так же возможно понадобиться, зависит от конфигурации VPN, попробуй сначала добавить только первые 2 правила
-A POSTROUTING -d 192.168.43.0/24 -p tcp -m tcp --dport 80 -j SNAT --to-source PPP_VPS_IP
-A POSTROUTING -d 192.168.43.0/24 -p tcp -m tcp --dport 443 -j SNAT --to-source PPP_VPS_IP
MrFlatman,
> fasttrack каким по счету должен
Самым первым. Или перед теми правилами которые должны в него попадать, то есть тяжелые правила которые мы отдает в fasttrack после первой обработки.
w001f,
> Может кто ни будь знает есть ли возможность шифровать в почтовых программах письма и отправлять.
Есть, схема та же, генеришь сертификат, другу по переписке так же генерит сертификат, пересылаете друг другу письма с подписью(публичный ключ) и начинаете дружно шифровать почту.
Поддерживаемые почтовые клиенты
macOS - штатный mail
iOS - штатный mail
windows - outlook
Samsung, Huawei, Sony - встроенный почтовый клиент
другой Android - touchdown
Drno, Я так понимаю что задача разобраться почему зависает микротик. Самым очевидным фактором является высокая CPU которая возможно вызвана большим трафиком и не оптимальными правилами firewall.
Если с правилами все устраивает, то хорошо бы понять какой процесс нагружает микротик на 100%. Для этого можно написать скрипт который будет с некой переодичностью складывать в лог файл инфу по загрузке CPU с указанием имени процесса.
Valentin Barbolin, Я ошибся в ответе выше, перепутал цепочки forward и input. Надо forward.
add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
Drno,
> у меня фасттрак выключен - т.к. неуобно управлять с ним.
Пора уже определить, что делать. Менять микротик на более мощный что бы справляться с нагрузкой или научиться пользоваться fasttrack.
MrFlatman, Вот такое правило должнобыть вверху, что бы микротик автоматически открывал порты для ответов и закрывал.
/ip/firewall/add action=accept chain=forward comment=\
"defconf: accept established,related, untracked" connection-state=\
established,related,untracked
TLS сессия идет пере http, и если она не удачная то http вообще не будет.
Это ошибка (ERR_CERT_AUTHORITY_INVALID) как раз появляется на этапе TLS, так что клиент сам решает как ее отображать.
Superfluous_Man, Провайдеры тоже не дураки и блокируют DOH сервера, скорее всего текущая мозила импользует DOH сервер про который не знает провайдер или все таки в ней строит какое-то расширение, или когда-то настроили прокси и успешно забыли про это.
WAN_IP - IP адрес с eth0
-A PREROUTING -d WAN_IP -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination PPP_MIK_IP:80
-A PREROUTING -d WAN_IP -i eth0 -p tcp -m tcp --dport 443 -j DNAT --to-destination PPP_MIK_IP:443
так же возможно понадобиться, зависит от конфигурации VPN, попробуй сначала добавить только первые 2 правила
-A POSTROUTING -d 192.168.43.0/24 -p tcp -m tcp --dport 80 -j SNAT --to-source PPP_VPS_IP
-A POSTROUTING -d 192.168.43.0/24 -p tcp -m tcp --dport 443 -j SNAT --to-source PPP_VPS_IP
Думаю, тут лучше бы подошел wireguard как VPN
https://github.com/angristan/wireguard-install