Доброго дня, коллеги! В столь сложное время, как никогда, нужны доступы к некоторым заблокированным порталам. Многие пользовались стриминговыми сервисами, смотрели сериалы, мультики, которые нарушали права западных правообладателей... Сейчас это уже не актуально, а запреты остались. Поэтому давайте попробуем рассмотреть некоторые возможности по разрешению таких сервисов из дома.
Я сетевой инженер в большой компании, пишу статьи про сетевое оборудование, сетевые технологии и околоАЙТИшные темы. Рассматриваю возможности разного оборудования, вместе с вами продолжаю изучать разный функционал и привожу конкретные примеры того, что сделано и как сделано. Это не призыв к действию и не точный мануал - в моих статьях бывают ошибки, которые я всегда готов обсудить в комментариях. Прошу следовать правилам платформы, не нарушать законодательство РФ, не оскорблять других людей и все будет норм!
Начнем с азов. Рекомендую учитывать мои рекомендации по базовой настройке микротика для дома. Так мы будем ближе к исходному состоянию и вероятность того, что все будет работать правильно, сильно увеличится. Итак, у нас уже есть рабочий микротик - он раздает интернет для домашних устройств, настроен фаервол, отключены ненужные сервисы и установлен надежный пароль для входа в консоль управления. Так же предлагаю ознакомиться с функцией родительский контроль, которая работает больше как антивирус, блокируя нежелательные и фишинговые сайты.
А теперь, когда с запретами, более или менее, разобрались, давайте перейдем к теме статьи. Основной и единственный способ обойти запреты РКН - это VPN. ВПН бывает разный: работающий только для веба (в основном это апплеты и плагины в браузерах), рабочий (после запуска определенного приложения ваш компьютер дома получает доступ к рабочим ресурсам на работе) и анонимайзеры (эти впны призваны спрятать весь ваш трафик сплошным шифрованием). Но надо понимать, что прячете вы трафик от вашего провайдера и других внешних наблюдателей, а перед впн-сервером вы полностью раскрываете все карты, сообщая ему что и куда вы отправляете на самом деле. Поэтому НИ В КОЕМ СЛУЧАЕ НЕЛЬЗЯ РАБОТАТЬ С БАНК-КЛИЕНТАМИ и любыми сайтами, где нужно ВВОДИТЬ СВОИ РЕКВИЗИТЫ ИЛИ РЕКВИЗИТЫ СВОИХ КАРТ!!!
Удобство апплетов в браузерах в том, что можно их включать и выключать по желанию достаточно быстро. Я бы рекомендовал использовать несколько браузеров: в одном настроить впн-плагин, а другой оставить чистым и использовать для онлайн-покупок и доступа в клиент-банк.
С рабочим впном все понятно - работаешь, как бы, внутри своего офиса, но из дома.
А вот с последними давайте разберемся. Есть простенькие онлайн ресурсы, которые предлагают работать через себя, достаточно просто ввести нужный адрес в специальном поле. Называются такие ресурсы "анонимайзер" (картинка выше). Работает так же как веб-плагин в браузере. А вот тот впн, который нам нужен - это аналог рабочего, только в результате подключения вы не получите доступ ко внутренним ресурсам, а получите возможность перенаправить трафик в этот туннель, который "будет выходить в сеть интернет" через впн-сервер. Опасность использования такого решения я уже описал выше. Но мы сделаем ограничения, что через этот впн будет работать не все, а только избранные сайты и ресурсы, которые мы укажем.
Я попользовался поиском и быстро нашел вот такой сайт с бесплатными впн-серверами. Вот с него я и взял рандомный адрес и настроил новое L2TP/IPSec впн-подключение.
/interface l2tp-client
add connect-to=nl.ipspeed.online disabled=no ipsec-secret=vpn max-mru=1400 max-mtu=1400 name=To_VPN password=vpn profile=default use-ipsec=yes user=\
vpn2qqs2yur8r
Через секунд 5-10 должно установиться соединение и внизу окошка появится "Status: connected" - значит впн установлен. Поля Max MTU и Max MRU ставим "1400", чтобы коннект был более стабильным.
/ip route
add distance=1 gateway=To_VPN routing-mark=To_VPN
Мы создали статический роут, который будет срабатывать для трафика, помеченного как "To_VPN".
/ip firewall nat
add action=masquerade chain=srcnat out-interface=To_VPN
Добавляем NAT, чтобы скрывать внутренние адреса клиентов и не показывать их впн-серверу.
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=VPN new-routing-mark=To_VPN passthrough=yes
Данным правилом мы загоняем весь трафик со всех подключенных клиентов домашней сети в наш впн-туннель. Но! Не на все ресурсы сети, а только на то, что указано в списке "VPN". Для работы с этим списком надо в том же разделе IP->Firewall перейти на вкладку "Address Lists". Там жмем привычный "+" и добавляем новый адрес, на который хотим заходить через данный впн. Например, на адрес "2ip.ru".
/ip firewall address-list
add address=2ip.ru list=VPN
Микрот позволяет прописывать сразу именами, при условии, что у него вбит список DNS-серверов. Идем в IP -> DNS.
Чтобы удостовериться, что все заработало, достаточно зайти на сайт 2ip.ru - он покажет ваш внешний ip-адрес, с которого вы на него зашли, т.е. адрес впн-сервера, а, например, сайт speedtest.net должен показать ваш обычный адрес.
Редактировать список сайтов вы можете самостоятельно, как и выбирать VPN-сервер. Данный конфиг рассматривался лишь в качестве примера, получена рабочая конфигурация и удовлетворение от проделанной работы.
Уважаемые посетители, пожалуйста, ставьте лайк и подписывайтесь на канал, если еще не подписались. С новыми алгоритмами Дзена мои статьи не показывают потенциальным подписчикам и тем, кому эта тема так же интересна, как и Вам. Без обратной реакции от аудитории канала: лайки, комменты, подписки - все статьи набирают по паре сотен показов и скатываются в нули... Очень прошу от Вас помощи с этим! Спасибо, что дочитали, всего наилучшего!
