Стояла задача, чтобы все пользователи домашнего wi-fi использовали впн только для указанных мною сайтов. Две вышеуказанные инструкции объединил в одну, получилось так:
Код: Выделить всё
#Firewall
/ip firewall address-list add address=lostfilm.tv list=antiblock
/ip firewall address-list add address=rutracker.org list=antiblock
/ip firewall mangle add action=mark-connection chain=prerouting dst-address-list=antiblock new-connection-mark=surfsharkvpn passthrough=yes comment="mark packets for VPN"
/ip firewall mangle add action=change-mss chain=forward new-mss=1360 passthrough=yes protocol=tcp connection-mark=surfsharkvpn tcp-flags=syn tcp-mss=!0-1360 comment="change packet MSS size for VPN"
/ip firewall filter add action=accept chain=forward connection-mark=surfsharkvpn place-before=[find where action=fasttrack-connection] comment="skip fasttrack for VPN marked"
#IPSEC
#Закачиваем сертификат на роутер в файлы и используем имя файла в след команде
/certificate import file-name=surfshark_ikev2.crt name=surfshark_ikev2 passphrase=""
/ip ipsec profile add name=SHVPN
/ip ipsec proposal add name=SHVPN pfs-group=none
/ip ipsec policy group add name=SHVPN
/ip ipsec policy add dst-address=0.0.0.0/0 group=SHVPN proposal=SHVPN src-address=0.0.0.0/0 template=yes
/ip ipsec mode-config add name=SHVPN connection-mark=surfsharkvpn responder=no
/ip ipsec peer add address=uk-edi.prod.surfshark.com exchange-mode=ike2 name=SHVPN profile=SHVPN
/ip ipsec identity add auth-method=eap certificate=surfshark_ikev2 eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=SHVPN peer=SHVPN policy-template-group=SHVPN username=XXXXX password=XXXXX
Для теста добавил следующие ресурсы:
Код: Выделить всё
/ip firewall address-list
add address=yt3.ggpht.com comment="youtube icons" list=antiblock
add address=rutracker.org list=antiblock
add address=kinozal.tv list=antiblock
add address=lostfilm.tv list=antiblock
add address=p1.lostfilm.tv list=antiblock
add address=static.lostfilm.top list=antiblock
add address=static.t-ru.org list=antiblock
add address=twitter.com list=antiblock
add address=twimg.com list=antiblock
add address=abs.twimg.com list=antiblock
add address=api.twitter.com list=antiblock
add address=t.co list=antiblock
add address=pbs.twimg.com list=antiblock
add address=abs-0.twimg.com list=antiblock
add address=video.twimg.com list=antiblock
add address=analytics.twitter.com list=antiblock
add address=syndication.twitter.com list=antiblock
add address=mobile.twitter.com list=antiblock
В чем собственно проблема.
1) rutracker.org и kinozal.tv открываются мгновенно на всех устройствах, как и должно быть
2) lostfilm.tv может работать как часы, то не открываться совсем (т.е. просто бесконечно грузит страницу и так до бесконечности), а может и сразу вылететь заглушка провайдера, что ресурс заблокирован
3) twitter.com может открываться, но без картинок, а может открываться мгновенно и со всем содержимым
Все эти вещи происходят одновременно и в разном сочетании, т.е. я пользуюсь твиттером на телефоне в приложении, все летает, но на лостфильм не заходит, хоп, через минуту все наоборот, картинки в твиттере отвалились, лостфильм работает или тоже не работает, но работает рутрекер и так до бесконечности, но статика с yt3.ggpht.com работает всегда и везде и без перебоев...
Прошивка 7.4, настройки сделаны в дополнение к стандартной конфигурации из коробки.
Я сломал всю голову, что это может быть. Т.к. знаний у меня в этой сфере нет совсем, прошу объяснить.
Склоняюсь, что
нужно dns пустить через vpn или настроить doh (вроде делал верно (1.1.1.1./help подтверждает), но не помогает совсем), но не могу найти рабочего решения.