Обход для роутеров Микротик и NAS

Страницы :   Пред.  1, 2, 3, 4, 5, 6  След.

Ответить
Автор
Сообщение

SmHamster

Top Bonus 01* 300GB

Стаж: 10 лет 2 месяца

Сообщений: 18

SmHamster · 16-Янв-18 23:21 (11 месяцев назад, ред. 16-Янв-18 23:21)

[Цитировать] 

Добрый вечер!
Вроде разобрался с Микротиком, завелся прокси. Долго не мог догадаться, что надо в клиенте проксю прописать. )))
Настройки web-proxy:
скрытый текст
Но отваливаются все закачки с остальных трекеров. При этом пользуясь rto-proxy такой проблемы нет. В чём проблема? Где почитать?
[Профиль]  [ЛС] 

Moriturus

Стаж: 11 лет 2 месяца

Сообщений: 372

Moriturus · 17-Янв-18 02:06 (спустя 2 часа 45 мин.)

[Цитировать] 

SmHamster
Проблема в том, что вы видимо делаете сами не знаете что. Смысл включать прокси на маршрутизаторе, если сразу в клиенте можно указать?
[Профиль]  [ЛС] 

AJIJIADUH

Стаж: 8 лет 7 месяцев

Сообщений: 615

AJIJIADUH · 17-Янв-18 07:56 (спустя 5 часов)

[Цитировать] 

SmHamster
потому что это прокси только для рутрекера
[Профиль]  [ЛС] 

SmHamster

Top Bonus 01* 300GB

Стаж: 10 лет 2 месяца

Сообщений: 18

SmHamster · 17-Янв-18 13:34 (спустя 5 часов)

[Цитировать] 

Moriturus писал(а):
74619761SmHamster
Проблема в том, что вы видимо делаете сами не знаете что. Смысл включать прокси на маршрутизаторе, если сразу в клиенте можно указать?
Потому что компьютеров несколько. И на Ubuntu rto-proxy никак втулить не мог. Думал пусть Миктротик сам всё сделает.
AJIJIADUH писал(а):
74620332SmHamster
потому что это прокси только для рутрекера
Жаль, придётся rto-proxy юзать. Благо воткнул на Ubuntu кое-как.
[Профиль]  [ЛС] 

Гуфыч

Техническая помощь

Стаж: 7 лет 10 месяцев

Сообщений: 9111

Гуфыч · 18-Янв-18 15:29 (спустя 1 день 1 час)

[Цитировать] 

SmHamster писал(а):
74621616Потому что компьютеров несколько
Выключаете прокси во всех клиентах и вбиваете в New Terminal на Mikrotik (Открываем терминал в Winbox) только одну команду:
Код:
ip firewall nat add chain=dstnat action=dst-nat \ protocol=tcp src-address=192.168.88.0/24 dst-address=195.82.146.120/30 dst-port=80 \ to-addresses=163.172.167.207 to-ports=3128
[Профиль]  [ЛС] 

SmHamster

Top Bonus 01* 300GB

Стаж: 10 лет 2 месяца

Сообщений: 18

SmHamster · 18-Янв-18 20:42 (спустя 5 часов)

[Цитировать] 

Гуфыч
Ура! Спасибо!


Сообщения из этой темы [9 шт.] были выделены в отдельную тему lmaylo [id: 39904472] (0)
Гуфыч
[Профиль]  [ЛС] 

B3ND3R

Стаж: 12 лет 1 месяц

Сообщений: 139


B3ND3R · 10-Мар-18 10:22 (спустя 1 месяц 22 дня)

[Цитировать] 

Добрый день!
Работает ли данный способ еще? А то одно время работал, а теперь нет. Сам рутинг макетов срабатывает, но анонсер возвращает вот это:
"Файл удален по запросу РосКомНадзора"\
Какой прокси использовать?
[Профиль]  [ЛС] 

AJIJIADUH

Стаж: 8 лет 7 месяцев

Сообщений: 615

AJIJIADUH · 10-Мар-18 13:08 (спустя 2 часа 46 мин.)

[Цитировать] 

B3ND3R
всё работает и не прекращало
[Профиль]  [ЛС] 

B3ND3R

Стаж: 12 лет 1 месяц

Сообщений: 139


B3ND3R · 10-Мар-18 14:03 (спустя 55 мин.)

[Цитировать] 

AJIJIADUH
спасибо за информацию.
видимо, где-то что-то у меня временно не работало, только что проверил и все работает как и раньше.
[Профиль]  [ЛС] 

ObScEnEman

Стаж: 11 лет 3 месяца

Сообщений: 4

ObScEnEman · 14-Май-18 16:19 (спустя 2 месяца 4 дня, ред. 14-Май-18 16:19)

[Цитировать] 

я на микротике решил двумя правилами, мне так удобней.

Роутер помечает соединение до адресов из подсети Рутрекера, а потом натит (переадресовывает) запрос на прокси из темы Работает для всех подсетей, чей трафик обрабатывает Firewall микротика.
p.s. Из NAS Synology стал проходить запрос на трекер, через встроенный Transmission.
[Профиль]  [ЛС] 

Moriturus

Стаж: 11 лет 2 месяца

Сообщений: 372

Moriturus · 14-Май-18 16:37 (спустя 18 мин.)

[Цитировать] 

ObScEnEman
Очередной велосипед, причём кривее, чем предыдущие решения из темы.
[Профиль]  [ЛС] 

ObScEnEman

Стаж: 11 лет 3 месяца

Сообщений: 4

ObScEnEman · 14-Май-18 18:03 (спустя 1 час 26 мин.)

[Цитировать] 

Moriturus писал(а):
75351779ObScEnEman
Очередной велосипед, причём кривее, чем предыдущие решения из темы.
и что же такого кривого в маркировке пакетов? где конструктивная критика?
[Профиль]  [ЛС] 

Moriturus

Стаж: 11 лет 2 месяца

Сообщений: 372

Moriturus · 14-Май-18 23:23 (спустя 5 часов, ред. 14-Май-18 23:23)

[Цитировать] 

Кривизна в том, что оно просто не нужно, лол. Нужен список адресов с доменами трекеров и одно правило NAT.
Завтра поменяются адреса трекеров и вы побежите переделывать это всё. В теме уже всё обсуждено.
Вообще я не для вас писал, а чтобы другие не смотрели на ваше решение просто потому, что оно последнее.
[Профиль]  [ЛС] 

EvilAngel

Стаж: 11 лет 10 месяцев

Сообщений: 4


EvilAngel · 14-Июн-18 00:54 (спустя 30 дней, ред. 14-Июн-18 00:54)

[Цитировать] 

Помогите, пожалуйста, разобраться с проблемой с Микротиком.
Есть собственный vpn (OpenVPN), поднят тунель до него на Микротике. Есть правила, которые помечают трафик по доменному адресу, есть маршрут, который отправляет размеченный трафик через тунель.
Проблема — задержки в несколько секунд при открытии форума (терпимо), очень медленно скачиваются торрент-файлы и почти совсем не работает поиск.
По процессору не упираюсь ни на Микротике, ни на машине с OpenVPN.
Кто-то сталкивался с таким? Пока не очень понятно, куда копать.
[Профиль]  [ЛС] 

Moriturus

Стаж: 11 лет 2 месяца

Сообщений: 372

Moriturus · 16-Июн-18 16:52 (спустя 2 дня 15 часов)

[Цитировать] 

EvilAngel
MTU & MSS, log.
[Профиль]  [ЛС] 

Процессор

Стаж: 11 лет 3 месяца

Сообщений: 8


Процессор · 03-Июл-18 23:50 (спустя 17 дней, ред. 03-Июл-18 23:50)

[Цитировать] 

На THECUS n5550 предложенный механизм работает с небольшими уточнениями.
1. Включается SSH в WEB-интерфейсе, в разделе "Сетевые подключения" - "SSH". Поставить галочку "вкл." и "применить".
2. Далее можно заходить либо через putty либо через PowerShell (у меня Win10 -> вбить в поиск PowerShell -> ПКМ, запустить -> ввести команду "ssh 192.168.1.100 -l root", где 192.168.1.100 - IP NASа) . Логин root, пароль идентичен паролю администратора для входа в WEB-интерфейс. Пароль вводится "слепым" методом, поэтому не удивляться (на этом этапе я потерял минут 5, пока понял, что к чему, не без помощи гугла).
3. Далее вводим строку как в инструкции. У меня она выглядела так:
Цитата:
iptables -t nat -A OUTPUT -p tcp -m tcp --dport 80 -d 195.82.146.120/30 -j DNAT --to-destination 192.116.142.153:8080
Итог:

Жмем Enter и радуемся.
Для справки - NAS в связке с Netgear WNDRMACv2 (по сути тоже железо, что и WNDR3800). Настройка роутера не удалась...
Большое спасибо grumbler_eburg!!!
[Профиль]  [ЛС] 

Гуфыч

Техническая помощь

Стаж: 7 лет 10 месяцев

Сообщений: 9111

Гуфыч · 04-Июл-18 19:15 (спустя 19 часов)

[Цитировать] 

Процессор писал(а):
75615739192.116.142.153:8080
Ваш прокси без заголовков xf, используйте 163.172.167.207:3128
[Профиль]  [ЛС] 

6eJlblu

Стаж: 9 лет 6 месяцев

Сообщений: 2


6eJlblu · 09-Июл-18 13:14 (спустя 4 дня, ред. 09-Июл-18 13:14)

[Цитировать] 

EvilAngel писал(а):
75504186Помогите, пожалуйста, разобраться с проблемой с Микротиком.
Есть собственный vpn (OpenVPN), поднят тунель до него на Микротике. Есть правила, которые помечают трафик по доменному адресу, есть маршрут, который отправляет размеченный трафик через тунель.
Проблема — задержки в несколько секунд при открытии форума (терпимо), очень медленно скачиваются торрент-файлы и почти совсем не работает поиск.
По процессору не упираюсь ни на Микротике, ни на машине с OpenVPN.
Кто-то сталкивался с таким? Пока не очень понятно, куда копать.
А, вижу способ довольно распространенный )))
Микротик с OpenVPN работает по TCP протоколу, поэтому очень капризный к качеству (не скорости, а именно качеству) интернет канала. Плюс еще, если "собственный vpn (OpenVPN)", могу предположить, что это VPS, если так, то они очень не любят, когда на их VPS-ках строят прокси/маршрутизацию, могут резать траф на виртуалку. А еще могу вас послать на 3 буквы - MTU, иногда приходится там побывать самому при настройках ВПН-ов. Надо настраивать и подбирать на обеих сторонах туннеля, причем, как у интернет подключения, так и у самого туннеля.
Moriturus писал(а):
75353991Кривизна в том, что оно просто не нужно, лол. Нужен список адресов с доменами трекеров и одно правило NAT.
Завтра поменяются адреса трекеров и вы побежите переделывать это всё. В теме уже всё обсуждено.
Вообще я не для вас писал, а чтобы другие не смотрели на ваше решение просто потому, что оно последнее.
Ничего не кривизна, просто человек указал вместо доменного имени iP подсеть. Что мешает сделать обратное? Я не люблю прокси, много нюансов работы проксей, таких как кэш, работа с tls и ssl, внутренняя маршрутизация в самом прокси...это если брать собственноручный. Да и бывает нужно завернуть не только веб туда. Если брать бесплатные, как впрочем и множество ВПН-ов, коих куча в интернете, так лучше сразу напишите пин от своей кредитки на форуме, хоть будете знать, куда утекла информация. Сейчас и ssl трафик прекрасно расчесывается, а майнеры помогают расшифровывать хэши )))
[Профиль]  [ЛС] 

compgeniy

Top Bonus 05* 10TB

Стаж: 7 лет 9 месяцев

Сообщений: 541

compgeniy · 13-Июл-18 23:49 (спустя 4 дня)

[Цитировать] 

Чем хорош МИКРОТИК, настроил и забыл. Но есть и обратная сторона, надо порт прикрутить ещё один для клиента, придётся вспоминать, что да как.
Мой конфиг в теме выше, единственное что, к опубликованному конфигу, уже позже, прикрутил приоритезацию трафика, это что бы при 100% загрузки канала, странички быстро открывались, онлайн видео работало нормально и так далее.
Если кому нужен обновлённый конфиг с приоритезацией, в личку, поделюсь!
[Профиль]  [ЛС] 

adem4ik

Стаж: 11 лет 8 месяцев

Сообщений: 52

adem4ik · 18-Июл-18 19:32 (спустя 4 дня)

[Цитировать] 

скрытый текст
ObScEnEman писал(а):
75351665я на микротике решил двумя правилами, мне так удобней.

Роутер помечает соединение до адресов из подсети Рутрекера, а потом натит (переадресовывает) запрос на прокси из темы Работает для всех подсетей, чей трафик обрабатывает Firewall микротика.
p.s. Из NAS Synology стал проходить запрос на трекер, через встроенный Transmission.
Благодарю за решение, элегантно и просто!
[Профиль]  [ЛС] 

Процессор

Стаж: 11 лет 3 месяца

Сообщений: 8


Процессор · 21-Июл-18 13:32 (спустя 2 дня 17 часов)

[Цитировать] 

Гуфыч
Спасибо!
Обнаружил, что после перезагрузки NASа настройки не сохраняются. (
Можно ли как-то записать скрипт под BusyBox и сохранить куда-нибудь (например на жестокий диск) с автозапуском при загрузке?
[Профиль]  [ЛС] 

[email protected]@@@

Стаж: 4 года 11 месяцев

Сообщений: 23


[email protected]@@@ · 09-Ноя-18 18:47 (спустя 3 месяца 19 дней, ред. 09-Ноя-18 18:47)

[Цитировать] 

Код:
dstnat: in:bridge out:(unknown 0), src-mac XXXXXXXX, proto TCP (SYN), 192.168.1.101:49490->195.82.146.123:80, len 64
Вот такое микротик выдает при добавлении правила в нат,
проучаю отлуп от провайдера
[Профиль]  [ЛС] 

Гуфыч

Техническая помощь

Стаж: 7 лет 10 месяцев

Сообщений: 9111

Гуфыч · 10-Ноя-18 04:04 (спустя 9 часов)

[Цитировать] 

[email protected]@@@
Покажите весь конфиг, из консоли:
Код:
/export compact
[Профиль]  [ЛС] 

[email protected]@@@

Стаж: 4 года 11 месяцев

Сообщений: 23


[email protected]@@@ · 17-Ноя-18 12:50 (спустя 7 дней)

[Цитировать] 

Гуфыч писал(а):
76290561[email protected]@@@
Покажите весь конфиг, из консоли:
Код:
/export compact
Код:
# model = RouterBOARD 941-2nD
/interface bridge
add admin-mac=xxxxxxxx auto-mac=no comment=defconf name=bridge
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether2 network=192.168.1.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new \
    in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-address=195.82.146.120/30 dst-port=80 log=yes log-prefix=rutracker protocol=tcp src-address=192.168.1.0/24 \
    to-addresses=163.172.167.207 to-ports=3128
/ip firewall service-port
set tftp disabled=yes
set h323 disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh port=xxxxxx
set www-ssl disabled=no
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
/system clock
set time-zone-name=
/system routerboard settings
set cpu-frequency=600MHz silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Вот ответ микрота.Убрал только часть про беспроводную сеть.
Спасибо за вашу поддержку
[Профиль]  [ЛС] 

Гуфыч

Техническая помощь

Стаж: 7 лет 10 месяцев

Сообщений: 9111

Гуфыч · 17-Ноя-18 20:24 (спустя 7 часов)

[Цитировать] 

[email protected]@@@ писал(а):
76335100add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
Это уберите.
[Профиль]  [ЛС] 

[email protected]@@@

Стаж: 4 года 11 месяцев

Сообщений: 23


[email protected]@@@ · 18-Ноя-18 13:19 (спустя 16 часов)

[Цитировать] 

Гуфыч писал(а):
76337786
[email protected]@@@ писал(а):
76335100add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
Это уберите.
Задизэйблил правило,перезагрузил микрота.
В браузере все так же отлуп от провайдера
[Профиль]  [ЛС] 

adskiy abort

Top Bonus 05* 10TB

Стаж: 6 лет 11 месяцев

Сообщений: 143

adskiy abort · 18-Ноя-18 19:34 (спустя 6 часов)

[Цитировать] 

[email protected]@@@ писал(а):
76343526
Гуфыч писал(а):
76337786
[email protected]@@@ писал(а):
76335100add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
Это уберите.
Задизэйблил правило,перезагрузил микрота.
В браузере все так же отлуп от провайдера
Настроить микротик заново попробуйте..
[Профиль]  [ЛС] 

[email protected]@@@

Стаж: 4 года 11 месяцев

Сообщений: 23


[email protected]@@@ · 18-Ноя-18 20:34 (спустя 59 мин., ред. 18-Ноя-18 20:34)

[Цитировать] 

adskiy abort писал(а):
76345956
[email protected]@@@ писал(а):
76343526
Гуфыч писал(а):
76337786
[email protected]@@@ писал(а):
76335100add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
Это уберите.
Задизэйблил правило,перезагрузил микрота.
В браузере все так же отлуп от провайдера
Настроить микротик заново попробуйте..
Интересный метод...
Он месяц всего после нетинсталла.На дефолтных настройках.
Либо нужно добавить(убрать) еще что-то к указанному тут правилу для НАТа,
либо провайдер как то хитро блочит трекер
[Профиль]  [ЛС] 

Гуфыч

Техническая помощь

Стаж: 7 лет 10 месяцев

Сообщений: 9111

Гуфыч · 18-Ноя-18 20:54 (спустя 19 мин.)

[Цитировать] 

[email protected]@@@ писал(а):
76343526В браузере все так же отлуп от провайдера
В браузере кэш чистый?
Покажите
Код:
nslookup bt.t-ru.org
Пробовали прокси напрямую в клиент прописать или через iptables?Работает?
[email protected]@@@ писал(а):
76346340На дефолтных настройках
Много правил в фаерволе.У меня вот, пинг специально порезал:
скрытый текст
Код:
/ip firewall filter
add action=drop chain=input comment="drop echo request" icmp-options=8:0 in-interface=ether1 protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
[Профиль]  [ЛС] 

[email protected]@@@

Стаж: 4 года 11 месяцев

Сообщений: 23


[email protected]@@@ · 18-Ноя-18 21:27 (спустя 33 мин., ред. 18-Ноя-18 21:27)

[Цитировать] 

Гуфыч писал(а):
76346486
[email protected]@@@ писал(а):
76343526В браузере все так же отлуп от провайдера
В браузере кэш чистый?
Покажите
Код:
nslookup bt.t-ru.org
Пробовали прокси напрямую в клиент прописать или через iptables?Работает?
[email protected]@@@ писал(а):
76346340На дефолтных настройках
Много правил в фаерволе.У меня вот, пинг специально порезал:
скрытый текст
Код:
/ip firewall filter
add action=drop chain=input comment="drop echo request" icmp-options=8:0 in-interface=ether1 protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
Ради интереса задизэйбил все правила файрвола-не помогло.
Пошел путем логики и предположил что ip в правиле указан неверный-бинго!!!!
Вместо
Код:
ip firewall nat add chain=dstnat action=dst-nat \ protocol=tcp src-address=192.168.1.0/24 dst-address=195.82.146.120/30 dst-port=80 \ to-addresses=163.172.167.207 to-ports=3128
отрботало
Код:
ip firewall nat add chain=dstnat action=dst-nat \ protocol=tcp src-address=192.168.1.0/24 dst-address=195.82.146.214/30 dst-port=80 \ to-addresses=163.172.167.207 to-ports=3128
upd-не выделяет болдом в теге кода-адрес вместо 195.82.146.120 указал 195.82.146.214
причем 195.82.146.214 был получен у who.is
Код:
PING rutracker.org (195.82.146.214) 56(84) bytes of data.
--- rutracker.org ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4073ms
И все заработало в браузере.
При возврате к 195.82.146.120 опять отлуп от провайдера.
Но это только полпроблемы-главная теперь отображается,а вот логин через HTTPS
отваливается...Учетку не утащат при пользовании проксиком?
Еще один upd-как ни странно но
Код:
nslookup bt.t-ru.org
Server:  192.168.1.1
Address: 192.168.1.1#53
Non-authoritative answer:
Name: bt.t-ru.org
Address: 195.82.146.120
Ниче не понимаю....
[Профиль]  [ЛС] 
 
Ответить
Loading...
Error