dollar, goodbyedpi - отличное решение для рабочих станций, у меня же стоит задача на уровне провайдерского шлюза обходить блокировки вышестоящего провайдера, который вынужден соблюдать эти дилетантские законы, придуманные конченым ламерьем, полагающим что в их жалких умишках есть понимание всех процессов в обществе, стране, мире, вселенной) Стоит менее минуты послушать или почитать этих жаровых, яровых, левиных, мукабеновых и прочих, чтобы убедиться в их абсолютной удаленности от сетевых технологий. Чего только стоит так называемый закон о мессенджерах, который был утвержден всеми инстанциями и выставил это государство на посмещище. В его тексте явно указано на то, что в представлении законотворцев любой мессенджер использует MSISDN и соответственно контролируется операторами за которыми эти номера закреплены, ровно также как смс, голосовая связь и прочие услуги операторов. Даже школьники понимают, что в некоторых мессенджерах в качестве идентификатора может использоваться набор цифр, который совпадает с телефонным номером, но никакого отношения к оператору связи не имеет. Сорри за оффтопик.
Что же касается выдачи поисковиков - rutracker.org - слишком уж яркий пример, после известного инцидента с медведевым, некоторые провайдеры спешно блокировали его наглухо, видимо с выдачей результатов поиска похожая ситуация. Что же касается других псевдозаблокированных ресурсов, навскидку, grani.ru, linkedin.com - с выдачами результатов все в порядке, в верху списка.
По поводу грязных выборных игр - это всегда деньги, как одна из версий, имеют место быть личные договоренности с техническими сотрудниками поисковиков, подрепленные крупными денежными суммами). Тот факт, что гугл идет на поводу у российских властей говорит о том, что нити этих геополитических марионеток находятся в руках одного хозяина. Иначе трудно объяснить поддатливость интернет-гиганта, ведь даже самые бездарные госрыла прекрасно понимают, что если запретить гугл - эту власть сметут махом, причем те же псы, которые призваны ее защищать) Даже телеграм, с гораздо более скромными возможностями просто покакал сверху на всю эту госбратию, что не может не быть наглядным примером того, как надо поступать с идиотами)
Идеальный способ обхода блокировок - это гибкость и постоянное совершенствование методов и способов обхода. Пускать через впн весь заблокированный трафик, а тем более весь трафик - слишком расточительно, а вот трафик поисковиков - похоже становится актуальным. Описываемый в этой теме способ, также как и goodbyedpi - это лишь некоторые инструменты, также как и впн, прокси и т.д. Комбинируя их в нужных вариантах можно оптимально обезопасить себя и других от недоумков)
dollar, во-первых, на сегодняшний день поисковики не осуществляют фильтрацию так называемых "запрещенных" сайтов. Даже если у недоучек из роскомпозора получится заставить поисковики ограничивать выдачу результатов - поисковики, уверен, так же как и провайдеры, будут выполнять эти требования лишь формально, оставляя пользователям возможность обходить бессмысленные ограничения, например, указывая в настройках профиля страну отличную от России, либо перенаправлять поисковые запросы через другие страны. Роскомпозор обосрался по полной с телеграмом, блокировки всерьез воспринимают разве что совсем далекие от ИТ люди)
Во-вторых, все заблокированые сайты роскомпозор добавляет в соответствующие реестры, находящиеся в публичном доступе, избавляя таким образом пользователей от поиска в принципе)
Дмитрий, как вы заметили, в свете политического произвола, в сочетании с вопиющей некомпетентностью в ИТ-вопросах государственных псов - вряд ли вам помогут любые разумные технические решения. Наглядный пример - широко известное дело Дмитрия Богатова.
В такой ситуации, маловероятно, что у вас получится довести до "хороших" дядей вашу непричастность к тому или иному трафику, сгенерированному с вашего ип-адреса. Остается только одно - избежать визита этих недоучек, всеми доступными способами, коих, кстати, помимо впн, великое множество. Просто на вскидку - не регистрировать услуги связи на себя, организовать работу сети таким образом, чтобы ничто не могло явно указывать на вас.
Да, безусловно, можно и без свитча - вставив патчкорд одним концом в бридж с линией провайдера, а вторым в свободный порт - 2 dhcp клиента - на бридже и на втором конце патчкорда получают разные ип, все ок, но для этого нужно целых 2 свободных порта, а нет ни одного, поэтому хотелось бы использовать программное решение, если таковое имеется.
Гораздо проще разобраться с механизмом блокировки, который использует ваш провайдер. Быть обладателем микротика и использовать впн для обхода блокировок весьма некошерно) Информации по этому вопросу вполне достаточно в т.ч. здесь
lazix, Очевидно, потому что используется другой dns-сервер, вместо Mikrotik. Можно попробовать решить проблему с помощью DNS-spoofing, принудительно перенаправив с помощью dst-nat все udp-пакеты с dst-port 53 на ваш Mikrotik. В этом случае клиенты микротика будут принудительно использовать встроенный dns-сервер, независимо от того, какой dns-сервер указан в настройках клиентов.
...не во всех есть возможность настройки на основе интерфейсов
Это относится не к настройке PCC, а к настройке маршрутизации. Для PCC не имеет значения в каком виде указаны шлюзы - в виде интерфейсов или ип-адресов. Маршруты должны быть добавлены вручную и обозначены соответствующими routing mark.
...разве балансировка с хэшированием обоих адресов и портов не исключает такие соединения?
Как раз-таки наоборот, в случае хэширования обоих адресов и портов при изменении любого адреса или порта меняется хэш и трафик может пойти по другому маршруту.
Самое лучшее, из личного опыта, решение по балансировке на Mikrotik, не зависящее от провайдеров и транзитного оборудования и работающее без каких либо ограничений и подводных камней - это PCC с хэшированием both addresses. Если использовать хэширование both addresses and ports - утилизация каналов WAN максимальная, speedtest показывает суммарную скорость всех каналов, но, к сожалению, встречаются ресурсы, в т.ч. и широко популярные, отстающие от прогресса и не позволяющие устанавливать соединения с разных ип-адресов.
Достаточно подробно тема PCC раскрыта в презентации Павла Нагобидиянса
Шамиль, уменьшал до тех пор, пока не начинали открываться зависающие веб-страницы. Проблема была именно в том, что некоторые веб-страницы зависали, больше никаких проблем не было.
MSS + заголовок TCP + заголовок IP ≤ MTU. Если это условие не выполняется может возникать PMTU discovery black hole.
MMS=1410 - такое значение стояло по-умолчанию в динамических правилах для старых версий Router OS, сталкивался с тем что этого было недостаточно и приходилось опытным путем уменьшать до 1390. Более оптимальным было использование параметра new TCP MSS: clamp to pmtu для syn-пакетов с mss 1200-65535, работало гарантировано во всех случаях. После обновления ROS до 6.39 - правила отключил и все работает без них.
"change-mss" можно использовать, если у вас где-то по пути трафика возникают проблемы связанные с pmtu discovery black hole, в старых версиях Router OS (до 6.39) создавались 2 динамических правила в цепочке mangle для ppp-интерфейсов, в совсем старых (5.26) создавались правила для каждого ppp-подключения. Эти правила значительно увеличивают нагрузку на процессор и начинаю с 6.39 в Router OS используется внутренний алгоритм для подстройки mss без использования mangle, который решает проблемы с pmtu discovery black hole, все должно работать без всяких правил в mangle.
Если проблема точно в pmtu - посмотрите решение здесь - Почему VPN (pptpd) работает при подключении с декс...
Данил, Достаточно одного правила - chain - input, перед src. address list нажмите квадратик, должен появиться восклицательный знак, означающий "кроме", action - drop. Остальные параметры верные. Можно и два правила, но не имеет смысла, т.к. задача решается одним.
Der AlSem: Если не работает правило для блокировки http - попробуйте в поле content правила Микротика указать warning.rt.ru, вместо того значения, которое указано на tech4fun.
Der AlSem: TTL для каждого случая нужно смотреть в дампе и уменьшать на 1 в правиле.
Без TTL блокируются все RST-пакеты, что теоретически может привести к проблемам связанным с большим количествам незакрытых соединений. На практике проблем замечено не было, соединения закрываются по тайм-ауту и никаких проблем нет, но все же указав нужный TTL уменьшанм количество ложных срабатываний правила в поставленной задаче.
BloodLizard: Если нужно шифрование - интересная связка L2TP+MPPE, менее требовательно к аппаратным ресурсам чем IPsec и вроде бы такой вариант не скомпрометирован в плане безопасности. Вообще, в MikroTik'ах любые впн, как клиенты, так и серверы достаточно просты в настройках и надежны в использовании, так что здесь скорее дело вкуса и привычки.
Что же касается выдачи поисковиков - rutracker.org - слишком уж яркий пример, после известного инцидента с медведевым, некоторые провайдеры спешно блокировали его наглухо, видимо с выдачей результатов поиска похожая ситуация. Что же касается других псевдозаблокированных ресурсов, навскидку, grani.ru, linkedin.com - с выдачами результатов все в порядке, в верху списка.
По поводу грязных выборных игр - это всегда деньги, как одна из версий, имеют место быть личные договоренности с техническими сотрудниками поисковиков, подрепленные крупными денежными суммами). Тот факт, что гугл идет на поводу у российских властей говорит о том, что нити этих геополитических марионеток находятся в руках одного хозяина. Иначе трудно объяснить поддатливость интернет-гиганта, ведь даже самые бездарные госрыла прекрасно понимают, что если запретить гугл - эту власть сметут махом, причем те же псы, которые призваны ее защищать) Даже телеграм, с гораздо более скромными возможностями просто покакал сверху на всю эту госбратию, что не может не быть наглядным примером того, как надо поступать с идиотами)
Идеальный способ обхода блокировок - это гибкость и постоянное совершенствование методов и способов обхода. Пускать через впн весь заблокированный трафик, а тем более весь трафик - слишком расточительно, а вот трафик поисковиков - похоже становится актуальным. Описываемый в этой теме способ, также как и goodbyedpi - это лишь некоторые инструменты, также как и впн, прокси и т.д. Комбинируя их в нужных вариантах можно оптимально обезопасить себя и других от недоумков)