DOH.
Найдите причину появления адресов Cloudflare.
Читайте инструкцию заново.

Инструкция вся зачитана и перечитана. Правила редиректа и маскарада в NAT-е микротика созданы и располагаются в самом верху, трафик в правила попадает. Может адреса как-то подставлять мой провайдер? У меня подключение к провайдеру по VPN (PPTP) и в настройках интерфейса нет пункта Use Peer DNS.
Без DOH адреса CloudFlare всё равно присутствуют.

Попробуйте тест через смартфон например, исключите браузер.
Или сразу браузер проверьте, там тоже DOH может быть включен.
Firefox, Chrome точно имеют такую функцию, выше про Яндекс есть, он так же вроде делает.

Насчет ВПН не могу ничего добавить, не сталкивался с такими уловками.