Доброе время суток форумчане.
Настроил впн на роутере согласно инструкции:
https://support.surfshark.com/hc/en-us/ ... with-IKEv2
Инструкция по смыслу похожа на подобную только для НордВПН на сайте вики микротика:
https://wiki.mikrotik.com/wiki/IKEv2_EA ... d_RouterOS
Хочу чтобы весь трафик LAN шел через впн. Но оно не работает от слова совсем. Тоннель поднимается но когда он это делает - на девайсах подключенных к сети пропадает инет - ERR_TIMED_OUT
На форуме нашел ветку где человек говорит что настроил ВПН и у него все работает (инструкция подобна той что я написал выше по НордВПН):
viewtopic.php?f=1&t=13577
Собственно прошу помощи- что может быть не так и что надо сделать чтобы оно завелось.
Девайс - RB2011UiAS-2HnD
RouterOS 7.1.3
Конфигурация - default
Скрин с НАТ и маршрутами после поднятия тоннеля
Роутер подключен через ethernet другого роутера который уже смотрит на провайдера (это если будут смущать IP WAN)
но если подключать напрямую - шнурок от провайдера в ether1 - картина не меняется (кроме IP WAN) - все тоже самое - при поднятии тоннеля инет умирает в сетке
Вычитал что IPSEC не будет работать с фасттраком и надо делать NAT bypass
https://wiki.mikrotik.com/wiki/Manual:I ... ack_Bypass
фастрак выключил, пробовал разные правила байпаса NAT - однако все равно не заводится
IKEv2 EAP surfshark впн не работает
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 2
- Зарегистрирован: 21 мар 2022, 16:32
Сам спросил, сам ответил)
Нашел такую же тему как у меня
https://forum.mikrotik.com/viewtopic.php?t=150593
И в итоге в конце темы решение
https://forum.mikrotik.com/viewtopic.php?f=23&t=169273
Решение для Норд впн но оно 1 в 1 и для surfshark. Суть - видимо впн плохо работает с дефолтным размером MSS в 1500 байт и надо его урезать.
Соответственно помечаем нужные пакеты из списка (это может быть как подсеть так и отдельные хосты) и у всех помеченных пакетов урезаем MSS.
Также для помеченных пакетов скипаем fasttrack.
Основа - инструкция для surfshark (https://support.surfshark.com/hc/en-us/ ... with-IKEv2)
База - дефолтная конфигурация роутера
В списке vpn - вся подсеть так как мне нужно чтобы все хосты ходили через ВПН. Если нужно чтобы ходили только определенные - в список суем не подсеть а только нужные хосты.
После конфигурации для надежности ребутаем роутер. Проверяем что в IP -> IPSEC -> Active Peers есть активный peer со State=established.
Проверяем что ipleak.net показывает локацию сконфигуренного surfsharkvpn сервера.
Радуемся.
Нашел такую же тему как у меня
https://forum.mikrotik.com/viewtopic.php?t=150593
И в итоге в конце темы решение
https://forum.mikrotik.com/viewtopic.php?f=23&t=169273
Решение для Норд впн но оно 1 в 1 и для surfshark. Суть - видимо впн плохо работает с дефолтным размером MSS в 1500 байт и надо его урезать.
Соответственно помечаем нужные пакеты из списка (это может быть как подсеть так и отдельные хосты) и у всех помеченных пакетов урезаем MSS.
Также для помеченных пакетов скипаем fasttrack.
Основа - инструкция для surfshark (https://support.surfshark.com/hc/en-us/ ... with-IKEv2)
База - дефолтная конфигурация роутера
В списке vpn - вся подсеть так как мне нужно чтобы все хосты ходили через ВПН. Если нужно чтобы ходили только определенные - в список суем не подсеть а только нужные хосты.
Код: Выделить всё
#Firewall
/ip firewall address-list add address=192.168.88.0/24 list=vpn
/ip firewall mangle add action=mark-connection chain=prerouting src-address-list=vpn new-connection-mark=surfsharkvpn passthrough=yes comment="mark packets for VPN"
/ip firewall mangle add action=change-mss chain=forward new-mss=1360 passthrough=yes protocol=tcp connection-mark=surfsharkvpn tcp-flags=syn tcp-mss=!0-1360 comment="change packet MSS size for VPN"
/ip firewall filter add action=accept chain=forward connection-mark=surfsharkvpn place-before=[find where action=fasttrack-connection] comment="skip fasttrack for VPN marked"
#IPSEC
#Закачиваем сертификат на роутер в файлы и используем имя файла в след команде
/certificate import file-name=surfshark_ikev2.crt name=surfshark_ikev2 passphrase=""
/ip ipsec profile add name=SHVPN
/ip ipsec proposal add name=SHVPN pfs-group=none
/ip ipsec policy group add name=SHVPN
/ip ipsec policy add dst-address=0.0.0.0/0 group=SHVPN proposal=SHVPN src-address=0.0.0.0/0 template=yes
/ip ipsec mode-config add name=SHVPN connection-mark=surfsharkvpn responder=no
/ip ipsec peer add address=kz-ura.prod.surfshark.com exchange-mode=ike2 name=SHVPN profile=SHVPN
/ip ipsec identity add auth-method=eap certificate=surfshark_ikev2 eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=SHVPN peer=SHVPN policy-template-group=SHVPN username=XXXXX password=XXXXX
Проверяем что ipleak.net показывает локацию сконфигуренного surfsharkvpn сервера.
Радуемся.
-
- Сообщения: 2
- Зарегистрирован: 12 апр 2022, 12:12
Подскажите, как сделать, чтобы через VPN ходили только по определенным хостам, например Facebook, Spotify и т.д. ?funky_slim писал(а): ↑22 мар 2022, 12:36
В списке vpn - вся подсеть так как мне нужно чтобы все хосты ходили через ВПН. Если нужно чтобы ходили только определенные - в список суем не подсеть а только нужные хосты.
-
- Сообщения: 1
- Зарегистрирован: 17 июн 2022, 12:45
Решается добавлением двух строчек:funky_slim писал(а): ↑22 мар 2022, 12:36 Подскажите, как сделать, чтобы через VPN ходили только по определенным хостам, например Facebook, Spotify и т.д. ?
Код: Выделить всё
/ip firewall mangle add action=mark-connection chain=prerouting dst-address-list=antiblock new-connection-mark=surfsharkvpn passthrough=yes
/ip firewall address-list add address=2ip.ru list=antiblock
-
- Сообщения: 10
- Зарегистрирован: 04 авг 2022, 15:29
Стояла задача, чтобы все пользователи домашнего wi-fi использовали впн только для указанных мною сайтов. Две вышеуказанные инструкции объединил в одну, получилось так:
Для теста добавил следующие ресурсы:
В чем собственно проблема.
1) rutracker.org и kinozal.tv открываются мгновенно на всех устройствах, как и должно быть
2) lostfilm.tv может работать как часы, то не открываться совсем (т.е. просто бесконечно грузит страницу и так до бесконечности), а может и сразу вылететь заглушка провайдера, что ресурс заблокирован
3) twitter.com может открываться, но без картинок, а может открываться мгновенно и со всем содержимым
Все эти вещи происходят одновременно и в разном сочетании, т.е. я пользуюсь твиттером на телефоне в приложении, все летает, но на лостфильм не заходит, хоп, через минуту все наоборот, картинки в твиттере отвалились, лостфильм работает или тоже не работает, но работает рутрекер и так до бесконечности, но статика с yt3.ggpht.com работает всегда и везде и без перебоев...
Прошивка 7.4, настройки сделаны в дополнение к стандартной конфигурации из коробки.
Я сломал всю голову, что это может быть. Т.к. знаний у меня в этой сфере нет совсем, прошу объяснить.
Склоняюсь, что нужно dns пустить через vpn или настроить doh (вроде делал верно (1.1.1.1./help подтверждает), но не помогает совсем), но не могу найти рабочего решения.
Код: Выделить всё
#Firewall
/ip firewall address-list add address=lostfilm.tv list=antiblock
/ip firewall address-list add address=rutracker.org list=antiblock
/ip firewall mangle add action=mark-connection chain=prerouting dst-address-list=antiblock new-connection-mark=surfsharkvpn passthrough=yes comment="mark packets for VPN"
/ip firewall mangle add action=change-mss chain=forward new-mss=1360 passthrough=yes protocol=tcp connection-mark=surfsharkvpn tcp-flags=syn tcp-mss=!0-1360 comment="change packet MSS size for VPN"
/ip firewall filter add action=accept chain=forward connection-mark=surfsharkvpn place-before=[find where action=fasttrack-connection] comment="skip fasttrack for VPN marked"
#IPSEC
#Закачиваем сертификат на роутер в файлы и используем имя файла в след команде
/certificate import file-name=surfshark_ikev2.crt name=surfshark_ikev2 passphrase=""
/ip ipsec profile add name=SHVPN
/ip ipsec proposal add name=SHVPN pfs-group=none
/ip ipsec policy group add name=SHVPN
/ip ipsec policy add dst-address=0.0.0.0/0 group=SHVPN proposal=SHVPN src-address=0.0.0.0/0 template=yes
/ip ipsec mode-config add name=SHVPN connection-mark=surfsharkvpn responder=no
/ip ipsec peer add address=uk-edi.prod.surfshark.com exchange-mode=ike2 name=SHVPN profile=SHVPN
/ip ipsec identity add auth-method=eap certificate=surfshark_ikev2 eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=SHVPN peer=SHVPN policy-template-group=SHVPN username=XXXXX password=XXXXX
Код: Выделить всё
/ip firewall address-list
add address=yt3.ggpht.com comment="youtube icons" list=antiblock
add address=rutracker.org list=antiblock
add address=kinozal.tv list=antiblock
add address=lostfilm.tv list=antiblock
add address=p1.lostfilm.tv list=antiblock
add address=static.lostfilm.top list=antiblock
add address=static.t-ru.org list=antiblock
add address=twitter.com list=antiblock
add address=twimg.com list=antiblock
add address=abs.twimg.com list=antiblock
add address=api.twitter.com list=antiblock
add address=t.co list=antiblock
add address=pbs.twimg.com list=antiblock
add address=abs-0.twimg.com list=antiblock
add address=video.twimg.com list=antiblock
add address=analytics.twitter.com list=antiblock
add address=syndication.twitter.com list=antiblock
add address=mobile.twitter.com list=antiblock
1) rutracker.org и kinozal.tv открываются мгновенно на всех устройствах, как и должно быть
2) lostfilm.tv может работать как часы, то не открываться совсем (т.е. просто бесконечно грузит страницу и так до бесконечности), а может и сразу вылететь заглушка провайдера, что ресурс заблокирован
3) twitter.com может открываться, но без картинок, а может открываться мгновенно и со всем содержимым
Все эти вещи происходят одновременно и в разном сочетании, т.е. я пользуюсь твиттером на телефоне в приложении, все летает, но на лостфильм не заходит, хоп, через минуту все наоборот, картинки в твиттере отвалились, лостфильм работает или тоже не работает, но работает рутрекер и так до бесконечности, но статика с yt3.ggpht.com работает всегда и везде и без перебоев...
Прошивка 7.4, настройки сделаны в дополнение к стандартной конфигурации из коробки.
Я сломал всю голову, что это может быть. Т.к. знаний у меня в этой сфере нет совсем, прошу объяснить.
Склоняюсь, что нужно dns пустить через vpn или настроить doh (вроде делал верно (1.1.1.1./help подтверждает), но не помогает совсем), но не могу найти рабочего решения.
-
- Сообщения: 250
- Зарегистрирован: 01 июл 2020, 16:02
Ну doh это лишь способ получить однозначный ip самого ресурса. И это вообще не значит, что всё содержимое и будет храниться на этом ресурсе. У твитера куча своих доменов и поддоменов. А лостфилм хватает картинки с ещё кучи сторонних сайтов. Хотите, чтобы всё корректно открывалось? Легко, но:hv44 писал(а): ↑04 авг 2022, 15:54 В чем собственно проблема.
1) rutracker.org и kinozal.tv открываются мгновенно на всех устройствах, как и должно быть
2) lostfilm.tv может работать как часы, то не открываться совсем (т.е. просто бесконечно грузит страницу и так до бесконечности), а может и сразу вылететь заглушка провайдера, что ресурс заблокирован
3) twitter.com может открываться, но без картинок, а может открываться мгновенно и со всем содержимым
Все эти вещи происходят одновременно и в разном сочетании, т.е. я пользуюсь твиттером на телефоне в приложении, все летает, но на лостфильм не заходит, хоп, через минуту все наоборот, картинки в твиттере отвалились, лостфильм работает или тоже не работает, но работает рутрекер и так до бесконечности, но статика с yt3.ggpht.com работает всегда и везде и без перебоев...
Прошивка 7.4, настройки сделаны в дополнение к стандартной конфигурации из коробки.
Я сломал всю голову, что это может быть. Т.к. знаний у меня в этой сфере нет совсем, прошу объяснить.
Склоняюсь, что нужно dns пустить через vpn или настроить doh (вроде делал верно (1.1.1.1./help подтверждает), но не помогает совсем), но не могу найти рабочего решения.
1. Либо пустите всё через ВПН
2. Либо вычисляйте все адреса с которыми работает нужный Вам сайт и заносите их в список работы через впн
3. Подключите себе bgp (но вариант вообще не идеальный и местами придётся пользоваться пунктом 2)
-
- Сообщения: 10
- Зарегистрирован: 04 авг 2022, 15:29
С пунктом 2 как раз и проблема.Inner писал(а): ↑14 авг 2022, 01:40Ну doh это лишь способ получить однозначный ip самого ресурса. И это вообще не значит, что всё содержимое и будет храниться на этом ресурсе. У твитера куча своих доменов и поддоменов. А лостфилм хватает картинки с ещё кучи сторонних сайтов. Хотите, чтобы всё корректно открывалось? Легко, но:hv44 писал(а): ↑04 авг 2022, 15:54 В чем собственно проблема.
1) rutracker.org и kinozal.tv открываются мгновенно на всех устройствах, как и должно быть
2) lostfilm.tv может работать как часы, то не открываться совсем (т.е. просто бесконечно грузит страницу и так до бесконечности), а может и сразу вылететь заглушка провайдера, что ресурс заблокирован
3) twitter.com может открываться, но без картинок, а может открываться мгновенно и со всем содержимым
Все эти вещи происходят одновременно и в разном сочетании, т.е. я пользуюсь твиттером на телефоне в приложении, все летает, но на лостфильм не заходит, хоп, через минуту все наоборот, картинки в твиттере отвалились, лостфильм работает или тоже не работает, но работает рутрекер и так до бесконечности, но статика с yt3.ggpht.com работает всегда и везде и без перебоев...
Прошивка 7.4, настройки сделаны в дополнение к стандартной конфигурации из коробки.
Я сломал всю голову, что это может быть. Т.к. знаний у меня в этой сфере нет совсем, прошу объяснить.
Склоняюсь, что нужно dns пустить через vpn или настроить doh (вроде делал верно (1.1.1.1./help подтверждает), но не помогает совсем), но не могу найти рабочего решения.
1. Либо пустите всё через ВПН
2. Либо вычисляйте все адреса с которыми работает нужный Вам сайт и заносите их в список работы через впн
3. Подключите себе bgp (но вариант вообще не идеальный и местами придётся пользоваться пунктом 2)
Я добавил в address-list необходимые домены, например для картинок твиттера (адреса брал из режима веб-разработчика в браузере, используя впн). Но мне кажется, что закрепленные за доменами айпишники просто не притягиваются. Напоминает проблему, как в этой теме viewtopic.php?f=1&t=13295&start=10
Например все картинки с ленты твиттера всегда висят на pbs.twimg.com (про инстграм не говорим, там сильно больше и сложнее, все не включишь). То, что там куча разных айпишников, это я понимаю, но ведь Микротик сам умеет при добавлении только домена в address-list динамически за ними следить. По такой же схеме я добавил домен для иконок ютуба и все отлично работает, а для твиттера - нет.
Все еще не могу понять, почему у меня скачет доступ/запрет к ресурсам частями. Отсюда и сделал вывод, что проблема в том, что нужно все запросы к днс серверам пускать через впн, но не могу найти как это сделать с учетом использованных выше настроек...
-
- Сообщения: 250
- Зарегистрирован: 01 июл 2020, 16:02
Ну, дох изначально уже шифрует Ваши днс. Так что как таковой необходимости пускать его через впн нет. А если у Вас открытые днс, например, 1.1.1.1, тоhv44 писал(а): ↑16 авг 2022, 15:43С пунктом 2 как раз и проблема.Inner писал(а): ↑14 авг 2022, 01:40Ну doh это лишь способ получить однозначный ip самого ресурса. И это вообще не значит, что всё содержимое и будет храниться на этом ресурсе. У твитера куча своих доменов и поддоменов. А лостфилм хватает картинки с ещё кучи сторонних сайтов. Хотите, чтобы всё корректно открывалось? Легко, но:hv44 писал(а): ↑04 авг 2022, 15:54 В чем собственно проблема.
1) rutracker.org и kinozal.tv открываются мгновенно на всех устройствах, как и должно быть
2) lostfilm.tv может работать как часы, то не открываться совсем (т.е. просто бесконечно грузит страницу и так до бесконечности), а может и сразу вылететь заглушка провайдера, что ресурс заблокирован
3) twitter.com может открываться, но без картинок, а может открываться мгновенно и со всем содержимым
Все эти вещи происходят одновременно и в разном сочетании, т.е. я пользуюсь твиттером на телефоне в приложении, все летает, но на лостфильм не заходит, хоп, через минуту все наоборот, картинки в твиттере отвалились, лостфильм работает или тоже не работает, но работает рутрекер и так до бесконечности, но статика с yt3.ggpht.com работает всегда и везде и без перебоев...
Прошивка 7.4, настройки сделаны в дополнение к стандартной конфигурации из коробки.
Я сломал всю голову, что это может быть. Т.к. знаний у меня в этой сфере нет совсем, прошу объяснить.
Склоняюсь, что нужно dns пустить через vpn или настроить doh (вроде делал верно (1.1.1.1./help подтверждает), но не помогает совсем), но не могу найти рабочего решения.
1. Либо пустите всё через ВПН
2. Либо вычисляйте все адреса с которыми работает нужный Вам сайт и заносите их в список работы через впн
3. Подключите себе bgp (но вариант вообще не идеальный и местами придётся пользоваться пунктом 2)
Я добавил в address-list необходимые домены, например для картинок твиттера (адреса брал из режима веб-разработчика в браузере, используя впн). Но мне кажется, что закрепленные за доменами айпишники просто не притягиваются. Напоминает проблему, как в этой теме viewtopic.php?f=1&t=13295&start=10
Например все картинки с ленты твиттера всегда висят на pbs.twimg.com (про инстграм не говорим, там сильно больше и сложнее, все не включишь). То, что там куча разных айпишников, это я понимаю, но ведь Микротик сам умеет при добавлении только домена в address-list динамически за ними следить. По такой же схеме я добавил домен для иконок ютуба и все отлично работает, а для твиттера - нет.
Все еще не могу понять, почему у меня скачет доступ/запрет к ресурсам частями. Отсюда и сделал вывод, что проблема в том, что нужно все запросы к днс серверам пускать через впн, но не могу найти как это сделать с учетом использованных выше настроек...
Код: Выделить всё
add disabled=no dst-address=1.1.1.1 gateway=<ip vpn шлюза или сам порт vpn (в зависимости от конфигурации)>
-
- Сообщения: 10
- Зарегистрирован: 04 авг 2022, 15:29
А можно как пятилетнему объяснить где взять этот "ip vpn шлюза или сам порт vpn" с учетом, что я прям максимально далек от сетевого оборудования, а свои настройки я ранее указывал:
Код: Выделить всё
#Firewall
/ip firewall address-list
add address=yt3.ggpht.com comment="youtube icons" list=antiblock
add address=rutracker.org list=antiblock
add address=kinozal.tv list=antiblock
add address=lostfilm.tv list=antiblock
add address=p1.lostfilm.tv list=antiblock
add address=static.lostfilm.top list=antiblock
add address=static.t-ru.org list=antiblock
add address=twitter.com list=antiblock
add address=twimg.com list=antiblock
add address=abs.twimg.com list=antiblock
add address=api.twitter.com list=antiblock
add address=t.co list=antiblock
add address=pbs.twimg.com list=antiblock
add address=abs-0.twimg.com list=antiblock
add address=video.twimg.com list=antiblock
add address=analytics.twitter.com list=antiblock
add address=syndication.twitter.com list=antiblock
add address=mobile.twitter.com list=antiblock
/ip firewall mangle add action=mark-connection chain=prerouting dst-address-list=antiblock new-connection-mark=surfsharkvpn passthrough=yes comment="mark packets for VPN"
/ip firewall mangle add action=change-mss chain=forward new-mss=1360 passthrough=yes protocol=tcp connection-mark=surfsharkvpn tcp-flags=syn tcp-mss=!0-1360 comment="change packet MSS size for VPN"
/ip firewall filter add action=accept chain=forward connection-mark=surfsharkvpn place-before=[find where action=fasttrack-connection] comment="skip fasttrack for VPN marked"
#IPSEC
#Закачиваем сертификат на роутер в файлы и используем имя файла в след команде
/certificate import file-name=surfshark_ikev2.crt name=surfshark_ikev2 passphrase=""
/ip ipsec profile add name=SHVPN
/ip ipsec proposal add name=SHVPN pfs-group=none
/ip ipsec policy group add name=SHVPN
/ip ipsec policy add dst-address=0.0.0.0/0 group=SHVPN proposal=SHVPN src-address=0.0.0.0/0 template=yes
/ip ipsec mode-config add name=SHVPN connection-mark=surfsharkvpn responder=no
/ip ipsec peer add address=uk-edi.prod.surfshark.com exchange-mode=ike2 name=SHVPN profile=SHVPN
/ip ipsec identity add auth-method=eap certificate=surfshark_ikev2 eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=SHVPN peer=SHVPN policy-template-group=SHVPN username=XXXXX password=XXXXX
-
- Сообщения: 2
- Зарегистрирован: 12 апр 2022, 12:12
Я правильно понимаю, что с февраля бубны бесполезны? iKev2 канул в нашей сети.