Микротик обходит блокировку провайдера

Обновлено: 03.07.2024

Как запретить людям доступ к YouTube (и другим сайтам).

Фон

Моя семья скоро уезжает в отпуск, и я возьму с собой роутер Mikrotik с телефоном Android и подключением к Интернету 4G. Это даст нам доступ в Интернет для ноутбуков и настольных компьютеров.

Однако мои дети (и взрослые, если быть честными с самими собой) любят смотреть видео на YouTube. Но они понятия не имеют, сколько данных они могут потреблять, и в Австралии не существует такой вещи, как безлимитный (или даже «неограниченный», но не совсем безлимитный) мобильный интернет.

Я хочу, чтобы мой Mikrotik блокировал доступ к небольшому количеству видеосайтов. Те, к которым тянутся мои дети: YouTube, Netflix и iView.

Было бы неплохо, если бы Решение можно было принести домой, чтобы я мог выгнать детей с видеосайтов, но при этом позволить им делать домашнее задание, размещенное на других доменах.

У меня дома есть IPv6, поэтому Решение нужно применить и к IPv6.

Прежде чем дать какие-либо ответы, нужно немного подумать. Если вы знаете, что происходит, когда вы переходите на веб-сайт, то сможете лучше понять различные способы определения трафика, идущего на них, и то, как вы можете блокировать этот трафик.

(Для тех, кто любит детализировать до абсурдного количества деталей, я думаю только о сети. Извините, если вы надеялись на анализ нажатий клавиш.)

Варианты блокировки веб-сайтов

  • Воронка DNS
  • Брандмауэр + списки адресов
  • Брандмауэр + хост TLS + прозрачный прокси-сервер
  • Брандмауэр + протоколы уровня 7

Как я буду оценивать:

Большое предостережение относительно VPN: если устройства в вашей сети используют VPN, ни один из этих вариантов не будет эффективным. Вам также придется заблокировать провайдеров VPN (и я сегодня не буду об этом)! Но в этом и смысл VPN — создать безопасный туннель из одного места в другое.

Блокировать с помощью DNS Sinkhole

DNS Sinkhole

На самом деле есть штука под названием Pi-Hole, которая использует именно этот метод для блокировки рекламы.

(Кстати, тот факт, что это может сделать любой, является одной из самых больших дыр в безопасности Интернета! Есть предложения, такие как DNSSEC, чтобы закрыть эту дыру с помощью волшебного шифрования, но их внедрение идет очень медленно.)

Как вы это делаете?

Большинство маршрутизаторов не позволяют добавлять произвольные записи DNS, они кэшируют только то, что сообщает им интернет-провайдер. Mikrotik выполняет кэширование, а также позволяет добавлять статические записи DNS.

Имя — это DNS-имя, которое вы хотите заблокировать, а адрес — это адрес, на который вы хотите направить трафик. То есть помойка. Если вы чувствуете себя умным, вы можете использовать регулярное выражение вместо имени (регулярные выражения меня смущают в лучшие времена, поэтому я придерживаюсь имен, но регулярное выражение - единственный способ сопоставить все субдомены).< /p>

Добавить запись DNS

Если вы используете Pi-Hole, воронка — это хороший веб-сервер, который показывает «вы не можете видеть это сообщение». Но для наших целей мы просто добавим новый IP-адрес к маршрутизатору и отклоним любой трафик, попадающий на него.

Плюсы, минусы и эффективность

Остановит ли это моих детей? В основном.

Работает с IPv6? - Да! Добавьте адрес IPv6 в DNS так же, как IPv4.

  • Довольно просто — пара правил брандмауэра и столько записей DNS, сколько нам нужно заблокировать.
  • Работает - отвечает всем моим требованиям.
  • Масштабы: любой сайт, который вы хотите заблокировать, просто добавьте его в DNS.
  • Все или ничего: заблокированы либо все, либо никто. Вы не можете разрешить один компьютер и заблокировать другой.
  • Довольно легко обойти блокировку — просто настройте DNS-серверы на своем компьютере на Quad9, Cloudflare DNS или общедоступный DNS Google, и вы обойдете блокировку.
  • Двойная запись: вам нужно добавить адреса IPv4 и IPv6 для всего, что вы хотите заблокировать.

Блокировка с помощью правил брандмауэра и списков адресов

К счастью, мы можем добавлять имена в список адресов брандмауэра. И это автоматически преобразует имена в IP-адреса для нас.

Ширина

Правила блокировки YouTube

Как вы это делаете?

Если вы хотите покрыть IPv6 (как я), просто сделайте то же самое и в брандмауэре IPv6.

Адрес брандмауэра Список с YouTube

Плюсы, минусы и эффективность

Остановит ли это моих детей? – Нет.

Работает с IPv6? – Да, но вам нужно добавить отдельные правила для брандмауэра IPv6.

  • Просто — пара правил брандмауэра и столько адресов, сколько нам нужно заблокировать.
  • Масштаб — добавьте сайты, которые вы хотите заблокировать, в список адресов брандмауэра.
  • Гранулярный — можно использовать правила брандмауэра, чтобы пропускать одни устройства и блокировать другие.
  • Безопасность: любой трафик, проходящий через брандмауэр, блокируется.
  • Работает - отвечает всем моим требованиям.
  • Списки адресов не поддерживают регулярные выражения, а это означает, что вы должны указать все имена сайтов, которые хотите заблокировать.
  • Отсутствие регулярных выражений означает, что вы не можете заблокировать целые поддомены, что делает это неэффективным против сайтов рекламы/отслеживания.

Это не сработало для YouTube и имело непреднамеренные побочные эффекты для iView.

Проблема с YouTube заключается в том, что динамические имена брандмауэров никогда не охватывают все необходимые IP-адреса. Либо срок действия динамических адресов истек слишком быстро и они не обновлялись, либо в брандмауэр было добавлено недостаточно адресов. Таким образом, он действительно хорошо блокировался в течение примерно 5 минут, затем примерно в 50% случаев в течение следующих 15 минут и менее чем в 50 % после этого.

У ABC iView не было этой проблемы, потому что у него было всего несколько IP-адресов, поэтому динамические адреса работали и эффективно блокировались. К сожалению, тот же IP-адрес, на котором размещен iView, также содержит контент для Android-приложения ABC News. Таким образом, блокировка iView по IP-адресу также блокирует мой основной выпуск новостей.

Блокировать с помощью правил брандмауэра и хоста TLS + прозрачного прокси

Одно предостережение: брандмауэр просматривает отдельные сетевые пакеты, и если имя хоста TLS разбивается на несколько пакетов, это не сработает. (Я не знаю, насколько это вероятно — на первый взгляд кажется маловероятным, но как знать).

Как вы это делаете?

В любом случае, вот несколько советов для начала.

Во-первых, вам необходимо активировать веб-прокси на своем маршрутизаторе (или разместить его на другом компьютере). Кроме того, есть некоторые специальные правила брандмауэра, необходимые для части прозрачного прокси. После того, как прокси-сервер установлен, в разделе Доступ появляется раздел, похожий на правило брандмауэра, который позволяет разрешать/запрещать доступ к веб-сайтам.

Хост TLS — это поле в разделе Правила брандмауэра -> вкладка "Дополнительно". Вы просто добавляете доменное имя, которому должно соответствовать правило. И вы можете включить регулярные выражения для соответствия поддоменам.

Firewall TLS Host

Плюсы, минусы и эффективность

Остановит ли это моих детей? – Ненадежно.

Работает с IPv6? – Да, но вам нужно добавить отдельные правила для брандмауэра IPv6.

  • Масштаб — добавьте сайты, которые вы хотите заблокировать, в список адресов брандмауэра или веб-прокси.
  • Гранулярный — можно создавать правила для разрешения и запрета на основе IP-адреса.
  • Может использовать регулярное выражение для хостов TLS.
  • Довольно сложно по сравнению с другими вариантами.
  • Приходится добавлять сайты в две совершенно разные части маршрутизатора.
  • Не проверено.

Блокировать с помощью правил брандмауэра и протоколов уровня 7

Когда я сначала искал «Веб-сайт Mikrotik Block», я нашел руководства по протоколам уровня 7. Поэтому я посмотрел руководство Mirotik для протоколов уровня 7 (никогда их раньше не использовал). И нашел это:

Похоже, я не хотите использовать протоколы уровня 7

Очевидно, что протоколы уровня 7 применяют регулярное выражение к первым 10 пакетам / 2 КБ каждого сетевого потока. Что потребляет стек ЦП/памяти на вашем маршрутизаторе.

Итак, я не буду проверять это, потому что есть другие руководства, если вы хотите пойти по этому пути.

И я действительно прислушаюсь к предупреждению о том, что «не используйте это для блокировки веб-сайтов по URL-адресу».

Как узнать, какие домены нужно заблокировать?

Инструменты разработчика

Вы можете использовать инструменты разработчика браузера, которые часто активируются нажатием F12.

Во всех браузерах есть набор инструментов для веб-разработчиков (таких как я!), которые позволяют вам заглянуть за кулисы. Особый интерес для нас представляет вкладка «Сеть», в которой перечислены все активы, загруженные на страницу. Это изображения, видео, стили, JavaScript и т. д.

Разработчик браузера Экран - вкладка

К сожалению, не всегда очевидно, что следует блокировать, а что нет. Будут некоторые действительно очевидные вещи, которые нужно заблокировать, некоторые серьезные возможности, а затем множество вопросительных знаков.

Моя политика такова: начните с очевидного и посмотрите, сможет ли целеустремленный пользователь (например, мои дети) пройти мимо этого. Если они могут, выберите еще несколько вещей, которые нужно заблокировать.

Чужой список

В качестве альтернативы вы можете скачать/купить чужой список, или чужой, или еще один. На самом деле существует целая куча сайтов, поддерживающих списки вредоносных программ и рекламы, которые можно заблокировать.

Я блокирую только для короткого семейного отдыха, поэтому я не расстаюсь с деньгами, когда могу потратить 30 минут, чтобы разобраться с этим для себя. И, в конце концов, я блокирую только несколько сайтов ОС.

Заключение

Я выбрал параметр Списки адресов брандмауэра для блокировки YouTube. Кроме того, использование правил брандмауэра на основе TLS Host для блокировки поддоменов с видеоконтентом. Это должно поддерживать мое использование Интернета в отпуске на приемлемом уровне.

После того, как я отправился в отпуск и несколько месяцев тестировал различные методы, я в итоге перешел на воронку DNS для блокировки. Это работает очень хорошо, и его довольно легко быстро включать и выключать.

Вариант DNS-заглушки хорошо подходит для блокировки рекламы и отслеживания сайтов. И Pi-Hole выглядит лучшим способом справиться с этим.

Чт, 26 апр. 2018 г., 13:22

Чт, 26 апр. 2018 г., 14:17

Вам потребуется служба VPN. Некоторые провайдеры работают только с клиентскими устройствами, а другие позволяют настроить маршрутизатор так, чтобы все или часть вашего устройства использовали VPN. Вам нужно будет найти лучшего поставщика, который соответствует вашим потребностям.

Чт, 26 апр. 2018 г., 15:19

Например, представьте, что интернет-провайдер заблокировал ваш лучший VPN-пул или попытался заблокировать любые VPN-сервисы, работающие по защищенным протоколам:\ Что вы можете сделать?

Чт, 26 апр. 2018 г., 15:41

Но мне кажется, что их бизнес-модель должна быть основана на предоставлении дешевого или бесплатного соединения в обмен на кормление вас рекламой, поэтому они, вероятно, будут следить, не обходите ли вы его каким-либо образом, и отключат вас, если вы делаете, поскольку такая бизнес-модель должна быть хорошо защищена от умных пользователей, чтобы работать.

Не пишите романы, опубликуйте /export hide-sensitive file=x. Используйте функцию поиска и замены в своем любимом текстовом редакторе, чтобы систематически заменять все вхождения каждого общедоступного IP-адреса, потенциально идентифицирующего вас по отличительному шаблону, такому как my.public.ip.1.

Чт, 26 апр. 2018 г., 15:50

Но мне кажется, что их бизнес-модель должна быть основана на предоставлении дешевого или бесплатного соединения в обмен на кормление вас рекламой, поэтому они, вероятно, будут следить, не обходите ли вы его каким-либо образом, и отключат вас, если вы делаете, поскольку такая бизнес-модель должна быть хорошо защищена от умных пользователей, чтобы работать.

нет, все делается просто. Похоже на перенаправление на страницу внимания, где можно увидеть информацию о нехватке денег.
Их перенаправление с изменением адресной строки..

И я не совсем уверен, что это простая переадресация, похоже на spymarker

Чт, 26 апр. 2018 г., 16:47

Не пишите романы, опубликуйте /export hide-sensitive file=x. Используйте функцию поиска и замены в своем любимом текстовом редакторе, чтобы систематически заменять все вхождения каждого общедоступного IP-адреса, потенциально идентифицирующего вас по отличительному шаблону, такому как my.public.ip.1.

Чт, 26 апр. 2018 г., 17:15

Пт, 27 апр. 2018 г., 00:33

Например, представьте, что интернет-провайдер заблокировал ваш лучший VPN-пул или попытался заблокировать любые VPN-сервисы, работающие по защищенным протоколам:\ Что вы можете сделать?

  • Тор
  • обфусцированный Tor (мосты Tor)
  • SSH-туннель через бесплатную учетную запись оболочки Unix
  • сменить провайдера VPN
  • сменить интернет-провайдера
  • Виртуальный сервер и запустите ssh + stunnel + shadowsocks (или просто установите через Streisand)
  • повторно сменить провайдера
  • VPN для бизнеса

Пт, 27 апреля 2018 г., 2:44

нет, все делается просто. Похоже на перенаправление на страницу внимания, где можно увидеть информацию о нехватке денег.
Их перенаправление с изменением адресной строки.

В этом случае ПЛАТИТЕ за свои услуги и не пытайтесь их украсть.

Я поддерживаю полный доступ ко всему, что вы хотите получить в Интернете, если вы платите за услугу!

Одна из многих вещей, для которых вы можете использовать маршрутизатор Mikrotik, — это запрет пользователям доступа к таким веб-сайтам, как Facebook, YouTube и всем веб-сайтам для взрослых в рабочее время. Делая это, вы экономите значительную часть пропускной способности вашей организации для законного трафика, такого как электронная почта, звонки по Skype, бронирование отелей, онлайн-торги, и это лишь некоторые из них. Но что происходит, когда ошибка конфигурации позволяет пользователям обойти ваши политики и получить доступ к этим веб-сайтам? В этой демонстрации я поделюсь с нами тем, как пользователь может обойти фильтрацию Mikrotik уровня 7 и получить доступ к заблокированным веб-сайтам в результате безобидной ошибки сетевого администратора.

Я сделал несколько сообщений о том, как блокировать веб-сайты с помощью маршрутизаторов Mikrotik, но ради этого сообщения я буду работать над созданием правила Mikrotik уровня 7 для блокировки веб-сайтов, укажу на ошибку, которая может позволить пользователям получить доступ к этим заблокированным сайтам через VPN и, наконец, показать нам, как сделать так, чтобы пользователи не смеялись последними.

При попытке заблокировать доступ к некоторым веб-сайтам на маршрутизаторе Mikrotik необходимо сделать две вещи: создать протокол уровня 7 со списком всех веб-сайтов, которые необходимо заблокировать, и настроить правило запрета брандмауэра, которое будет использовать уровень 7. протокол. Безобидная ошибка обычно заключается в правиле брандмауэра. Я называю это безвредным, потому что все работает хорошо, пока к вашей сети не подключится умный пользователь.

Создание протокола Mikrotik уровня 7

Чтобы создать протокол уровня 7, перейдите на уровень ip >> firewall >> и введите коды, как показано на изображении ниже:

обход фильтрации уровня 7 Mikrotik

Создание правила фильтрации брандмауэра Mikrotik

Далее мы настроим правило фильтрации брандмауэра, чтобы использовать протокол уровня 7, описанный выше. Для этого мы идем в IP >> брандмауэр >> фильтр и добавляем правила, как показано на изображении ниже. Остерегайтесь этой ошибки. См. ниже:

обход фильтрации уровня 7 Mikrotik

Нажмите на действие и выберите "Удалить".

обход фильтрации уровня 7 Mikrotik

Или просто введите следующие коды: /ip firewall filter add chain=forward src-address=192.168.1.0/24 layer7-protocol=xxx action drop

Приведенное выше правило будет блокировать веб-сайты на основе исходного IP-адреса. Пока IP-адрес пользователя находится в подсети 192.168.1.0/24, этот пользователь не будет иметь доступа к веб-сайтам, перечисленным в протоколе уровня 7. Хорошо, теперь это имеет смысл. Но что происходит, когда пользователь решает использовать VPN? Ага, ВПН. В сети есть много бесплатных VPN. Пользователь может легко загрузить любой из них и запустить его, а его исходный IP-адрес изменится на что-то другое. Что происходит тогда? Я попробовал это и получил неограниченный доступ к заблокированным сайтам при использовании VPN (VPN Matser).

Безобидная ошибка

Отказ пользователей в доступе к некоторым веб-сайтам на Mikrotik не заканчивается просто настройкой правила фильтрации брандмауэра и протокола уровня 7, как показано выше, за исключением того, что вы считаете, что ваши пользователи недостаточно умны, чтобы загрузить один из сотен доступных бесплатных VPN. онлайн. Именно здесь большинство сетевых администраторов ошибаются. Вам необходимо настроить дополнительные правила фильтрации брандмауэра, чтобы пользователи не использовали vpn для обхода правил, созданных выше.

Создание правил, блокирующих использование vpn на роутерах Mikrotik.

Мы создадим дополнительные правила фильтрации брандмауэра для блокировки следующих протоколов: ipsec-esp, ipsec-ah, gre и ipip

/IP фильтр брандмауэра

добавить цепочку=протокол пересылки=50(ipsec-esp) out-interface=ether1 action=drop

добавить chain=forward protocol=51(ipsec-ah) out-interface=ether1 action=drop

добавить chain=forward protocol=47(gre) out-interface=ether1 action=drop

добавить цепочку=протокол пересылки=94(ipip) out-interface=ether1 action=drop

обход фильтрации уровня 7 Mikrotik

После этого vpn-подключения, инициированные из вашей сети, будут запрещены. Третье правило сделало это за меня; это правило, которое заблокировало использование VPN (VPN master) в моей сети и гарантировало, что у меня не будет доступа к заблокированным сетевым ресурсам через VPN.

Чтобы мои сообщения отправлялись вам напрямую через emai, подпишитесь на этот блог, нажав кнопку подписки, а также подпишитесь на мой канал Youtube, лайкните мою страницу в Facebook и следите за новостями в Twitter.

АдамZS

Хорошо, я переадресовал порты на своем маршрутизаторе, но когда я проверяю, открыт ли мой порт, он говорит, что мой порт закрыт, и причина этого в том, что "время ожидания соединения истекло". Я попытался создать новые правила в Защитнике Windows для правил входящего и исходящего трафика и разрешить определенным программам полный контроль над моим компьютером. Я попытался изменить настройки маршрутизатора так, чтобы скорость Интернета была выше, потому что изначально я думал, что причина, по которой время ожидания соединения истекло, заключается в том, что у меня медленный Интернет, но безрезультатно.

Я предполагаю, что провайдер блокирует порты? (Порты 2000 - 4000). Если да, то кто-нибудь знает, как обойти это, не связываясь с ними? Возможно, я мог бы использовать VPN, но я не знаю, как это сделать.

О, и мой маршрутизатор — TP-Link Archer C7 версии 4.0, если это поможет!

bill001g

Титан

Позвоните своему интернет-провайдеру и узнайте, предлагают ли они общедоступный IP-адрес. Иногда они упакованы со статическим ip. На самом деле вам все равно, изменится ли IP-адрес, но ваш IP-адрес должен быть общедоступным.

Некоторые интернет-провайдеры вообще не предлагают этого. Другая плата за это. Был редкий случай, когда я видел, как кто-то публиковал сообщения, которые провайдер дал ему бесплатно, когда он просил.

bill001g

Титан

Маловероятно, что они блокируют какой-то случайный диапазон номеров портов. Если они блокируют, они блокируют вещи, чтобы защитить глупых людей от самих себя. Они заблокируют некоторые распространенные порты Microsoft для идиотов, которые настроят открытый общий доступ на компьютере с прямым подключением.

Ошибиться довольно легко, поскольку ни один маршрутизатор не выполняет переадресацию портов одинаково. Я бы попробовал вариант DMZ, так как его практически невозможно настроить неправильно.

Самая распространенная причина, по которой переадресация портов не работает, заключается в том, что у вас нет общедоступного IP-адреса.

Убедитесь, что IP-адрес, который вы видите в настройках wan-порта вашего маршрутизатора, совпадает с IP-адресом, который вы видите на экране типа whatsmyip. Если они разные, у интернет-провайдера есть маршрутизатор на пути, выполняющем NAT. Вы не можете установить правила переадресации портов на этот маршрутизатор, поэтому у вас нет возможности принимать входящие сеансы.

Существуют инструменты обхода DPI, такие как GoodByeDPI и GreenTunnel (с красивым графическим интерфейсом), которые мы можем использовать на отдельных устройствах или, если у нас есть маршрутизатор на базе Linux, на всей сети:

GitHub — ValdikSS/GoodbyeDPI: GoodbyeDPI — утилита обхода Deep Packet Inspection (для Windows)

GoodbyeDPI — утилита обхода Deep Packet Inspection (для Windows) — GitHub — ValdikSS/GoodbyeDPI: GoodbyeDPI — утилита обхода Deep Packet Inspection (для Windows)

GitHub — SadeghHayeri/GreenTunnel: GreenTunnel — это антицензурная утилита, предназначенная для обхода системы DPI, которая используется различными интернет-провайдерами для блокировки доступа к определенным веб-сайтам.

GreenTunnel – это антицензурная утилита, предназначенная для обхода системы DPI, которую используют различные интернет-провайдеры для блокировки доступа к определенным веб-сайтам. – GitHub – СадегХайери/GreenTunnel: GreenTunne.

GitHub - болван/запрет: Обход DPI в linux

GitHub — krlvm/PowerTunnel: простое, масштабируемое, кроссплатформенное и эффективное решение против государственной цензуры

Простое, масштабируемое, кроссплатформенное и эффективное решение против государственной цензуры — GitHub — krlvm/PowerTunnel: Простое, масштабируемое, кроссплатформенное и эффективное решение против государственной цензуры.

Однако очень сложно установить что-либо из этого на Mikrotik.

В этом «руководстве» я покажу, как маршрутизировать определенные веб-сайты через PPTP VPN на MikroTik, используя метки пакетов.

Примечания:
1. Это никоим образом не улучшает нашу конфиденциальность, единственным трафиком, который будет проходить через VPN, будут сайты, указанные
2. PPTP больше не является безопасным протоколом, но он снижает нагрузку на производительность и его очень легко настроить на MikroTik

Шаги:
1. Получите «бесплатный» вход в PPTP VPN, используя такой сайт, как Free VPN • 100% бесплатный сервис PPTP и OpenVPN или бесплатный VPN — бесплатный анонимный сервис OpenVPN. Обратите внимание, что эти сайты могут регистрировать наши попытки подключения и менять свои пароли каждые одну-две недели. В качестве альтернативы мы можем заплатить за VPN с поддержкой PPTP, например PIA, IPVanish или ExpressVPN. Некоторые провайдеры, такие как NordVPN, к сожалению, прекратили поддержку PPTP. Мы также можем настроить собственный VPN на VPS, таком как DigitalOcean, Vultur или AWS, с помощью простых скриптов, таких как bedefaced/vpn-install
2. В MikroTik Winbox перейдите в раздел «Интерфейсы»> нажмите на синий знак «+»> «Клиент PPTP»

1.PNG


3. Введите детали PPTP, которые мы получили на первом шаге, не добавляйте маршрут по умолчанию, так как по какой-то причине мы не можем добавить к нему метку подключения. В моем случае я использую сингапурский сервер IPVanish VPN, так как у них нет никакой цензуры и у них самая низкая задержка среди всех серверов (кроме Индии).

3.jpg

  • Если мы используем VPNBook или FreeVPN, мы будем использовать сервер PPTP, указанный на их веб-сайте.
  • Если мы использовали сценарий, о котором я упоминал ранее, для создания собственного VPN-сервера PPTP, мы увидим имя пользователя и пароль PPTP, когда сценарий завершится
  • Вы можете убедиться, что ссылка PPTP работает, посмотрев в правый нижний угол окна клиента PPTP, там должно быть написано "Подключено".

2.jpg

14.jpg

4.jpg

5.jpg

6.jpg

7.jpg

  • В Winbox перейдите в раздел IP>Брандмауэр>Mangle>Нажмите синий значок «+» в левом верхнем углу окна брандмауэра.
  • Перейдите на вкладку "Дополнительно" и в разделе "Список адресов Dst", щелкните раскрывающийся список и выберите имя, которое мы дали списку адресов на 4-м шаге, в моем случае "заблокированные сайты".
  • Перейдите на вкладку "Действие", измените "Действие" с "принять" на "отметить маршрутизацию" и снимите флажок "Проход" в нижней части окна.
  • В поле "Новая маска маршрутизации" введите легко запоминающееся имя, в моем случае я ввел "pptp-vpn"

pla.jpg

  • Перейти к IP>Маршруты>Нажмите синий значок "+" в левом верхнем углу.
  • В "Шлюзе" выберите "pptp-out1" или имя, которое мы дали интерфейсу PPTP на первом этапе.
  • Измените «Маску маршрутизации» на ту, которую мы сделали на 5-м шаге, в моем случае это «pptp-vpn».

11.jpg

9.jpg

10.jpg

  • Перейти к IP>Брандмауэр в Winbox
  • Перейдите на вкладку "NAT" и нажмите синий значок "+" в левом верхнем углу окна.
  • Установите для параметра "Внешний интерфейс" значение "pptp-out1" или имя, которое мы дали PPTP-клиенту на первом этапе.
  • Перейдите на вкладку "Действие" и установите действие "Маскарад" в раскрывающемся списке.

12.jpg


Вы можете просто отключить правило маркировки Mangle, которое мы создали на 5-м шаге, чтобы отключить эту выборочную маршрутизацию.

Читайте также: