Mikrotik — выборочная маршрутизация трафика через VPN по FQDN?

Question

[dushnila]

Добрый день,

Нужна помощь.
Есть MikroTik. На нём выход в интернет и 2 VPN подключения.
Условно Локация 1 и Локация 2.
Нужна возможность определённые FQDN отправлять в интернет через разные удалённые шлюзы.
При этом чтобы конечный сайт думал что к нему подключатся с удалённого шлюза.
Например:
Сайт *.example1.com через VPN в Локацию 1.
Сайт *.example2.com через VPN в Локацию 2.
Через Address List более менее разобрался, работает.
Нужна возможность более умным способом маршрутизировать сайты без необходимости указывать каждый поддомен.

Пробовал Layer7 Protocols, не получилось.

Буду рад любому совету.

Comments

[nidalee]

Зайду с другой стороны - вам прям позарез нужен VPN, и позарез на Mikrotik? Потому что через какой-нибудь squid прокси задача решается элементарно.

Answer 1

[Valentin Barbolin]

ты вот так сделал?
https://forum.mikrotik.com/viewtopic.php?t=171665

Есть способ на основании SNI, но он не работает если используется TLS1.3 где скрыт SNI и это работает только с http трафиком. Если это чистый TCP то не отработает.

Тут нужен прокси или вытягивать по номеру AS целые сети или страны и добавлять их в марштуры.
Другого способа нет.

Когда в firewall ты указываешь в address доменное имя, мироктик в тот же момент переворачивает его в IP, т.к. firewall не может получить доменное имя из TCP пакеты от ПК (если это не TLS, SNI выше я уже описал почему это не всегда работает). Соответственно твой вариант тоже работает на 50% т.к. у некоторых сайтов может быть 2 и более IP или это вообще может быть CDN, и если IP который получил mikrotik клиент разные то твое правило не отработает.

Если прикинуть, то можно попробовать реализовать следующую схему. Написать скрипт который будет мониторить запросы DNS на микротике и если они попадают под FQDN шаблон то динамически создавать маршрут, но я не встречал такой реализации и не могу утверждать что такое возможно.

Comments

[Дмитрий]

Если есть возможность завернуть DNS-трафик на локальный DNS-сервер микротика, то можно воспользоваться тем, что:
- DNS-сервер для статических записей умеет создавать соответствующие им динамические записи в заданном address-list
- Статические записи можно создавать с обработкой поддоменов или проверкой на соответствие регулярному выражению
- В статической записи может быть не статический ip, а форвардинг запроса на другой DNS-сервер
Все вместе это в принципе позволяет формировать адрес-листы по DNS-запросам с обработкой поддоменов, а как дальше сделать маршрутизацию по адрес-листу - это уже общеизвестно.
Только что проверил на своем микротике с версией RouterOS 7.9 - работает.
Настройка (пример для домена *.yahoo.com):

> ip dns/static/export terse compact
/ip dns static add address-list=dns-test forward-to=1.1.1.1 match-subdomain=yes name=yahoo.com type=FWD

Результат после резолвинга yahoo.com и mail.yahoo.com

> ip firewall/address-list/print where list=dns-test 
Flags: D - DYNAMIC
Columns: LIST, ADDRESS, CREATION-TIME, TIMEOUT
#   LIST      ADDRESS         CREATION-TIME         TIMEOUT
0 D dns-test  87.248.119.251  jun/09/2023 17:37:59  46s    
1 D dns-test  87.248.119.252  jun/09/2023 17:37:59  46s    
2 D dns-test  54.161.105.65   jun/09/2023 17:38:02  9m54s  
3 D dns-test  34.225.127.72   jun/09/2023 17:38:02  9m54s  
4 D dns-test  74.6.231.21     jun/09/2023 17:38:02  9m54s  
5 D dns-test  98.137.11.163   jun/09/2023 17:38:02  9m54s  
6 D dns-test  98.137.11.164   jun/09/2023 17:38:02  9m54s  
7 D dns-test  74.6.143.26     jun/09/2023 17:38:02  9m54s  
8 D dns-test  74.6.143.25     jun/09/2023 17:38:02  9m54s  
9 D dns-test  74.6.231.20     jun/09/2023 17:38:02  9m54s

[Valentin Barbolin]

Дмитрий,

Другого способа нет.

Беру свои слова обратно, надо чаще обновлять микротик)

[dushnila]

Дмитрий, Добрый день,

Я собственно таким способом и настроил. Работает но очень медленно. Сайты могут грузиться по 10 минут. Подозреваю что у сайтов есть внешние зависимости от других ресурсов и так как я их явно не указал, есть проблемы.

Можно ли где-то найти список сайтов и подсетей которые например использует Ростелеком?

[dushnila]

Дмитрий, Что я попробовал сделать.

Использую микротик как локальный DNS сервер.
На самом микротике настроен DoH гугловый.

Понят туннель в Россию и куда-то ещё.

В разделе Firewall => Address Lists
Я добавляю туда fqdnы, вот пример на изображении.


Маркирую трафик и маршрутизирую его в соответствующие VPNы.

Работает очень медленно и очень плохо.
Подозреваю что это связанно с тем что сайты имеют кучу внешних зависимостей, поддоменов, CDN сетей.
И вот теперь интересно как это можно улучшить.

Попробую Ваш вариант тоже.

[dushnila]

Дмитрий, И как на основании этих статических DNS записей потом правильно маршрутизировать трафик?

[Valentin Barbolin]

dushnila, Какова конечная цель? Если обойти блокировку к RU сегменту, то проще завернуть весь RU в VPN.

[dushnila]

Я сейчас не в России как раз таки. Но в месте где я сейчас нахожусь есть свои блокировки.

Надо сделать VPN до Микротика дома в России (у него есть белый айпишник). Уже готово.
VPN до VPS в Европе. Уже готово.

И прокидывать российские сайты которые не хотят работать из-за бугра через VPN в Россию, а сайты которые заблокированы в моём текущем расположении через Европу.

[Valentin Barbolin]

dushnila, Посмотри этот ответ. https://qna.habr.com/q/1284684#answer_2335144

На сайте https://antifilter.download/ можно по BGP получить список маршрутов для обхода блокировки.

[Дмитрий]

dushnila, я бы попробовал для вашей задачи вообще другой подход. Классифицировать браузерный трафик по ip-адресам на роутере - задача очевидно неблагодарная. Лучше, чтобы трафик направлял в разные туннели не маршрутизатор, а непосредственно браузер, например с использованием нескольких разных прокси-серверов. В Firefox это можно настроить например с помощью дополнения FoxyProxy, в котором прокси-серверы можно переключать либо вручную, либо выбирать их на основании шаблонов URL. Или можно просто использовать разные браузеры с разными настройками proxy. А в микротике можно настроить и socks-прокси, и классический, и уже их исходящий трафик маршрутизировать через разные каналы (с помощью routing -> rules или маркировки трафика в ip -> firewall -> mangle), что уже дает три возможных варианта маршрутизации.

Answer 2

[Drno]

да никак. либо делать отдельный DNS и там это как то фильтровать, либо указывать микроту какой адрес в какой шлюз

Comments

[dushnila]

Микротив сам и выступает DNSом. Частично работает, просто производительность ниже плинтуса.