Как перенаправить траффик, обходящий блокировки РКН, с домашнего Mikrotik на облачный CHR?
Всем привет! Решил сделать себе перманентный личный VPN для обхода блокировок при помощи бесплатного Free Tier от AMAZON, благо в базе операционок у него доступен выбор Mikrotik CHR, а бесплатного инстанса хватает для подобныхх нужд с лихвой. Дома на микроте уже давно и успешно работает личный Open VPN сервер для различных задач, поэтому решил создать себе еще и забугорный сервер, хотя бы интереса ради. CHR с нуля голый в отличие от привычной ROS на новых роутерах, где есть-таки начальная конфигурация, определены WAN и LAN порты, мосты и т.д. Я определил первоначальную конфигурацию (стандартные правила файрвола, логин-пароль), создал пул 192.168.0.2-100, создал OVPN сервер, профили-пароли-юзеры-сертификаты, с этим проблем нет. Создал интерфейс OVPN Server Binding на юзера OVPN, создал Bridge и привязал его к OVPN интерфейсу. Создал WAN, LAN интерфейсы, привязал единственный "физический" интерфейс к WAN, OVPN-In интерфейс к LAN. Домашний микрот коннектится, IP адрес из пула получает, с CHR дом пингуется, с дома 192.168.0.1 тоже. Адрес CHR на интерфейсе OVPN назначил, естественно, в начале пула (192.168.0.1). В свою очередь на домашнем микроте создал адреслист, привязал к нему, к примеру, Rutracker.org. Он тут же спарсил IP адрес и тоже добавил его в этот адреслист. В Mangle создал правило, чтобы тот маркировал пакеты меткой RKN на адреса из этого листа. Я создал пустой маршрут Dst. Address 0.0.0.0/0) до шлюза 192.168.0.1 для пакетов с меткой RKN. При создании маршрута шлюз определился на соответствующем интерфейсе OVPN. При попытке набрать Rutracker.org теперь не всплывает провайдерское окно запрета, но выдается ошибка "Ресурс не найден". При попытке tracert на rutracker трассировка начинается на домашнем шлюзе (.1.1), на нем же и обрывается. Что делать и где конкретно затык - пока не пойму. Хотя бы как правильно сформулировать поисковый запрос, чтобы найти похожие схемы.
У меня дома сделана такая же штука. С настройкой у Вас всё верно - добавляем в адрес лист, далее создаем манг с маркировкой, далее роутинг добавляем (добавил картинку)
На CHR - для VPN соединений есть правило masqurade? Чтобы CHR знал что может быть шлюзом для VPN клиентов? Такое же правило как и для WAN. у меня (тк впн тупо личный) просто сделан Out. Interface - all ppp
О, спасибо! Заработало! Не сразу дошло про masquerade. Собсно, траффик пошёл, когда добавил в NAT правило masquerade, чейн srcnat для OVPN-клиентского интерфейса в качестве Out Interface. Маршрут подправил, шлюзом выбрал тоже внешний интерфейс.
Тема вопроса очень интересна, и как инженеру сетей, хотелось бы помочь. Но я не буду читать это. Ни абзаца, ни обособления вопросов. Ни-че-го. Полное неуважение к отвечающим.
Drno, Да мы и не беспокоимся :) Талян прав, фигли. Здоровый шмат текста, перенасыщенный техническими подробностями, которые буквально выкусываешь оттуда. Происходит примерно то же, что при чтении текста на не слишком знакомом иностранном языке - моск переключается из режима образного восприятия в режим интенсивной обработки текста (мы "сосредотачиваемся"). Даже прочитать такой текст и понять, что собственно надо - уже занятие приличной сложности, уж не говоря о том, чтобы ответ дать.
Звиняйте робяты, я, честно говоря, о помощи прошу крайне редко, пытаясь самостоятельно собирать информацию, анализировать и находить решение. По опыту знаю, что часто каждый случай уникален может быть, и я не люблю задавать вопросы в виде "не работает ничего, жму кнопки - а оно не аллё". На QnA же я вообще первый раз спрашиваю) Посему опыта в таком деле не имею, и вообще без понятия, как грамотно сформулировать вопрос. С одной стороны, хотелось дать максимум информации о том, что сделал я, чтобы люди не играли в угадайку. С другой, таки да, по ходу, перенасытил. В следующий раз, если он наступит, я таки попробую поаккуратнее)
З.ы. всем еще раз спасибо за ответы и критику)