Обход блокировки на mikrotik

Спасибо большое, сработало!
Видимо файл key криво получался, хотя переделывал вроде как.
Единственное, еще не совсем понял про эту настройку:

На случай непредвиденных проблем, отключения сервера Антизапрета и чего либо еще я оставляю несколько DNS ресолверов в настройках IP - DHCP Server - Networks - Выбираем свой DHCP сервер - DNS Servers , чтобы быстро можно было отключить два правила Файрвола, которые выше, и интернет продолжил работать как раньше, но уже без обхода блокировок, и обратно так же быстро вернуть настройки. Выключил - Включил.

Правильно я понимаю, что прописано несколько значений в поле DNS Servers на вкладке “Networks” в меню IP → DHCP Server ? Не совсем понял как это позволяет быстро отрубать/ врубать вышеуказанные правила FW

Я так ранее делал.
Работало как-то вот так.
При отключении виртуального интерфйеса ovpn-client АнтиЗапрет, срабатывал down-script, который отключал по порядковому номеру два этих правила, и те DNS ресолверы, которые прописаны в настройках DHCP начинали работать. А при подъеме интерфейса АнтиЗапрет, срабатывал up-script, который включал обратно эти два правила. Что я и обозначил как Выключил - Включил.

Сейчас можно вот так попробовать

On-Up:

/ip dns cache flush;
/ip firewall nat add action=redirect chain=dstnat comment=“Redirect to Router” dst-port=53,5353,1253 protocol=udp;
/ip firewall nat add action=redirect chain=dstnat comment=“Redirect to Router” dst-port=53,5353,1253 protocol=tcp;
/ip dns set servers=“”

On-Down:

/ip dns cache flush;
/ip firewall nat remove [find comment=“Redirect to Router”];
/ip dns set servers=1.1.1.1

Понял, спасибо. Но вот кстати, мониторя работу решения, прихожу к выводу что работает оно у меня крайне нестабильно, не могу пока понять с чем это связано. То работает то нет. Наверное нужно или поковыряться с DNS, где-то там видимо собака зарыта. Потому что регулярно встает вместо Германии с непредсказуемой периодичностью это

Untitled1942×248 71.6 KB

Для начала избавьтесь от сторонних DNS в своей сети.
Узнайте как вы подключены к провайдеру своему.
Если pppoe, зайдите в настройки этого виртуального интерфейса и отключите Use Peer DNS.
В случае если это DHCP-Client, там такая же опция имеется, тоже отключаем.
С другими так же наверное, не знаю.

Вижу что Вы дописали важные строчки чуть позже, я к ним сам пришел в итоге методом тыка )) с ними все работает стабильно) это то чего не хватало даже с выключенным Use Peer DNS

/ip dns set servers=“”;
/ip dns set servers=1.1.1.1,1.0.0.1;

Спасибо Вам большое ) А тем временем Роскомнадзор не исключил замедления трафика Google – Коммерсантъ так что еще рано расслабляться))

А не подскажете такой кейс - есть тоннель на этом же роутере до другой локации, можно ли на удаленном роутере настроить маршрутизацию таким образом чтобы ходить по заблокированным сайтам через мой роутер по тоннелю, используя мои настройки antizapret?

Кстати, еще одна странность. У меня чекбокс на DHCP Client - Use Peer DNS сам собой в настройках восстанавливается. Не пойму, то ли это баг, то ли это как-то провайдер делает ))

Если хорошо знакомы с Микротиками.
Произведите переустановку прошивки с помощью софта NetInstall и обновите его полностью.

MikroTik Routers and Wireless - Software

Выкачайте видеоинструкцию себе на устройство, чтобы под рукой всегда было.
Отключите все кабели, включая провайдера, ибо мы подозреваем что он мутит нам воду.
По инструкции переустанавливаете RouterOS.
Провайдер все еще не подключен. Не забываем.

Делаем так:

/system reset-configuration keep-users=no caps-mode=no no-defaults=yes skip-backup=yes

Создаем нового пользователя с полными правами. Уникальное название, не - admin.
И такой же уникальный пароль. Удаляем пользователя - admin.
Перезагружаем устройство. И далее втыкаем провод от провайдера и настраиваете сами.

И не забываем сделать вот так.

/system package update
check-for-updates
install

/system routerboard upgrade
/system reboot

Можете еще проверить, что имеется в списке скриптов и планировщике

System > Scripts
System > Scheduler

Возможно там есть скрипты автоматической настройки, которые меняют настройки после ваших манипуляций.
И чтобы наверняка, убедитесь что пользователь имеет пароль, желательно пользователя пересоздать со своим запоминающимся именем, что угодно кроме слова - admin.

Например:

Username: izogar
Password: myISP#874sucks*

Если ваш Микротик настраивал сотрудник компании провайдера, в нем могли оказаться какие угодно настройки, имейте ввиду.

Поглядите еще, не включены ли на устройстве сервера: Telnet,SSH…
И по возможности все остальные методы удаленного управления устройством.
Возможно это автоматические системы, которые контролируют оборудование клиентов. Для автоматической настройки или еще чего либо.

Понял, спасибо ) Нет, роутер без бэкдоров скриптов скрытых админов и прочего. Настраивал сам, сбросив дефолтную конфу.
Но! Заметил одну забавную вещь - мобильник стабильно работает c заблокированными сайтами и показывает DNS Германия, а ноут на той же wifi сети нет (Макос). sudo dscacheutil -flushcache не помогает - помогает перезагрузка. Мистика! продолжаю копать дальше

Всем привет, сделал данную настройку для hAP ac2 - все прекрасно работает! Но теперь у меня загвоздка: я правильно понимаю что не получится теперь поставить фильтра DNS типа Pi-Hole или AdGuard DNS? Если же можно, ткните пожалуйста, а то я еще зеленый в микротах(

Можно поставить PI-Hole или аналог, если свой контейнер запустите.
Вот тут смотрите https://ntc.party/t/vpn/129/39

Делал по вашему посту Обход блокировки на mikrotik - #22 by khammatov в нем гораздо быстрее и удобнее описан способ чем в первом посте. Но после выполнения всех действий обход блокировок не заработал. Я стал сравнивать с инструкцией первого поста и заметил что по вашей инструкции у меня в графе Use Peer DNS выбрано значение yes, я изменил его на exclusively и обход блокировок заработал. Может внесёте изменения в свою инструкцию с учётом того что я выше написал.

И ещё не могли бы вы также подробно сделать инструкцию на случай если сайт antizapret.prostovpn.org перестанет работать. То микторик сам бы менял DNS на провайдерские (или другие, лишь бы интернет не переставал работать). Ну и обратно на antizapret когда он восстановит работу.

Ещё добавлю. В вашей инструкции при копировании команды вот кусок “cipher=aes128 connect-to=vpn.antizapret.prostovpn.org 3 name=AntiZapret” появляется символ 2 или 3 ну сколько раз было нажато на ссылку. И когда всю команду копируешь и вставляешь в микротик то естественно он пишет ошибку из за этого лишнего символа.

Сборник ссылок

Для настройки АнтиЗапрет.

Заходим сюда:

IP - DHCP Server - Networks - выбираем свою сеть - DNS Servers

Задаем DNS Servers

1.1.1.1
9.9.9.10

Перезагружаем Микротик.

Настраиваем Антизапрет.

Загружаем актуальный архив с сертификатом и ключом: antizapret-tcp.zip

https://antizapret.prostovpn.org/antizapret-tcp.zip

Распаковываем архив:

antizapret-tcp.zip

Отправляем 2 этих файла в память Микротика:

antizapret-client-shared.crt
antizapret-client-shared.key

Импортируем сертификат, а после ключ:

/certificate import file-name=antizapret-client-shared.crt passphrase=""
/certificate import file-name=antizapret-client-shared.key passphrase=""

Проверим статус сертификата:

/certificate print detail from=antizapret-client-shared.crt_0

Screenshot from 2023-03-17 09-43-521095×86 33.6 KB

Если наблюдаем 2 этих флага: K T
Выделено красной линией
Значит порядок, смотрим картинку и идем далее

Делаем так, чтобы наш Микротик взял на себя ответственность за обработку DNS

/ip dns set allow-remote-requests=yes

Добавим DNS, в конце настройки оно само очиститься.

/ip dns set servers="1.1.1.1,9.9.9.10";

Проведем осмотр интерфейсов способных отдать список DNS серверов

PPPoE, DHCP Client, ...

И отключим опцию: Use Peer DNS

Сейчас раздел IP - DNS
Должен выглядеть как на картинке

Создаем профиль для виртуального интерфейса:

/ppp profile 
add change-tcp-mss=yes name=AntiZapret on-down=\
    "/ip dns set servers=\"1.1.1.1,9.9.9.10\";\r\
    \n/ip dns cache flush;\r\
    \n{:delay 10};\r\
    \n/ip dns static remove [find comment=\"v.31337.lol\"];\r\
    \n/ip dns static add address=[/put [resolve v.31337.lol]] comment=v.31337.lol name=v.31337.lol;" on-up="/ip dns set servers=\"\";\r\
    \n/ip dns cache flush"

Создаем виртуальный интерфейс:

/interface ovpn-client add certificate=antizapret-client-shared.crt_0 cipher=blowfish128 connect-to=v.31337.lol name=AntiZapret password=none port=1194 profile=AntiZapret user=none use-peer-dns=yes disabled=yes

Создадим 3 правила в NAT, первый для Маскарада и два других для редиректа всего не шифрованного DNS на Микротик.

/ip firewall nat add chain=srcnat action=masquerade out-interface=AntiZapret comment=AntiZapret;
/ip firewall nat add action=redirect chain=dstnat comment="DNS Redirect to Router" dst-port=53,5353 protocol=udp;
/ip firewall nat add action=redirect chain=dstnat comment="DNS Redirect to Router" dst-port=53,5353 protocol=tcp;

Перетащим их на самый верх или под правило Маскарад вашего провайдера (основного шлюза).

/interface enable AntiZapret

Перезагрузите Микротик, проверяйте.

По итогу раздел IP - DNS
Должен выглядеть вот так

При проведении тестов на ресурсе https://browserleaks.com/dns
Должны получаться результаты как на картинках

Screenshot 2023-04-03 at 10-34-42 DNS Leak Test930×110 13.4 KB

Screenshot 2023-04-03 at 10-33-11 DNS Leak Test930×111 13.3 KB

Роутрер микротик настроенный по инструкции от сюда. Вчера и сегодня периодически не открываются сайты.
При открытии browserleaks.com показывает немецкий ip и два российских.
Germany, Limburg an der Lahn
Russia, St Petersburg (Tsentralnyy rayon)
Russia, Moscow
И это всё периодично происходит. Потом через какое то время показывает только немецкий ip и сайты открываются.

Внимательно перечитайте заметки из этой темы.

Ваша задача:

• Избавиться от лишних DNS серверов, ресолверов.

Вот вам напоминание на Bitbucket
Найдите строку по Ctrl + F

Особенности VPN

Добрый день!
когда делаю настройку с полным сбросом конфигурации по инструкции Создание домашней сети на базе MikroTik | GREGORY GOST

и последующей настройкой Обход блокировки на mikrotik - #36 by khammatov

антизапрет работает, но сильно режет скорость, даже с отключенным антизапретом (350-400 от 600мб/с траифа)

Если делаю сброс, базовую настройку через wizard - со скоростью все отлично, но антизапрет работает криво
в DNS Leak Test вижу 8 адресов 6 из Росиии (Cloudfare ip4 и ip6 по 3 )
и два немецких ip4, причем немецкие появляются не всегда, наверно в 2х из 5 тестов.

сверял обе конфигурации - не могу понять откуда подтягиваются dns сервера от провайдера

Покажите что у вас есть по команде такой /ip dns print

dns1034×296 18.5 KB

Да и скриншот с результатом DNS Leak Test - BrowserLeaks

/ip dns print
servers:
dynamic-servers: 192.168.104.1
use-doh-server:
verify-doh-cert: no
allow-remote-requests: yes
max-udp-packet-size: 4096
query-server-timeout: 2s
query-total-timeout: 10s
max-concurrent-queries: 100
max-concurrent-tcp-sessions: 20
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 99KiB

Либо, если vpn погашен:
servers: 77.88.8.8,9.9.9.9
dynamic-servers:
use-doh-server:
verify-doh-cert: no
allow-remote-requests: yes
max-udp-packet-size: 4096
query-server-timeout: 2s
query-total-timeout: 10s
max-concurrent-queries: 100
max-concurrent-tcp-sessions: 20
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 44KiB

пробую разные dns, и списки российских серверов в dnsleak появляются при выборе 1.1.1.1

	IP Address :	ISP :	Location :
—	—	—
172.68.14.33	Cloudflare, Inc.	Russia, Moscow
172.68.14.189	Cloudflare, Inc.	Russia, Moscow
172.68.14.195	Cloudflare, Inc.	Russia, Moscow
2400:cb00:87:1024::ac44:e21	Cloudflare, Inc.	Russia, Moscow
2400:cb00:87:1024::ac44:ebd	Cloudflare, Inc.	Russia, Moscow
2400:cb00:87:1024::ac44:ec3	Cloudflare, Inc.	Russia, Moscow

Скриншот из теста, когда АнтиЗапрет работает показывайте.