Mikrotik, Surfshark и OpenVPN

[GrafAtRuss]

Доброго всем дня.
Как вам, наверное, известно в России свирепствует интернет-вирус под названием Роскомнадзор, который, несмотря на всякие там "свободы слова" и "демократии" подвергает всех жителей страны жесточайшей цензуре, после которой Свидетили Иеговы, Мармоны и Амиши, кажутся реально святыми и уже с раем.
Я всегда при себе держал Surfshark как альтернативу Рунету, так как в нашей стране заблокированы даже порой нужные ресурсы не несущие ни какой угрозы ни кому (разве что только мухам), например сервера обновления CMS Joomla...
Так вот тут есть проблемка.
Наш "любимый" скот - РКН в очередной раз отличился и заблокировал почти весь UDP трафик в буржунет. И от это как результат в России перестали работать, для подключения к иностранным VPN-серверам, такие протоколы как L2TP, IKEv2 и WireGuard. Единственное решение это использование OpenVPN через TCP.
Но и тут проблемка...
Наш дорогой Mikrotik RouterOS 7.13.2, похоже, так и не научился работать с tls-auth (хотя это анонсировано аж с версии 7.12b2), либо я как-то не так импортирую файл .ovpn...
Микрот, после успешного импорта сыплет такими ошибками:

ovpn-surfshark: terminating... - TLS error: no key for certificate found (6)

А вот содержимое файла .ovpn который импортирую:

Код: Выделить всё

client
dev tun
proto tcp
remote de-ber.prod.surfshark.com 1443
remote-random
nobind
tun-mtu 1500
mssfix 1450
ping 15
ping-restart 0
reneg-sec 0

remote-cert-tls server

auth-user-pass

#comp-lzo
verb 3
fast-io
cipher AES-256-CBC

auth SHA512

<ca>
-----BEGIN CERTIFICATE-----
MIIFTTCCAzWgAwIBAgIJAMs9S3fqwv+mMA0GCSqGSIb3DQEBCwUAMD0xCzAJBgNV
BAYTAlZHMRIwEAYDVQQKDAlTdXJmc2hhcmsxGjAYBgNVBAMMEVN1cmZzaGFyayBS
b290IENBMB4XDTE4MDMxNDA4NTkyM1oXDTI4MDMxMTA4NTkyM1owPTELMAkGA1UE
BhMCVkcxEjAQBgNVBAoMCVN1cmZzaGFyazEaMBgGA1UEAwwRU3VyZnNoYXJrIFJv
b3QgQ0EwggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQDEGMNj0aisM63o
SkmVJyZPaYX7aPsZtzsxo6m6p5Wta3MGASoryRsBuRaH6VVa0fwbI1nw5ubyxkua
Na4v3zHVwuSq6F1p8S811+1YP1av+jqDcMyojH0ujZSHIcb/i5LtaHNXBQ3qN48C
c7sqBnTIIFpmb5HthQ/4pW+a82b1guM5dZHsh7q+LKQDIGmvtMtO1+NEnmj81BAp
FayiaD1ggvwDI4x7o/Y3ksfWSCHnqXGyqzSFLh8QuQrTmWUm84YHGFxoI1/8AKdI
yVoB6BjcaMKtKs/pbctk6vkzmYf0XmGovDKPQF6MwUekchLjB5gSBNnptSQ9kNgn
TLqi0OpSwI6ixX52Ksva6UM8P01ZIhWZ6ua/T/tArgODy5JZMW+pQ1A6L0b7egIe
ghpwKnPRG+5CzgO0J5UE6gv000mqbmC3CbiS8xi2xuNgruAyY2hUOoV9/BuBev8t
tE5ZCsJH3YlG6NtbZ9hPc61GiBSx8NJnX5QHyCnfic/X87eST/amZsZCAOJ5v4EP
SaKrItt+HrEFWZQIq4fJmHJNNbYvWzCE08AL+5/6Z+lxb/Bm3dapx2zdit3x2e+m
iGHekuiE8lQWD0rXD4+T+nDRi3X+kyt8Ex/8qRiUfrisrSHFzVMRungIMGdO9O/z
CINFrb7wahm4PqU2f12Z9TRCOTXciQIDAQABo1AwTjAdBgNVHQ4EFgQUYRpbQwyD
ahLMN3F2ony3+UqOYOgwHwYDVR0jBBgwFoAUYRpbQwyDahLMN3F2ony3+UqOYOgw
DAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAgEAn9zV7F/XVnFNZhHFrt0Z
S1Yqz+qM9CojLmiyblMFh0p7t+Hh+VKVgMwrz0LwDH4UsOosXA28eJPmech6/bjf
ymkoXISy/NUSTFpUChGO9RabGGxJsT4dugOw9MPaIVZffny4qYOc/rXDXDSfF2b+
303lLPI43y9qoe0oyZ1vtk/UKG75FkWfFUogGNbpOkuz+et5Y0aIEiyg0yh6/l5Q
5h8+yom0HZnREHhqieGbkaGKLkyu7zQ4D4tRK/mBhd8nv+09GtPEG+D5LPbabFVx
KjBMP4Vp24WuSUOqcGSsURHevawPVBfgmsxf1UCjelaIwngdh6WfNCRXa5QQPQTK
ubQvkvXONCDdhmdXQccnRX1nJWhPYi0onffvjsWUfztRypsKzX4dvM9k7xnIcGSG
EnCC4RCgt1UiZIj7frcCMssbA6vJ9naM0s7JF7N3VKeHJtqe1OCRHMYnWUZt9vrq
X6IoIHlZCoLlv39wFW9QNxelcAOCVbD+19MZ0ZXt7LitjIqe7yF5WxDQN4xru087
FzQ4Hfj7eH1SNLLyKZkA1eecjmRoi/OoqAt7afSnwtQLtMUc2bQDg6rHt5C0e4dC
LqP/9PGZTSJiwmtRHJ/N5qYWIh9ju83APvLm/AGBTR2pXmj9G3KdVOkpIC7L35dI
623cSEC3Q3UZutsEm/UplsM=
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
b02cb1d7c6fee5d4f89b8de72b51a8d0
c7b282631d6fc19be1df6ebae9e2779e
6d9f097058a31c97f57f0c35526a44ae
09a01d1284b50b954d9246725a1ead1f
f224a102ed9ab3da0152a15525643b2e
ee226c37041dc55539d475183b889a10
e18bb94f079a4a49888da566b9978346
0ece01daaf93548beea6c827d9674897
e7279ff1a19cb092659e8c1860fbad0d
b4ad0ad5732f1af4655dbd66214e552f
04ed8fd0104e1d4bf99c249ac229ce16
9d9ba22068c6c0ab742424760911d463
6aafb4b85f0c952a9ce4275bc821391a
a65fcd0d2394f006e3fba0fd34c4bc4a
b260f4b45dec3285875589c97d3087c9
134d3a3aa2f904512e85aa2dc2202498
-----END OpenVPN Static key V1-----
</tls-auth>

Пособите, плз, поднять канальчик.

[podarok66]

Если честно, я бы не надеялся на OpenVPN. Его так же легко отловят, как и WG и иже с ним. Моё ощущение, что vpn, как способ обхода блокировок уже не торт. И Микротик вам скоро будет совсем не помощник в этом нелегком деле. Может как-то помогут контейнеры с их более гибкими решениями, но опять же, далеко не бюджетные железки с этими контейнерами работают. Да и набор готовых контейнеров будет ли удовлетворять нашим запросам?
Сам упорно пытаюсь найти более или менее бюджетное решение и пока первый блин комом. Железо, на которое возлагал надежды пришло с браком. Пришлось отправить продавцу, но пересылка уже за мой счёт. Заказал другую, немного в другой конфигурации. Идет уже месяц. Способы обхода блокировок законодательно запретили опубликовывать. Мы, конечно, решим наши проблемы, а вот инструкции уже как бы не для широкого круга пользователей. Моя семья пока инстграммчиков всяких не лишена, и в библиотеки ходят спокойно. Но всё перевел на конечные устройства. Потому что Микрот пока на OpenVPN работает, но так сказать, без надежд на дальнейшее.
Простите за офтоп, но я настолько с этой задачей слился, что она меня не отпускает. Надо уже решить ее как-то, тогда и отброшу.

[GrafAtRuss]

А Вы не смогли решить описанную мной проблему? Просто у ВПН, с моей точки зрения, годок - другой еще есть. И хоть это не панацея, но как временный костыль сошла бы.

[podarok66]

У меня VDS , я не пользуюсь услугами сторонних контор. По крайней мере у себя всегда и всё можно переделать.
Тем более OpenVPN всегда отличалось тем, что от релиза к релизу какие-то мелкие изменения заставляют менять и часть настроек в конфигурации. Я ставил за последние три года OpenVPN-server трижды (из-за сложностей с оплатой менял провайдеров). Все три раза хоть чем-то но отличались. Из последнего, в конфиге сервера вместо строчек

Код: Выделить всё

cipher AES-256-CBC   
auth sha1

пришлось прописывать

Код: Выделить всё

data-ciphers AES-256-GCM:AES-128-GCM:AES-256-CBC
data-ciphers-fallback AES-256-CBC

До этого и ключи приходилось генерить с помощью openssl напрямую, тогда как ранее всё делал в easy-rsa и было норм.
Ещё ранее с топологиями траблы были, то одна не работает, то другая.
Это я к тому, что даже если ты все настройки сам с нуля делаешь, часто приходится выискивать тот вариант, который тебе подходит. А если сервер не вам, тут вообще непонятно, что и как там сломалось. И сломалось ли вообще.

А по теме, нет, я даже не разбирался с вашим конкретным случаем. Нет у меня свежих данных.
Мне сейчас сложно советовать стало. Люди приходят на форум, у всех 7 версия RouterOS, а у меня наружу только шестерка смотрит. Внутри сети перевел несколько железок на семерку, пока она мне не кажется допиленной. На часть вопросов ни здесь, ни на официальном форуме ответов нет. Вон Illinory с маршрутами, что в шестерке великолепно работали, а в семерке нет по сию пору не разобрался. И никто не разобрался. Тема и у нас и у официалов висит без какой либо реакции и продолжения. Так что извините, я тут нафлудил без пользы, хоть и призван с этим бороться, вроде.

[podarok66]

Простите за вопрос, вам не жаль столько отдавать за туннель, который в случае блокировки не переделать ни во что? Может всё-таки VDS-ку взять и там уже навертеть всего что надо и что на "всякий случай"? По деньгам будет точно не дороже. По времени, ну да, какое-то время затратится на установку, но это единожды... А если ещё и вести записи, что и как ставил, то и в дальнейшем, если переезд задумается, всё очень даже быстро настроится.

[GrafAtRuss]

Ну тут туннель не совсем за мои деньги, а за счет нашего зарубежного локального филиала (Китай). Там как раз так всё работает (через IKEv2). А вот из России ни как, то есть наш "железный зановес" уже сильно "железнее", а значит мы тут "под колпаком" не смотря на гласность, свободы слова, мысли и т.п. В России все же ровны, но некоторые ровнее. Даже Китай, что бы про него не говорили, стал сильно демократичнее, чем наша демократия.
А подскажите, плз, в личку, где Вы взяли эту дешевую VDSку?

[Erik_U]

Если это ваш филиал - измените направление.
В России поднимите ВПН сервер, а из Китая к нему присоединитесь. В эту сторону блокировок вроде нет.
А дальше дело в правильной маршрутизации.

[GrafAtRuss]

К сожалению и туда блокировки есть, потому они и локальные, а не в общей сети.

[podarok66]

Ну тут туннель не совсем за мои деньги, а за счет нашего зарубежного локального филиала (Китай). Там как раз так всё работает (через IKEv2). А вот из России ни как, то есть наш "железный зановес" уже сильно "железнее", а значит мы тут "под колпаком" не смотря на гласность, свободы слова, мысли и т.п. В России все же ровны, но некоторые ровнее. Даже Китай, что бы про него не говорили, стал сильно демократичнее, чем наша демократия.
А подскажите, плз, в личку, где Вы взяли эту дешевую VDSку?

Через личку что-то не отправляется. Бахну здесь, если что, потом снесу.
Последний год, даже полтора сидел на https://iphoster.net Ничего плохого сказать не могу. Доступ был всегда. Цена на начальный сервер от 5 $ . Я сидел на 10$ (это подняли полгода назад, перед этим было 6,5$) , мне это показалось много, сейчас переполз достаточно плавно сразу на два ( ну по цене есть возможность, да и необходимость была) . Это https://ztv.su и https://hostvds.com
Первый стал основным, но уже было минутное падение, ничего не было доступно. А так довольно быстрый и с хорошим откликом. Пинги нормальные. Показывает, что я в Амстердаме. Тариф взял за 250 рублей. Этот будет работать в первую очередь. В том числе и для семьи.
Второй довольно мутный, поэтому взял самый дешёвый тариф. Айпишник достался гонгконгский! На сервере у прова явно многовато нод, поэтому всё немного подтормаживает. Пинги довольно большие. Но как резерв за 100 рублей вполне сойдёт. У меня есть пару точек, в которые нужно периодически попадать несмотря ни на что.
Что ставил. Wireguard в варианте просто wg-quick. Openvpn в основном как страховку. Teamspeak 3 уже по традиции, иногда поигрываю, а дискорд так и не воспринял. Shadowsocks - как по мне пока наиболее простое решение для зарубежа. Outline - вариация shadowsocks с мультиюзерностью. Джентльменский набор nginx----php-fpm----mariadb----phpmyadmin---zabbix. Последний ещё не перенес, хоть и надо бы. На него стекаются логи, можно понять, что было перед крахом железки ( было несколько раз, выручало). Надо бы на docker давно перейти, да я уже староват столько осваивать. Тем более работаю я далеко не в IT. Чисто по любительски и не спеша. Поэтому всё и переносится долго.