Как завернуть dns трафик через vpn на mikrotik
Перейти к содержимому

Как завернуть dns трафик через vpn на mikrotik

  • автор:

Как завернуть DNS трафик через VPN на mikrotik?

Настроен DNS сервер на микротике, поднят L2TP/IPSec клиент на микротике. На сервере микротика и на сервере L2TP/IPSec указан 8.8.8.8. На клиентских машинах указан DNS микротика.

Как проверить, идут ли запросы через туннель или через провайдера? И как можно завернуть DNS запросы в туннель.

AntiRP
12.05.17 14:25:22 MSK

делаешь на клиенте nslookup google.com и смотришь какой ip тебе отвечает.

Запросы идут по маршруту так же , как и все остальные пакеты. Те после того, как ты сделал nslookup google.com, ты можешь от traceroute ip днс сервера и увидеть, как идут пакеты.

Нихрена не понятно, что ты тут написал по сетке. Кто куда подключен и как. Но скорее всего у тебя будет так: клиент запрашивает микротик , микротик сам запрашивает 8.8.8.8 и отдает ответ клиенту. Если клиенту чтобы запросить микротик надо направлять запрос по vpn , значит по vpn. VPN это не что-то особенное, это просто еще один канал. Как прописана маршрутизация, так пакеты и идут.

constin ★★★★
( 12.05.17 15:00:24 MSK )
Ответ на: комментарий от constin 12.05.17 15:00:24 MSK

Извините, что сумбурно выразился. Все будет работать так, как вы написали. Так и работает давно, но сейчас еще и туннель добавился. Сделать nslookup пока не могу, доступа пока нет.

Просто замечал, что многие при такой схеме (клиент запрашивает микротик , микротик сам запрашивает 8.8.8.8 и отдает ответ клиенту) маркируют пакеты на 53 порт.

AntiRP
( 12.05.17 15:20:44 MSK ) автор топика
Ответ на: комментарий от AntiRP 12.05.17 15:20:44 MSK

Все равно не особенно понятно. Распишите подробнее схему сети и задачу.

ravdinve ★
( 12.05.17 15:37:57 MSK )
Последнее исправление: ravdinve 12.05.17 15:38:03 MSK (всего исправлений: 1)

Ответ на: комментарий от ravdinve 12.05.17 15:37:57 MSK

Нужно абсолютно всё с рабочих мест заворачивать в туннель. На рабочих местах в DNS указан адрес роутера. Вечером проверю nslookup и traceroute

AntiRP
( 12.05.17 15:47:47 MSK ) автор топика
Ответ на: комментарий от AntiRP 12.05.17 15:47:47 MSK

Ну дык и добавьте для destination 8.8.8.8 маршрут через ваш туннель. На самом микротике ясен пень.

Как завернуть DNS трафик через VPN на mikrotik?

На Mikrotik поднят VPN клиент и некоторый трафик заворачивается на внешний VPN сервер.

Однако, провайдер подменяет DNS запросы и требуется завернуть в том числе все DNS запросы через туннель.
как это сделать на уровне роутера?

Если маркировать пакеты по IP — 8.8.8.8 и 8.8.4.4, либо по порту — 53/TCP+53/UDP роутить через vpn то такой финт стабильно работает если эти адреса указать в настройках подключения на компьютере — что на компьютере с IP роутера в списке dns, что на самом роутере dns-трафик не перенаправляется

  • Вопрос задан более трёх лет назад
  • 5885 просмотров

Записки IT специалиста

Настройка выборочного доступа к сайтам через VPN на роутерах Mikrotik

  • Автор: Уваров А.С.
  • 04.11.2019

В наших прошлых материалах мы уже поднимали тему использования VPN не только как средства для организации корпоративной сети, но и как способа доступа в интернет для повышения безопасности работы в общественных сетях и обхода разного рода региональных ограничений. В последнем случае имеет смысл использовать VPN-канал не для всего трафика, а только для тех сайтов, доступ к которым в вашем расположении затруднен. Это несложно сделать, если в вашем распоряжении имеется роутер Mikrotik, а если нет, то появляется еще одна причина его купить.

Онлайн-курс по MikroTik
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Будем считать, что у вас уже есть интернет-подключение с точкой выхода трафика в том расположении, откуда возможен неограниченный доступ к требуемым ресурсам. Это может быть как собственный сервер, либо аккаунт у одного из многочисленных VPN-провайдеров. Выбирая расположение точки выхода, следует учитывать как возможность доступа к требуемым ресурсам, так и задержки при передаче данных. Так сервера расположенные в США обладают гораздо более высоким временем доступа, нежели сервера расположенные в Европе, поэтому их следует выбирать, когда требуется доступ именно к американским ресурсам, скажем, Netflix или покупкам у американских продавцов на Amazon и Ebay.

В нашем случае будет использоваться OpenVPN сервер на базе бесплатного VPS от Oracle с расположением в США. Вы можете использовать любой доступный вариант, а о настройке Mikrotik в качестве VPN-клиента для различных типов подключения вы можете более подробно прочитать в нашей статье.

При создании подключения в обязательном порядке снимите флаг Add Default Route, нам не требуется направлять весь трафик в VPN-канал, а маршрутизацию мы настроим позже вручную.

Mikrotik-VPN-internet-001.png

Для того, чтобы клиенты нашей локальной сети могли выходить в интернет через VPN-подключение, следует настроить NAT. Для этого перейдем в IP — Firewall — NAT и создадим новую запись со следующими параметрами: Chain — srcnat, Src. Address — диапазон вашей локальной сети, Out. Interface — интерфейс вашего VPN-подключения, в нашем случае это выглядит так:

Mikrotik-VPN-internet-002.png

Затем перейдите на закладку Action и укажите требуемое действие: masquerade. Также можно быстро выполнить все это в командной строке:

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ovpn-out1 src-address=192.168.186.0/24

Следующим шагом создадим список сайтов, которые должны будут выходить в интернет через VPN-подключение и добавим в него какой-нибудь сайт. Для этого перейдем в IP — Firewall — Address Lists и добавим новую запись. В поле Name следует указать имя списка, либо выбрать его, если список существует, в Address укажите IP-адрес или доменное имя, в последнем случае роутер сам будет определять требуемые IP-адреса.

Mikrotik-VPN-internet-003.png

Эта же настройка через консоль:

/ip firewall address-list
add address=2ip.ru list=US_only

Теперь промаркируем все необходимые пакеты, для этого переместимся в IP — Firewall — Mangle и добавим новое правило: на закладке General укажем Chain — prerouting, In. Interface — bridge1, на закладке Advanced выберем Dst. Address List — US-only, а на закладке Action укажем Action — mark routing, New Routing Mark — произвольное имя метки — в нашем случае ORA и ниже снимаем флаг Passthrough.

Mikrotik-VPN-internet-004.png

Это же действие в консоли:

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=US_only in-interface=bridge1 new-routing-mark=ORA passthrough=no

Таким образом мы добавим к пакетам, направляемым к сайтам из списка специальную метку, на основании которой будет приниматься решение о их маршрутизации.

И наконец перейдем к самой маршрутизации, перейдем в IP — Routes и создадим новый маршрут. В качестве адреса назначения Dst. Address укажем 0.0.0.0/0, а в поле Gateway укажем интерфейс VPN-соединения, ниже выберем поле Routing Mark и укажем там нашу метку ORA.

Mikrotik-VPN-internet-005.png

Через командную строку данное действие можно выполнить так:

/ip route
add distance=1 gateway=ovpn-out1 routing-mark=ORA

Только что мы создали дополнительную таблицу маршрутизации, в которую будут попадать все промаркированные нами пакеты. Если шлюз, указанный в данной таблице недоступен, то пакет перейдет в основную таблицу маршрутизации — main — и уйдет в интернет через шлюз провайдера. Если это по каким-либо причинам нежелательно, то следует выполнить еще одну настройку. Перейдем в IP — Routes — Rules и создадим новое правило: Routing mark — ORA, Action — lookup only in table, Table — выберите имя, соответствующее вашей метке маршрутизации, в нашем случае также ORA.

Mikrotik-VPN-internet-006.png

В консоли для создания правила выполните:

/ip route rule
add action=lookup-only-in-table routing-mark=ORA table=ORA

Таким образом мы замкнем промаркированные пакеты в собственной таблице маршрутизации и при недоступности VPN-соединения эти сайты также окажутся недоступны. Через основного провайдера эти пакеты отправлены не будут.

Теперь самое время проверить, что все работает как надо. Мы не даром добавили в список сайт 2ip, перейдем на него и убедимся, что доступ к нему был осуществлен через наш VPN c выходом в США.

Mikrotik-VPN-internet-007.png

В дальнейшем вам потребуется только добавлять необходимые сайты в список, либо убирать из него. Также вы можете настроить несколько VPN-каналов с разными точками выхода и несколько таблиц маршрутизации, направляя пакеты к различным сайтам через разные туннели.

Онлайн-курс по MikroTik
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Дополнительные материалы:

Mikrotik
  1. Оборудование MikroTik класса SOHO. Общий обзор и сравнение возможностей
  2. Производительность младших моделей Mikrotik hEX и hAP. Экспресс-тестирование
  3. Базовая настройка роутера MikroTik
  4. Расширенная настройка DNS и DHCP в роутерах Mikrotik
  5. Автоматическое резервное копирование настроек Mikrotik на FTP
  6. Проброс портов и Hairpin NAT в роутерах Mikrotik
  7. Настройка IPTV в роутерах Mikrotik на примере Ростелеком
  8. Настройка VPN-подключения в роутерах Mikrotik
  9. Настройка черного и белого списков в роутерах Mikrotik
  10. Настройка выборочного доступа к сайтам через VPN на роутерах Mikrotik
  11. Настройка OpenVPN-сервера на роутерах Mikrotik
  12. Безопасный режим в Mikrotik или как всегда оставаться на связи
  13. Настройка Proxy ARP для VPN-подключений на роутерах Mikrotik
  14. Настраиваем Port Knocking в Mikrotik
  15. Резервирование каналов в Mikrotik при помощи рекурсивной маршрутизации
  16. Настраиваем родительский контроль на роутерах Mikrotik
  17. Настраиваем IKEv2 VPN-сервер на роутерах Mikrotik с аутентификацией по сертификатам
  18. Расширенная настройка Wi-Fi на роутерах Mikrotik. Режим точки доступа
  19. Mikrotik CHR — виртуальный облачный роутер
  20. Настройка контроллера CAPsMAN (бесшовный Wi-Fi роуминг) на Mikrotik
  21. Настройка VPN-подключения на роутерах Mikrotik если подсети клиента и офиса совпадают
  22. Настраиваем использование DNS over HTTPS (DoH) на роутерах Mikrotik
  23. Настройка PPTP или L2TP VPN-сервера на роутерах Mikrotik
  24. Установка Mikrotik CHR на виртуальную машину Proxmox
  25. Защита RDP от перебора паролей при помощи оборудования Mikrotik
  26. Настройка SSTP VPN-сервера на роутерах Mikrotik
  27. Настройка выборочного доступа к сайтам через VPN с автоматическим получением маршрутов по BGP на роутерах Mikrotik
  28. Особенности эксплуатации CA на роутерах Mikrotik: резервное копирование, экспорт и импорт сертификатов
  29. Настройка туннелей GRE и IPIP на роутерах Mikrotik
  30. Правильное использование Fast Path и FastTrack в Mikrotik
  31. DHCP Snooping — настройка защиты от неавторизованных DHCP-серверов на оборудовании Mikrotik
  32. Работа оборудования Mikrotik в режиме беспроводной станции (клиента)
  33. Используем режим ARP reply-only для повышения безопасности сети на оборудовании Mikrotik
The Dude
  1. The Dude. Установка и быстрое начало работы
  2. Централизованное управление обновлением RouterOS при помощи The Dude
  3. Централизованный сбор логов Mikrotik на сервер The Dude

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Поддержи проект!

Подпишись на наш Telegram-канал

Или подпишись на наш Телеграм-канал:

MikroTik.by

For every complex problem, there is a solution that is simple, neat, and wrong.

  • Список форумовФорум по операционной системе MikroTik RouterOSМаршрутизация, коммутация
  • Поиск

Проброс через VPN по address list

RIP, OSFP, BGP, MPLS/VPLS
7 сообщений • Страница 1 из 1
Dimonnov Сообщения: 4 Зарегистрирован: 07 янв 2024, 20:59

Проброс через VPN по address list

Сообщение Dimonnov » 07 янв 2024, 22:04

Всем привет
помогите разобраться не могу понять, что не так
дано
wan pppoe соединение
поднят туннель wireguard
создан список IP трафик на которые маркируется и пробрасывается через туннель

Проблема заключается в том, что не только маркированный трафик прет через туннель (не весь, а как-то выборочно), что вызывает проблемы

DAv 0.0.0.0/0 pppoe-out — main
DAc 10.2.0.0/30 wireguard-inet — main
DAC 100.101.*.*/32 pppoe-out — main
AS 128.0.0.0/1 10.2.0.1 — main
AS 146.70.*.*/52 pppoe-out — main
DAc 192.168.0.0/24 bridge 1 — main
As 0.0.0.0/0 10.2.0.1 — vpn

напишите какие настройки еще надо скинуть чтоб была понятна картина

Chupaka Сообщения: 3927 Зарегистрирован: 29 фев 2016, 15:26 Откуда: Минск Контактная информация:

Re: Проброс через VPN по address list

Сообщение Chupaka » 08 янв 2024, 00:26

Приветствую. Конфиг надо скинуть, чтобы понять, что у вас и как настроено: /export

А какой конкретно трафик туда идёт, но не должен — понятно?

Dimonnov Сообщения: 4 Зарегистрирован: 07 янв 2024, 20:59

Re: Проброс через VPN по address list

Сообщение Dimonnov » 08 янв 2024, 08:22

А чего не понятно то.

# 2024-01-08 07:24:53 by RouterOS 7.13 # software model = CRS125-24G-1S # serial number = 632105**** /interface bridge add name=bridge1 /interface ethernet set [ find default-name=ether16 ] advertise=\ 100M-baseT-half,100M-baseT-full,1G-baseT-half,1G-baseT-full /interface pppoe-client add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 user=\ 17010******@beltel.by /interface wireguard add listen-port=13231 mtu=1420 name=wireguard-inet /interface list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip pool add name=dhcp ranges=192.168.0.130-192.168.0.250 /ip dhcp-server add address-pool=dhcp interface=bridge1 name=dhcp1 /port set 0 name=serial0 /routing table add disabled=no fib name=vpn /interface bridge port add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=ether4 add bridge=bridge1 interface=ether5 add bridge=bridge1 interface=ether6 add bridge=bridge1 interface=ether7 add bridge=bridge1 interface=ether8 add bridge=bridge1 interface=ether9 add bridge=bridge1 interface=ether10 add bridge=bridge1 interface=ether11 add bridge=bridge1 interface=ether12 add bridge=bridge1 interface=ether13 add bridge=bridge1 interface=ether14 add bridge=bridge1 interface=ether15 add bridge=bridge1 interface=ether16 add bridge=bridge1 interface=ether17 add bridge=bridge1 interface=ether18 add bridge=bridge1 interface=ether19 add bridge=bridge1 interface=ether20 add bridge=bridge1 interface=ether21 add bridge=bridge1 interface=ether22 add bridge=bridge1 interface=ether23 add bridge=bridge1 interface=ether24 add bridge=bridge1 interface=sfp1 /ip neighbor discovery-settings set discover-interface-list=!dynamic /interface list member add interface=pppoe-out1 list=WAN add interface=bridge1 list=LAN /interface wireguard peers add allowed-address=0.0.0.0/0 endpoint-address=146.70.*.* endpoint-port=\ 51820 interface=wireguard-inet persistent-keepalive=25s public-key=\ "HKjdcdOwD434Dvj7wzN******4=" /ip address add address=192.168.0.100/24 interface=bridge1 network=192.168.0.0 add address=10.2.0.2/30 interface=wireguard-inet network=10.2.0.0 /ip dhcp-server network add address=192.168.0.0/24 dns-server=192.168.0.100 gateway=192.168.0.100 \ netmask=24 /ip dns set allow-remote-requests=yes servers=10.2.0.1,8.8.8.8 /ip firewall address-list add address=tmdb.org list=vpn add address=lidarr.audio list=vpn add address=themoviedb.org list=vpn add address=radarr.video list=vpn add address=api.themoviedb.org list=vpn add address=www.themoviedb.org list=vpn add address=Api.radarr.video list=vpn /ip firewall filter add action=accept chain=forward connection-state=established,related add action=accept chain=input connection-state=established,related add action=drop chain=forward comment=invalid connection-state=invalid \ in-interface-list=WAN add action=drop chain=input comment="\D1 \ED\E0\F0\F3\E6\E8 \ED\E0 mik" \ connection-state=invalid in-interface-list=WAN add action=accept chain=input comment=ping in-interface-list=WAN packet-size=\ 0-128 protocol=icmp add action=accept chain=input comment=openvpn dst-port=1194 \ in-interface-list=WAN protocol=tcp add action=drop chain=input comment=invalid connection-state=invalid \ in-interface-list=WAN add action=drop chain=forward comment="drop ditnast" connection-nat-state=\ !dstnat in-interface-list=WAN /ip firewall mangle add action=mark-routing chain=prerouting in-interface=bridge1 \ new-routing-mark=vpn passthrough=no src-address-list=vpn /ip firewall nat add action=masquerade chain=srcnat out-interface=wireguard-inet src-address=\ 192.168.0.0/24 add action=masquerade chain=srcnat out-interface-list=WAN /ip route add disabled=no distance=1 dst-address=0.0.0.0/1 gateway=10.2.0.1 pref-src="" \ routing-table=vpn scope=30 suppress-hw-offload=no target-scope=10 add disabled=no distance=1 dst-address=128.0.0.0/1 gateway=10.2.0.1 pref-src=\ "" routing-table=main scope=30 suppress-hw-offload=no target-scope=10 add disabled=no distance=1 dst-address=146.70.161.162/32 gateway=pppoe-out1 \ pref-src="" routing-table=main scope=30 suppress-hw-offload=no \ target-scope=10 /lcd interface pages set 0 interfaces="ether1,ether2,ether3,ether4,ether5,ether6,ether7,ether8,ethe\ r9,ether10,ether11" /routing rule add action=lookup-only-in-table disabled=no routing-mark=vpn table=vpn /system clock set time-zone-name=Europe/Minsk /system identity set name=MikroTik24G /system note set show-at-login=no 

Мне нужно только трафик с листа завернуть в впн
сейчас например (из быстрого)

2 сайта в одном браузере первый валит через туннель другой нормально

Вложения Снимок экрана 2024-01-08 в 08.15.49.png (95.79 КБ) 3994 просмотра Снимок экрана 2024-01-08 в 08.13.59.png (55.09 КБ) 3994 просмотра

Chupaka Сообщения: 3927 Зарегистрирован: 29 фев 2016, 15:26 Откуда: Минск Контактная информация:

Re: Проброс через VPN по address list

Сообщение Chupaka » 08 янв 2024, 09:59

Ага, вы DNS-имена в Address List добавляете. Посмотрите, к какому IP-адресу обращается браузер (через Developer Tools, например) при открытии 2ip — и гляньте, нет ли его в адрес-листе. Может, адреса чудом пересекаются с каким-то сайтом в списке %)

Dimonnov Сообщения: 4 Зарегистрирован: 07 янв 2024, 20:59

Re: Проброс через VPN по address list

Сообщение Dimonnov » 08 янв 2024, 16:47

и не близко

Вложения Снимок экрана 2024-01-08 в 16.44.14.png (19.82 КБ) 3987 просмотров Снимок экрана 2024-01-08 в 16.44.39.png (20.37 КБ) 3987 просмотров

Dimonnov Сообщения: 4 Зарегистрирован: 07 янв 2024, 20:59

Re: Проброс через VPN по address list

Сообщение Dimonnov » 08 янв 2024, 16:55

то-же самое с поисковыми запросами
то через туннель, то нет
ютуб то-же самое
Chupaka Сообщения: 3927 Зарегистрирован: 29 фев 2016, 15:26 Откуда: Минск Контактная информация:

Re: Проброс через VPN по address list

Сообщение Chupaka » 09 янв 2024, 00:47

А, что у вас там за маршрут такой хитрый к 128.0.0.0/1 в main через VPN? Это примерно половина Интернета и есть %)

7 сообщений • Страница 1 из 1

  • Форум по операционной системе MikroTik RouterOS
  • ↳ Общие вопросы
  • ↳ Маршрутизация, коммутация
  • ↳ Беспроводная связь
  • ↳ Скрипты
  • ↳ The Dude
  • Форум по форуму =)
  • Список форумов
  • Часовой пояс: UTC+03:00
  • Удалить cookies
  • Связаться с администрацией

Создано на основе phpBB® Forum Software © phpBB Limited

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *