Обход блокировки на mikrotik

проблема нашлась, но не там.
яндекс браузер похоже что то мутит с днс,

попробовал с FF и оперу - работает норм, как и с мобильных устросйтв.
во всех случаях по одному адресу в списке днс,

Вот и отлично.

Еще один нюанс всплыл.
Если использовать в микротике Wizard для базовой настройки - у Яндекс браузера остается возможность подменять/дополнять списки dns серверов.

у меня не хватает компетенций найти в чем разница конфигураций…


для чего у тебя установлена опция " verify-doh-cert: yes"
ведь тыже не используешь его?

Почему-то не работает… :frowning:
ВПН антизапрета подключился без проблем, но заблокированные сайты не открываются. Ниже данные настроек. Помогите пожалуста :slight_smile:

/ip dns print
servers:
dynamic-servers: 192.168.104.1
use-doh-server: https://dns.google/dns-query
verify-doh-cert: no
allow-remote-requests: yes
max-udp-packet-size: 4096
query-server-timeout: 2s
query-total-timeout: 10s
max-concurrent-queries: 100
max-concurrent-tcp-sessions: 20
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 134KiB

Тест на сайте DNS Leak Test - BrowserLeaks выдаёт следующие адреса:

74.125.46.2 Google LLC Finland, Lappeenranta
74.125.46.130 Google LLC Finland, Lappeenranta
74.125.46.131 Google LLC Finland, Lappeenranta
74.125.46.134 Google LLC Finland, Lappeenranta
74.125.46.135 Google LLC Finland, Lappeenranta
74.125.46.140 Google LLC Finland, Lappeenranta
74.125.46.141 Google LLC Finland, Lappeenranta
74.125.74.3 Google LLC Finland, Lappeenranta
74.125.74.7 Google LLC Finland, Lappeenranta
74.125.74.8 Google LLC Finland, Lappeenranta
74.125.74.9 Google LLC Finland, Lappeenranta
74.125.74.13 Google LLC Finland, Lappeenranta
74.125.74.131 Google LLC Finland, Lappeenranta
74.125.74.134 Google LLC Finland, Lappeenranta
74.125.74.136 Google LLC Finland, Lappeenranta
74.125.74.141 Google LLC Finland, Lappeenranta
74.125.74.142 Google LLC Finland, Lappeenranta
74.125.74.145 Google LLC Finland, Lappeenranta
74.125.74.146 Google LLC Finland, Lappeenranta
74.125.112.4 Google LLC Finland, Lappeenranta
74.125.112.9 Google LLC Finland, Lappeenranta
74.125.112.11 Google LLC Finland, Lappeenranta
74.125.112.15 Google LLC Finland, Lappeenranta
74.125.114.129 Google LLC Finland, Lappeenranta
74.125.114.131 Google LLC Finland, Lappeenranta
74.125.114.136 Google LLC Finland, Lappeenranta
74.125.114.141 Google LLC Finland, Lappeenranta
172.68.9.105 Cloudflare, Inc. Russia, Moscow
172.68.14.201 Cloudflare, Inc. Russia, Moscow
172.68.14.207 Cloudflare, Inc. Russia, Moscow
172.217.37.134 Google LLC Finland, Lappeenranta
172.217.37.137 Google LLC Finland, Lappeenranta
172.217.37.138 Google LLC Finland, Lappeenranta
173.194.98.1 Google LLC Finland, Lappeenranta
173.194.98.6 Google LLC Finland, Lappeenranta
173.194.98.7 Google LLC Finland, Lappeenranta
173.194.98.8 Google LLC Finland, Lappeenranta
173.194.98.14 Google LLC Finland, Lappeenranta
173.194.98.15 Google LLC Finland, Lappeenranta
2400:cb00:87:1024::ac44:969 Cloudflare, Inc. Russia, Moscow
2400:cb00:87:1024::ac44:ec9 Cloudflare, Inc. Russia, Moscow
2400:cb00:87:1024::ac44:ecf Cloudflare, Inc. Russia, Moscow
2a00:1450:4010:c02::101 Google LLC Finland, Lappeenranta
2a00:1450:4010:c02::102 Google LLC Finland, Lappeenranta
2a00:1450:4010:c02::107 Google LLC Finland, Lappeenranta
2a00:1450:4010:c06::10a Google LLC Finland, Lappeenranta
2a00:1450:4010:c06::10b Google LLC Finland, Lappeenranta
2a00:1450:4010:c08::10c Google LLC Finland, Lappeenranta
2a00:1450:4010:c0a::10a Google LLC Finland, Lappeenranta
2a00:1450:4010:c0a::10c Google LLC Finland, Lappeenranta
2a00:1450:4010:c1c::10c Google LLC Finland, Lappeenranta
2a00:1450:4010:c1e::104 Google LLC Finland, Lappeenranta
2a00:1450:4010:c1e::105 Google LLC Finland, Lappeenranta
2a00:1450:4010:c1e::10d Google LLC Finland, Lappeenranta

Отключите Google DOH.
Найдите причину появления адресов Cloudflare.
Читайте инструкцию заново.

Инструкция вся зачитана и перечитана. Правила редиректа и маскарада в NAT-е микротика созданы и располагаются в самом верху, трафик в правила попадает. Может адреса как-то подставлять мой провайдер? У меня подключение к провайдеру по VPN (PPTP) и в настройках интерфейса нет пункта Use Peer DNS.
Без DOH адреса CloudFlare всё равно присутствуют.

Попробуйте тест через смартфон например, исключите браузер.
Или сразу браузер проверьте, там тоже DOH может быть включен.
Firefox, Chrome точно имеют такую функцию, выше про Яндекс есть, он так же вроде делает.

Насчет ВПН не могу ничего добавить, не сталкивался с такими уловками.

Спасибо. Уже проверил FireFox, действительно работает. Хроом не хочет. Safari на iPhone тоже не хочет, видимо, нужно в браузерах разбираться, спасибо.

Здравствуйте! У меня такая проблема.
Недавно наткнулся на одно видео с ютуба, которое он не хочет показывать, а показывает сообщение “на территории вашего государства это видео запрещено” - как-то в этом смысле. Вооооот… А видео там не как бородатые призывают резать неверных, а вполне техническое видео, но возможно опасное для неспециалиста. Суть не в этом, а в том, что как бы его посмотреть. Антизапретом в виде .pac файла для файрфокса я пользуюсь давно - но то блокировки сайтов, а блокировка видео - это не понятно как обойти… Пробовал тором - не открывает страницу, пишет что гугл подозревает необычную активность от вашей машины… Что-то такое. Зашел сюда, а тут такая тема интересная… У меня как раз микротик. Правда я в нем понимаю… с инструкцией по шагам могу правильно натыкать, только сам едва-едва разбираюсь как там в нём это работает. Скорее менее чем более.
Попробовал настроить по инструкции отсюда (и в первом посте и дальше от khammatov. Ну там практически то же самое, только через терминал (который я терпеть не могу). Интерфейс ovpn-client создался, правила в nat создались… Но подключение идет не через него, а как обычно. В DHCP client открыл интерфейс провайдера, а там use peer DNS снять галку нельзя!!! Не снимается - тыкаю, а она не тыкается… А надо сказать, что подключение у меня не через pppoe или vpn, а “по dhcp” как выразился их мастер, когда меня подключал (он в микротиках оказался полным нулем, поэтому сказал что даже и пробовать не будет - настраивал сам). Короче, на ether1 у меня wan и всё. Что делать чтобы заработало? Второй вопрос - поможет ли с доступом к заблоченным видео? Подозреваю что нет, но всё равно хотелось бы настроить роутер, а не браузер, чтобы от всех устройств в доме работало, заодно попрактиковаться в микротикоковырянии. Третий вопрос - эта настройка пускает все запросы к страницам в днс 1.1.1.1 (я его статиком прописал) или только те, которые в списке proxy.pac (наподобие как в браузере)?

Вам известен способ подключения к провайдеру, сбросьте настройки микротика и настройте его самостоятельно. А далее по инструкциям отсюда.

Можем еще посмотреть что у вас тут:

/user group print

/user print

Не круто, если вас ограничили в правах на собственном оборудовании.

Вы читали моё описание? Я и настраивал свое оборудование самостоятельно. Админский логин у меня защищен, никто там полазить не мог. Там вообще запрещено извне заходить, только из локалки. Ну и пароль, конечно не 111. Думаю это не меня конкретно ограничили в правах, это какая-то особенность режима или что-то в этом роде. Я думал вы разбираетесь…
Через терминал пробовал забить /ip dhcp-client set use-peer-dns=no - запрашивает какие-то numbers… Что за цифры ему нужны?

Похоже что всё работает. Я правда плохо понимаю как… Я думал весь трафик должен пойти через это новое vpn, а там что, только dns-запросы отправляются?
Я правда в настройках dns-server когда настраивал раньше, вместо сторонних серверов вписал адрес своего микротика в локалке… Сейчас исправил, допер что должно быть. Динамический все равно висит, но сайты из списка роскомпозора открываются.
С видео, как и подозревал, не прокатило - всё равно пишет запрещено в вашей стране. Как это можно обойти - есть идеи (вот хочу принципиально добиться этого - терпеть не могу ограничения своих прав).

Читайте заново все, что описано выше.
Раз у вас нет возможности отключить чекбокс в настройках, у вас нет на это прав.

Summary

degenerates_around_you
indeed

Вероятно у вас супер-дупер кастомный микротик. И вопросы не к нам.

Всё что написано я перечитал, я всё верно делаю. В групповой политике у меня один пользователь и у него все права включены. Это не у меня супер-дупер микротик, а значит вы не такой супер-дупер специалист, раз не знаете причину по которой чекбокс не отключается. Кроме того вы игнорируете другие вопросы. Я написал что пробовал отключать peer dns консольной командой, а она запрашивает какие-то числа. Что за числа? Вы не увидели или не знаете? Думаю не знаете, вот и решили сделать вид что не видели. Ваша рекомендация в стиле “не тот размер шрифта? периустанови винду с нуля” - просто показывает отсутствие у вас знаний о конкретной причине происходящего. Так-то нет и нет, у всех свои пределы компетенции, но вы выворачиваете это наизнанку - типа это я криворукий и вообще болван. Это гораздо хуже чем просто не знать ответ на вопрос.
Спасибо что взяли на себя труд прикрепить скриншоты. У меня всё так же, только фон чекбокса серый, как и положено неактивному и снять его нельзя. И клиент у меня один - ether1. А что, локальный бридж тоже надо туда добавить? Зачем? В смысле, я не спорю надо или нет, но хочу понимать что для чего делается. Сейчас сайты и так открываются, правда на других устройствах сети не проверял. Но они вообще-то равноправные - все подключены к этому локальному мосту.
Я, кстати, проверял как выше писалось на сайте dnsleeks - выдает 1 dns - в германии.

Номер dhcp-клиента он у вас просит указать, начиная с “0”. Воспользуйтесь в терминале TABом, он очень помогает. В Микротике структура меню организована как структура директорий в linux-подобных системах, потому нужно явно указывать объект, который настраиваете. Либо имя DHCP-клинта, либо его номер.
По поводу неактивности чекбокса. Обновите RouterOS, может use-peer-dns будет активным в Winbox. Но всё же для некоторых операций придётся использовать терминал, например смена MAC-адреса интерфейса.
По поводу принципа работы сервиса, опишу грубо. Вы используете DNS сервиса Атизапрет, который динамически обновляет свою базу. Когда вы пытаетесь зайти на сайт, заблокированный по тем или иным причинам в вашей стране, DNS сервер направляет соединение в OVPN-интерфейс. При попытке зайти на тот же Яндекс, DNS работает как и все остальные, IP-адрес ресурса не меняет и отправляется соединение по традиционному пути, в вашем случае через интерфейс провайдера, который настроен на автоматическое получение адреса.
Для стабильной работы сервиса, нужно чтобы ваш роутер получил DNS автоматически.
Коллеги, если я где-то ошибаюсь, поправьте. У меня сервис работает стабильно не первый год,

Вот, этого достаточно.

Я могу, конечно, при необходимости напечатать, что скажут. Что и делал - впечатывал две настройки из инструкции khamatov, т.к. из этих строчек кода я не понял в каких закладках и полях что менять, а потом посмотрел что изменилось и как. Но тут вот какое принципиальное дело. Когда я захожу в какое-то окно и в какой-то вкладке делаю какое-то действие, я это всё запоминаю и в следующий раз вспоминаю, когда надо. А когда я что-то вбиваю в текстовом виде, я не знаю ГДЕ и ЧТО там поменялось. И никогда потом не вспомню что я делал и к каким результатам это привело. Это всё равно что запомнить что-то типа dfd#$%#@!ESWWRcvfsdtfwerfc!, ситуацию в какой это применялось и к каким результатам привело и потом через пол года вспомнить это вот всё. И таких козябликов в настройке одного только этого роутера - тысячи. А в природе есть и другие вещи, которые требуется помнить. Это только компьютеру хорошо такое помнить, а человеку не многим лучше чем запись в виде 0111001010100001010101001. Линуксоиды, которые это придумали, видимо съехали с катушек на столько, что стали мыслить как компьютеры - вот им и удобно. Но я-то пока мыслю по человечески. Ближе всего это можно представить как совокупность графов, соединенных некими связями. Вот в виде картинок и переходов между ними или, как некий дом с кучей комнат с разными устройствами, соединенный дверями и коридорами я весь функционал и запоминаю. Я помню функции, которые выполняются и “комнаты” где эти функции лежат. А не в виде полотен из тысяч строк кода, где 1250 строка может зависеть или влиять на то что записано в 120-й строке. К тому же мак мне менять не надо - авторизация у провайдера, я так понимаю, по маку у меня и происходит. Если его сменить - оборудование провайдера скажет мне “ты хто? я тебя не знаю! иди на!..”
Вы, ответьте на предыдущий вопрос, пожалуйста: нужно ли добавлять локальный мост в dgcp clients и если да то для чего. ether1 там автоматически появляется, т.к. детектится соединение с интернетом. Если я отключаю этот интерфейс, то и в окне клиентов dhcp он пропадает (думал что причина может быть в том что при активном соединении его настройки менять нельзя, а если будет не активное, возможно получится чекбокс снять, но не вышло).

Там больше про установку собственного днс-сервера под убунтой. А про работу антизапрета, примерно так как я и написал. Но только вот это я не понимаю:
“На VPN-сервере запущен специальный DNS-резолвер, устанавливающий отображение (соответствие, маппинг) настоящего IP-адреса домена в свободный IP-адрес большой внутренней подсети, и отдающий запрашиваемому клиенту адрес из внутренней подсети.” Это что, антизапрет мне шлет не ip реальный запрошенного сайта, а какой-то “левый” ip, который у провайдера не записан в список блокировки, но он как-то там маршрутизируется к тому сайту который мне и нужен?
И вообще, я еще меньше стал понимать. Зачем мне тогда в статические dns записывать 1.1.1.1, если используется не он, а dns антизапрета, который я даже не знаю. Ерунда какая-то…

Вы правильно поняли. Именно так и работает Антизапрет.

Это необходимо для сохранения доступа в интернет, на случай если VPN сервер Антизапрета будет не доступен и соотвественно его DNS ресолвер тоже.
В момент когда виртуальный интерфейс Антизапрета работает, эти адреса 1.1.1.1 & 9.9.9.9 не участвуют в процессе ресолва и маршрутизации. Они вступают в игру только в случае недоступности VPN сервера Антизапрета.

Именно поэтому я прошу вас перечитать все,что обсуждалось задолго до вашего визита в эту тему.
Выше уже есть ответы на все вопросы, которые вы пытаетесь задать.

Скриншоты это наглядный пример, вам не нужно выходить за рамки вышеизложенной инструкции. Обход блокировки на mikrotik - #36 by khammatov
Имея полные права на оборудовании микротик, вы можете изменять настройки получения DNS от своего пира в разделе IP - DHCP Client
Раз вы не можете изменить этот параметр, делаем вывод, что права ваши ограничены.

На вашем скриншоте клиент dhcp - bridge1. У меня его нет. Я вам задаю вопрос нужно ли мне его создать, вы вместо ответа тыкаете меня в перечитывание темы. Я её читал, если там есть ответ, то я его не понимаю. Объясните мне пожалуйста.

А зачем, если есть днс провайдера (динамический)? Если он не используется когда антизапрет работает, а включается во всех жругих случаях, тогда зачем его отключать?

Вы просили прислать ответ микротика на запрос конфигурации групп. В общедоступное обозрение я внутренние настройки выкладывать не буду, но я вам сказал ответ - у меня только один пользователь и у него открыты все права. То же самое можно посмотреть в соответствующих местах графического интерфейса - все чекбоксы на права поставлены. Вывод? Вы не всё знаете про функционирование роутерос. А я и подавно - поэтому и не могу понять почему так происхоидт.

:nerd_face:
Желаю удачи в поисках решения возникших трудностей.