IKEv2 EAP surfshark впн не работает

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
funky_slim
Сообщения: 2
Зарегистрирован: 21 мар 2022, 16:32

Доброе время суток форумчане.

Настроил впн на роутере согласно инструкции:
https://support.surfshark.com/hc/en-us/ ... with-IKEv2

Инструкция по смыслу похожа на подобную только для НордВПН на сайте вики микротика:
https://wiki.mikrotik.com/wiki/IKEv2_EA ... d_RouterOS

Хочу чтобы весь трафик LAN шел через впн. Но оно не работает от слова совсем. Тоннель поднимается но когда он это делает - на девайсах подключенных к сети пропадает инет - ERR_TIMED_OUT
На форуме нашел ветку где человек говорит что настроил ВПН и у него все работает (инструкция подобна той что я написал выше по НордВПН):
viewtopic.php?f=1&t=13577

Собственно прошу помощи- что может быть не так и что надо сделать чтобы оно завелось.

Девайс - RB2011UiAS-2HnD
RouterOS 7.1.3
Конфигурация - default

Скрин с НАТ и маршрутами после поднятия тоннеля
Роутер подключен через ethernet другого роутера который уже смотрит на провайдера (это если будут смущать IP WAN)
но если подключать напрямую - шнурок от провайдера в ether1 - картина не меняется (кроме IP WAN) - все тоже самое - при поднятии тоннеля инет умирает в сетке
Изображение

Вычитал что IPSEC не будет работать с фасттраком и надо делать NAT bypass
https://wiki.mikrotik.com/wiki/Manual:I ... ack_Bypass

фастрак выключил, пробовал разные правила байпаса NAT - однако все равно не заводится


funky_slim
Сообщения: 2
Зарегистрирован: 21 мар 2022, 16:32

Сам спросил, сам ответил)

Нашел такую же тему как у меня
https://forum.mikrotik.com/viewtopic.php?t=150593

И в итоге в конце темы решение
https://forum.mikrotik.com/viewtopic.php?f=23&t=169273

Решение для Норд впн но оно 1 в 1 и для surfshark. Суть - видимо впн плохо работает с дефолтным размером MSS в 1500 байт и надо его урезать.
Соответственно помечаем нужные пакеты из списка (это может быть как подсеть так и отдельные хосты) и у всех помеченных пакетов урезаем MSS.
Также для помеченных пакетов скипаем fasttrack.

Основа - инструкция для surfshark (https://support.surfshark.com/hc/en-us/ ... with-IKEv2)

База - дефолтная конфигурация роутера
В списке vpn - вся подсеть так как мне нужно чтобы все хосты ходили через ВПН. Если нужно чтобы ходили только определенные - в список суем не подсеть а только нужные хосты.

Код: Выделить всё

#Firewall
/ip firewall address-list add address=192.168.88.0/24 list=vpn
/ip firewall mangle add action=mark-connection chain=prerouting src-address-list=vpn new-connection-mark=surfsharkvpn passthrough=yes comment="mark packets for VPN"
/ip firewall mangle add action=change-mss chain=forward new-mss=1360 passthrough=yes protocol=tcp connection-mark=surfsharkvpn tcp-flags=syn tcp-mss=!0-1360 comment="change packet MSS size for VPN"
/ip firewall filter add action=accept chain=forward connection-mark=surfsharkvpn place-before=[find where action=fasttrack-connection] comment="skip fasttrack for VPN marked"

#IPSEC
#Закачиваем сертификат на роутер в файлы и используем имя файла в след команде
/certificate import file-name=surfshark_ikev2.crt name=surfshark_ikev2 passphrase=""
/ip ipsec profile add name=SHVPN
/ip ipsec proposal add name=SHVPN pfs-group=none
/ip ipsec policy group add name=SHVPN
/ip ipsec policy add dst-address=0.0.0.0/0 group=SHVPN proposal=SHVPN src-address=0.0.0.0/0 template=yes
/ip ipsec mode-config add name=SHVPN connection-mark=surfsharkvpn responder=no
/ip ipsec peer add address=kz-ura.prod.surfshark.com exchange-mode=ike2 name=SHVPN profile=SHVPN
/ip ipsec identity add auth-method=eap certificate=surfshark_ikev2 eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=SHVPN peer=SHVPN policy-template-group=SHVPN username=XXXXX password=XXXXX
После конфигурации для надежности ребутаем роутер. Проверяем что в IP -> IPSEC -> Active Peers есть активный peer со State=established.
Проверяем что ipleak.net показывает локацию сконфигуренного surfsharkvpn сервера.
Радуемся.


Storm_fad
Сообщения: 2
Зарегистрирован: 12 апр 2022, 12:12

funky_slim писал(а): 22 мар 2022, 12:36
В списке vpn - вся подсеть так как мне нужно чтобы все хосты ходили через ВПН. Если нужно чтобы ходили только определенные - в список суем не подсеть а только нужные хосты.
Подскажите, как сделать, чтобы через VPN ходили только по определенным хостам, например Facebook, Spotify и т.д. ?


neonnod
Сообщения: 1
Зарегистрирован: 17 июн 2022, 12:45

funky_slim писал(а): 22 мар 2022, 12:36 Подскажите, как сделать, чтобы через VPN ходили только по определенным хостам, например Facebook, Spotify и т.д. ?
Решается добавлением двух строчек:

Код: Выделить всё

/ip firewall mangle add action=mark-connection chain=prerouting dst-address-list=antiblock new-connection-mark=surfsharkvpn passthrough=yes
/ip firewall address-list add address=2ip.ru list=antiblock
Где 2ip.ru - это требуемый хост.


hv44
Сообщения: 10
Зарегистрирован: 04 авг 2022, 15:29

Стояла задача, чтобы все пользователи домашнего wi-fi использовали впн только для указанных мною сайтов. Две вышеуказанные инструкции объединил в одну, получилось так:

Код: Выделить всё

#Firewall
/ip firewall address-list add address=lostfilm.tv list=antiblock
/ip firewall address-list add address=rutracker.org list=antiblock
/ip firewall mangle add action=mark-connection chain=prerouting dst-address-list=antiblock new-connection-mark=surfsharkvpn passthrough=yes comment="mark packets for VPN"
/ip firewall mangle add action=change-mss chain=forward new-mss=1360 passthrough=yes protocol=tcp connection-mark=surfsharkvpn tcp-flags=syn tcp-mss=!0-1360 comment="change packet MSS size for VPN"
/ip firewall filter add action=accept chain=forward connection-mark=surfsharkvpn place-before=[find where action=fasttrack-connection] comment="skip fasttrack for VPN marked"

#IPSEC
#Закачиваем сертификат на роутер в файлы и используем имя файла в след команде
/certificate import file-name=surfshark_ikev2.crt name=surfshark_ikev2 passphrase=""
/ip ipsec profile add name=SHVPN
/ip ipsec proposal add name=SHVPN pfs-group=none
/ip ipsec policy group add name=SHVPN
/ip ipsec policy add dst-address=0.0.0.0/0 group=SHVPN proposal=SHVPN src-address=0.0.0.0/0 template=yes
/ip ipsec mode-config add name=SHVPN connection-mark=surfsharkvpn responder=no
/ip ipsec peer add address=uk-edi.prod.surfshark.com exchange-mode=ike2 name=SHVPN profile=SHVPN
/ip ipsec identity add auth-method=eap certificate=surfshark_ikev2 eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=SHVPN peer=SHVPN policy-template-group=SHVPN username=XXXXX password=XXXXX
Для теста добавил следующие ресурсы:

Код: Выделить всё

/ip firewall address-list
add address=yt3.ggpht.com comment="youtube icons" list=antiblock
add address=rutracker.org list=antiblock
add address=kinozal.tv list=antiblock
add address=lostfilm.tv list=antiblock
add address=p1.lostfilm.tv list=antiblock
add address=static.lostfilm.top list=antiblock
add address=static.t-ru.org list=antiblock
add address=twitter.com list=antiblock
add address=twimg.com list=antiblock
add address=abs.twimg.com list=antiblock
add address=api.twitter.com list=antiblock
add address=t.co list=antiblock
add address=pbs.twimg.com list=antiblock
add address=abs-0.twimg.com list=antiblock
add address=video.twimg.com list=antiblock
add address=analytics.twitter.com list=antiblock
add address=syndication.twitter.com list=antiblock
add address=mobile.twitter.com list=antiblock
В чем собственно проблема.

1) rutracker.org и kinozal.tv открываются мгновенно на всех устройствах, как и должно быть
2) lostfilm.tv может работать как часы, то не открываться совсем (т.е. просто бесконечно грузит страницу и так до бесконечности), а может и сразу вылететь заглушка провайдера, что ресурс заблокирован
3) twitter.com может открываться, но без картинок, а может открываться мгновенно и со всем содержимым

Все эти вещи происходят одновременно и в разном сочетании, т.е. я пользуюсь твиттером на телефоне в приложении, все летает, но на лостфильм не заходит, хоп, через минуту все наоборот, картинки в твиттере отвалились, лостфильм работает или тоже не работает, но работает рутрекер и так до бесконечности, но статика с yt3.ggpht.com работает всегда и везде и без перебоев...

Прошивка 7.4, настройки сделаны в дополнение к стандартной конфигурации из коробки.
Я сломал всю голову, что это может быть. Т.к. знаний у меня в этой сфере нет совсем, прошу объяснить.

Склоняюсь, что нужно dns пустить через vpn или настроить doh (вроде делал верно (1.1.1.1./help подтверждает), но не помогает совсем), но не могу найти рабочего решения.


Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

hv44 писал(а): 04 авг 2022, 15:54 В чем собственно проблема.

1) rutracker.org и kinozal.tv открываются мгновенно на всех устройствах, как и должно быть
2) lostfilm.tv может работать как часы, то не открываться совсем (т.е. просто бесконечно грузит страницу и так до бесконечности), а может и сразу вылететь заглушка провайдера, что ресурс заблокирован
3) twitter.com может открываться, но без картинок, а может открываться мгновенно и со всем содержимым

Все эти вещи происходят одновременно и в разном сочетании, т.е. я пользуюсь твиттером на телефоне в приложении, все летает, но на лостфильм не заходит, хоп, через минуту все наоборот, картинки в твиттере отвалились, лостфильм работает или тоже не работает, но работает рутрекер и так до бесконечности, но статика с yt3.ggpht.com работает всегда и везде и без перебоев...

Прошивка 7.4, настройки сделаны в дополнение к стандартной конфигурации из коробки.
Я сломал всю голову, что это может быть. Т.к. знаний у меня в этой сфере нет совсем, прошу объяснить.

Склоняюсь, что нужно dns пустить через vpn или настроить doh (вроде делал верно (1.1.1.1./help подтверждает), но не помогает совсем), но не могу найти рабочего решения.
Ну doh это лишь способ получить однозначный ip самого ресурса. И это вообще не значит, что всё содержимое и будет храниться на этом ресурсе. У твитера куча своих доменов и поддоменов. А лостфилм хватает картинки с ещё кучи сторонних сайтов. Хотите, чтобы всё корректно открывалось? Легко, но:
1. Либо пустите всё через ВПН
2. Либо вычисляйте все адреса с которыми работает нужный Вам сайт и заносите их в список работы через впн
3. Подключите себе bgp (но вариант вообще не идеальный и местами придётся пользоваться пунктом 2)


hv44
Сообщения: 10
Зарегистрирован: 04 авг 2022, 15:29

Inner писал(а): 14 авг 2022, 01:40
hv44 писал(а): 04 авг 2022, 15:54 В чем собственно проблема.

1) rutracker.org и kinozal.tv открываются мгновенно на всех устройствах, как и должно быть
2) lostfilm.tv может работать как часы, то не открываться совсем (т.е. просто бесконечно грузит страницу и так до бесконечности), а может и сразу вылететь заглушка провайдера, что ресурс заблокирован
3) twitter.com может открываться, но без картинок, а может открываться мгновенно и со всем содержимым

Все эти вещи происходят одновременно и в разном сочетании, т.е. я пользуюсь твиттером на телефоне в приложении, все летает, но на лостфильм не заходит, хоп, через минуту все наоборот, картинки в твиттере отвалились, лостфильм работает или тоже не работает, но работает рутрекер и так до бесконечности, но статика с yt3.ggpht.com работает всегда и везде и без перебоев...

Прошивка 7.4, настройки сделаны в дополнение к стандартной конфигурации из коробки.
Я сломал всю голову, что это может быть. Т.к. знаний у меня в этой сфере нет совсем, прошу объяснить.

Склоняюсь, что нужно dns пустить через vpn или настроить doh (вроде делал верно (1.1.1.1./help подтверждает), но не помогает совсем), но не могу найти рабочего решения.
Ну doh это лишь способ получить однозначный ip самого ресурса. И это вообще не значит, что всё содержимое и будет храниться на этом ресурсе. У твитера куча своих доменов и поддоменов. А лостфилм хватает картинки с ещё кучи сторонних сайтов. Хотите, чтобы всё корректно открывалось? Легко, но:
1. Либо пустите всё через ВПН
2. Либо вычисляйте все адреса с которыми работает нужный Вам сайт и заносите их в список работы через впн
3. Подключите себе bgp (но вариант вообще не идеальный и местами придётся пользоваться пунктом 2)
С пунктом 2 как раз и проблема.
Я добавил в address-list необходимые домены, например для картинок твиттера (адреса брал из режима веб-разработчика в браузере, используя впн). Но мне кажется, что закрепленные за доменами айпишники просто не притягиваются. Напоминает проблему, как в этой теме viewtopic.php?f=1&t=13295&start=10

Например все картинки с ленты твиттера всегда висят на pbs.twimg.com (про инстграм не говорим, там сильно больше и сложнее, все не включишь). То, что там куча разных айпишников, это я понимаю, но ведь Микротик сам умеет при добавлении только домена в address-list динамически за ними следить. По такой же схеме я добавил домен для иконок ютуба и все отлично работает, а для твиттера - нет.

Все еще не могу понять, почему у меня скачет доступ/запрет к ресурсам частями. Отсюда и сделал вывод, что проблема в том, что нужно все запросы к днс серверам пускать через впн, но не могу найти как это сделать с учетом использованных выше настроек...


Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

hv44 писал(а): 16 авг 2022, 15:43
Inner писал(а): 14 авг 2022, 01:40
hv44 писал(а): 04 авг 2022, 15:54 В чем собственно проблема.

1) rutracker.org и kinozal.tv открываются мгновенно на всех устройствах, как и должно быть
2) lostfilm.tv может работать как часы, то не открываться совсем (т.е. просто бесконечно грузит страницу и так до бесконечности), а может и сразу вылететь заглушка провайдера, что ресурс заблокирован
3) twitter.com может открываться, но без картинок, а может открываться мгновенно и со всем содержимым

Все эти вещи происходят одновременно и в разном сочетании, т.е. я пользуюсь твиттером на телефоне в приложении, все летает, но на лостфильм не заходит, хоп, через минуту все наоборот, картинки в твиттере отвалились, лостфильм работает или тоже не работает, но работает рутрекер и так до бесконечности, но статика с yt3.ggpht.com работает всегда и везде и без перебоев...

Прошивка 7.4, настройки сделаны в дополнение к стандартной конфигурации из коробки.
Я сломал всю голову, что это может быть. Т.к. знаний у меня в этой сфере нет совсем, прошу объяснить.

Склоняюсь, что нужно dns пустить через vpn или настроить doh (вроде делал верно (1.1.1.1./help подтверждает), но не помогает совсем), но не могу найти рабочего решения.
Ну doh это лишь способ получить однозначный ip самого ресурса. И это вообще не значит, что всё содержимое и будет храниться на этом ресурсе. У твитера куча своих доменов и поддоменов. А лостфилм хватает картинки с ещё кучи сторонних сайтов. Хотите, чтобы всё корректно открывалось? Легко, но:
1. Либо пустите всё через ВПН
2. Либо вычисляйте все адреса с которыми работает нужный Вам сайт и заносите их в список работы через впн
3. Подключите себе bgp (но вариант вообще не идеальный и местами придётся пользоваться пунктом 2)
С пунктом 2 как раз и проблема.
Я добавил в address-list необходимые домены, например для картинок твиттера (адреса брал из режима веб-разработчика в браузере, используя впн). Но мне кажется, что закрепленные за доменами айпишники просто не притягиваются. Напоминает проблему, как в этой теме viewtopic.php?f=1&t=13295&start=10

Например все картинки с ленты твиттера всегда висят на pbs.twimg.com (про инстграм не говорим, там сильно больше и сложнее, все не включишь). То, что там куча разных айпишников, это я понимаю, но ведь Микротик сам умеет при добавлении только домена в address-list динамически за ними следить. По такой же схеме я добавил домен для иконок ютуба и все отлично работает, а для твиттера - нет.

Все еще не могу понять, почему у меня скачет доступ/запрет к ресурсам частями. Отсюда и сделал вывод, что проблема в том, что нужно все запросы к днс серверам пускать через впн, но не могу найти как это сделать с учетом использованных выше настроек...
Ну, дох изначально уже шифрует Ваши днс. Так что как таковой необходимости пускать его через впн нет. А если у Вас открытые днс, например, 1.1.1.1, то

Код: Выделить всё

add disabled=no dst-address=1.1.1.1 gateway=<ip vpn шлюза или сам порт vpn (в зависимости от конфигурации)>


hv44
Сообщения: 10
Зарегистрирован: 04 авг 2022, 15:29

А можно как пятилетнему объяснить где взять этот "ip vpn шлюза или сам порт vpn" с учетом, что я прям максимально далек от сетевого оборудования, а свои настройки я ранее указывал:

Код: Выделить всё

#Firewall
/ip firewall address-list
add address=yt3.ggpht.com comment="youtube icons" list=antiblock
add address=rutracker.org list=antiblock
add address=kinozal.tv list=antiblock
add address=lostfilm.tv list=antiblock
add address=p1.lostfilm.tv list=antiblock
add address=static.lostfilm.top list=antiblock
add address=static.t-ru.org list=antiblock
add address=twitter.com list=antiblock
add address=twimg.com list=antiblock
add address=abs.twimg.com list=antiblock
add address=api.twitter.com list=antiblock
add address=t.co list=antiblock
add address=pbs.twimg.com list=antiblock
add address=abs-0.twimg.com list=antiblock
add address=video.twimg.com list=antiblock
add address=analytics.twitter.com list=antiblock
add address=syndication.twitter.com list=antiblock
add address=mobile.twitter.com list=antiblock
/ip firewall mangle add action=mark-connection chain=prerouting dst-address-list=antiblock new-connection-mark=surfsharkvpn passthrough=yes comment="mark packets for VPN"
/ip firewall mangle add action=change-mss chain=forward new-mss=1360 passthrough=yes protocol=tcp connection-mark=surfsharkvpn tcp-flags=syn tcp-mss=!0-1360 comment="change packet MSS size for VPN"
/ip firewall filter add action=accept chain=forward connection-mark=surfsharkvpn place-before=[find where action=fasttrack-connection] comment="skip fasttrack for VPN marked"

#IPSEC
#Закачиваем сертификат на роутер в файлы и используем имя файла в след команде
/certificate import file-name=surfshark_ikev2.crt name=surfshark_ikev2 passphrase=""
/ip ipsec profile add name=SHVPN
/ip ipsec proposal add name=SHVPN pfs-group=none
/ip ipsec policy group add name=SHVPN
/ip ipsec policy add dst-address=0.0.0.0/0 group=SHVPN proposal=SHVPN src-address=0.0.0.0/0 template=yes
/ip ipsec mode-config add name=SHVPN connection-mark=surfsharkvpn responder=no
/ip ipsec peer add address=uk-edi.prod.surfshark.com exchange-mode=ike2 name=SHVPN profile=SHVPN
/ip ipsec identity add auth-method=eap certificate=surfshark_ikev2 eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=SHVPN peer=SHVPN policy-template-group=SHVPN username=XXXXX password=XXXXX


Storm_fad
Сообщения: 2
Зарегистрирован: 12 апр 2022, 12:12

Я правильно понимаю, что с февраля бубны бесполезны? iKev2 канул в нашей сети.


Ответить