Проблемы с блокировкой vk.com

Обсуждение ПО и его настройки
Ответить
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Конечно - это не панацея. Просто как-то мы тут упустили это нововведение. А жаль. Допустим два года назад я очень сетовал, что это было не возможно. Иногда нужен простой инструмент, без заморочек.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Я тоже пропустил :smu:sche_nie: Даже обидно становиться, насколько я невнимателен. Обязательно вечером себя в угол поставлю. :cry_ing:
gmx писал(а):Podarok66 вы в свою записную книжку это запишите???

Ну пока нашел на Хабре описание,
https://habrahabr.ru/post/271707/ писал(а):Доменные имена в адресных листах

И на сладкое: начиная с версии v6.36, в адресные листы можно добавлять доменные имена!

*) firewall — allow to add domain name to address-lists (dynamic entries for resolved addresses will be added to specified list);


Если вы еще не прыгаете от радости как я, то самое время начать. Эта фича позволяет практически полностью уйти от использования затратного L7 с его ограничениями.
В качестве примера приведу маршрутизацию разных сайтов в разные шлюзы. Это актуально в связи с действительностью в нашей стране. Заворачивать будем web-интерфейсы почтовых серверов mail.google.com и e.mail.ru. В почту Google будем ходить по OVPN, а в Mail — по L2TP.

Код: Выделить всё

/ip firewall address-list add list=ovpn address=mail.google.com
/ip firewall address-list add list=l2tp address=e.mail.ru
/ip firewall mangle add chain=prerouting protocol=tcp src-address=192.168.1.0/24 dst-address-list=ovpn action=mark-routing new-routing-mark=ovpn-route
/ip firewall mangle add chain=prerouting protocol=tcp src-address=192.168.1.0/24 dst-address-list=l2tp action=mark-routing new-routing-mark=l2tp-route
/ip route add dst-address=0.0.0.0/0 gateway=ovpn-out1 distance=1 routing-mark=ovpn-route
/ip route add dst-address=0.0.0.0/0 gateway=l2tp-out1 distance=1 routing-mark=l2tp-route



Таким образом, при добавлении нужного имени в определенный лист, мы фактически определяем по какому каналу будет установлена связь.
Еще один пример, который многим пригодится: перенаправлять все TCP-соединения в шлюз OVPN, а rkn.gov.ru — в шлюз по умолчанию.

Код: Выделить всё

/ip firewall address-list add list=RKN address=rkn.gov.ru
/ip firewall mangle add chain=prerouting protocol=tcp src-address=192.168.1.0/24 dst-address-list=RKN action=accept
/ip firewall mangle add chain=prerouting protocol=tcp src-address=192.168.1.0/24 dst-address=!192.168.0.0/16 action=mark-routing new-routing-mark=ovpn-route
/ip route add dst-address=0.0.0.0/0 gateway=ovpn-out1 distance=1 routing-mark=ovpn-route



Важное замечание: если вы используете Fasttrack, то обязательно смотрите его описание. А именно:

Fasttracked packets bypass firewall, connection tracking, simple queues, queue tree with parent=global, ip traffic-flow(restriction removed in 6.33), ip accounting, ipsec, hotspot universal client, vrf assignment, so it is up to administrator to make sure fasttrack does not interfere with other configuration;


Что значит, что соединения такого типа не попадают в файервол, обработку пакетов, очереди и т.д.


Обкатаю у себя на железках со временем и конечно запишу...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
HotBeer
Сообщения: 20
Зарегистрирован: 16 ноя 2016, 13:36
Откуда: Югорск
Контактная информация:

Вообщем как показала практика наиболее действенный способ и более практичный во всех смыслах, как минимум на моём этапе это использовать.
"firewall — allow to add domain name to address-lists (dynamic entries for resolved addresses will be added to specified list);"

Так как при использовании регулярок была нагрузка на микротик и весь http и https трафик достаточно тупо работал у пользователей, отключил регулярки и трафик полетел нормально.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Да, отличная функция, я бы даже сказал, одна из самых значимых за последнее время.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Я тоже как-о проспал эту функцию. Сегодня на работе буду пробовать.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
sergeo_rus
Сообщения: 12
Зарегистрирован: 30 янв 2017, 18:42
Откуда: Астрахань
Контактная информация:

allow to add domain name to address-lists - хорошапя фича. Соц сети дропает без проблем, но мне надо прикрыть в частности ютуб, mail.ru, подскажите как это все дело замутить


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Объясните чуть подробнее - в чем разница с социальными сетями, с вашей точки зрения?


sergeo_rus
Сообщения: 12
Зарегистрирован: 30 янв 2017, 18:42
Откуда: Астрахань
Контактная информация:

Проблема ясна.Соединения идут на адреса отсутствующие в адресс листе (появляются ноыве айпишники). Как их отловить ХЗ


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Если в адрес лист вносить не IP, а имена сайтов, то все IP микротик находит сам, автоматически.

Изображение

Вы хорошо прочитали данную ветку форума???


sergeo_rus
Сообщения: 12
Зарегистрирован: 30 янв 2017, 18:42
Откуда: Астрахань
Контактная информация:

Я вносил именно доменные имена. Тема прочитал все 13 стр.


Ответить