Разблокируем интернет с помощью Mikrotik и VPN: подробный туториал +59



В этом пошаговом руководстве я расскажу, как настроить Mikrotik, чтобы запрещённые сайты автоматом открывались через этот VPN и вы могли избежать танцев с бубнами: один раз настроил и все работает.

В качестве VPN я выбрал SoftEther: он настолько же прост в настройке как и RRAS и такой же быстрый. На стороне VPN сервера включил Secure NAT, других настроек не проводилось.

В качестве альтернативы рассматривал RRAS, но Mikrotik не умеет с ним работать.  Соединение устанавливается, VPN работает, но поддерживать соединение без постоянных реконнектов и ошибок в логе Mikrotik не умеет.

Настройка производилась на примере RB3011UiAS-RM на прошивке версии 6.46.11.
Теперь по порядку, что и зачем.

1. Устанавливаем VPN соединение


В качестве VPN решения был выбран, конечно, SoftEther, L2TP с предварительным ключом. Такого уровня безопасности достаточно кому угодно, потому что ключ знает только роутер и его владелец.

Переходим в раздел interfaces. Сначала добавляем новый интерфейс, а потом вводим ip, логин, пароль и общий ключ в интерфейс. Жмем ок.



То же самое командой:

/interface l2tp-client
name="LD8" connect-to=45.134.254.112 user="Administrator" password="PASSWORD" profile=default-encryption use-ipsec=yes ipsec-secret="vpn"


SoftEther заработает без изменения ipsec proposals и ipsec profiles, их настройку не рассматриваем, но скриншоты своих профилей, на всякий случай, автор оставил.


Для RRAS в IPsec Proposals достаточно изменить PFS Group на none.

Теперь нужно встать за NAT этого VPN сервера. Для этого нам нужно перейти в IP > Firewall > NAT.

Тут включаем masquerade для конкретного, или всех PPP интерфейсов. Роутер автора подключен сразу к трём VPN’ам, поэтому сделал так:



То же самое командой:

/ip firewall nat
chain=srcnat action=masquerade out-interface=all-ppp


2. Добавляем правила в Mangle


Первым делом хочется, конечно, защитить все самое ценное и беззащитное, а именно DNS и HTTP трафик. Начнем с HTTP.

Переходим в IP > Firewall > Mangle и создаем новое правило.

В правиле, Chain выбираем Prerouting.

Если перед роутером стоит Smart SFP или еще один роутер, и вы хотите к нему подключаться по веб интерфейсу, в поле Dst. Address нужно ввести его IP адрес или подсеть и поставить знак отрицания, чтобы не применять Mangle к адресу или к этой подсети. У автора стоит SFP GPON ONU в режиме бриджа, таким образом автор сохранил возможность подключения к его вебморде.

По умолчанию Mangle будет применять свое правило ко всем NAT State’ам, это сделает проброс порта по вашему белому IP невозможным, поэтому в Connection NAT State ставим галочку на dstnat и знак отрицания. Это позволит нам отправлять по сети исходящий трафик через VPN, но все еще прокидывать порты через свой белый IP.


Далее на вкладке Action выбираем mark routing, обзываем New Routing Mark так, чтобы было в дальнейшем нам понятно и едем дальше.


То же самое командой:

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=HTTP passthrough=no connection-nat-state=!dstnat protocol=tcp dst-address=!192.168.1.1 dst-port=80


Теперь переходим к защите DNS. В данном случае нужно создать два правила. Одно для роутера, другое для устройств подключенных к роутеру.

Если вы пользуетесь встроенным в роутер DNS, что делает и автор, его нужно тоже защитить. Поэтому для первого правила, как и выше мы выбираем chain prerouting, для второго же нужно выбрать output.

Output это цепь которые использует сам роутер для запросов с помощью своего функционала. Тут все по аналогии с HTTP, протокол UDP, порт 53.



То же самое командами:

/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=DNS passthrough=no protocol=udp
add chain=output action=mark-routing new-routing-mark=DNS-Router passthrough=no protocol=udp dst-port=53


3. Строим маршрут через VPN


Переходим в IP > Routes и создаем новые маршруты.

Маршрут для маршрутизации HTTP по VPN. Указываем название наших VPN интерфейсов и выбираем Routing Mark.



На этом этапе вы уже почувствовали, как ваш оператор перестал встраивать рекламу в ваш HTTP трафик.

То же самое командой:

/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=HTTP distance=2 comment=HTTP


Ровно так же будут выглядеть правила для защиты DNS, просто выбираем нужную метку:


Тут вы ощутили, как ваши DNS запросы перестали прослушивать. То же самое командами:

/ip route
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS distance=1 comment=DNS
add dst-address=0.0.0.0/0 gateway=LD8 routing-mark=DNS-Router distance=1 comment=DNS-Router


Ну под конец, разблокируем Rutracker. Вся подсеть принадлежит ему, поэтому указана подсеть.


Вот настолько было просто вернуть себе интернет. Команда:

/ip route
add dst-address=195.82.146.0/24 gateway=LD8 distance=1 comment=Rutracker.Org


Ровно этим же способом, что и с рутрекером вы можете прокладывать маршруты корпоративных ресурсов и других заблокированных сайтов.

Автор надеется, что вы оцените удобство захода на рутрекер и корпоративный портал в одно и тоже время не снимая свитер.




Комментарии (72):

  1. pewpew
    /#21831988

    А можно такую-же, но без VPN, например, как в GoodbyeDPI? Цены бы не было.

      • Renaissance
        /#21834494

        Работает на OpenWRT без проблем, вообще красота. Никуда ничего не заворачивается (есть вариант с проксированием), все обрабатывается локально и никакие списки не нужны по сути. Моему провайдеру оказалось достаточно смены DNS и nfqws в простом режиме disorder или split.

        RouterOS конечно не поддерживает, но есть Metarouter… правда не уверен что это будет нормально работать.

        • 20ivs
          /#21848014

          Работать не будет совсем, т.к. относительно недавно Metarouter выпилили из RouterOS, к сожалению.

          • Renaissance
            /#21848046

            Странно, не вижу нигде в Changelog про удаление. В Stable и Testing MetaROUTER на месте. Про ROS7 ничего не могу сказать, но она еще не готова просто-напросто.

            • 20ivs
              /#21848106

              Действительно, не верно трактовал инфу в ветке об CCR1036. RB*** и HAP** это не касается, видимо. Дико извиняюсь.

    • ClearAirTurbulence
      /#21834780

      Для меня закгадка этот GoodbyeDPI. Сколько не пробовал на разных провайдерах, ни разу не работало…

      • Alligattor
        /#21835148

        Там есть несколько режимов и каждый можно проверить на своем провайдере, затем задействовать это как службу и радоваться. На Ростелекоме работает, на двух из воронежских провайдеров.

  2. maledog
    /#21832058

    Но возможно позже вы столкнетесь с проблемами при создании туннелей внутри вашего из-за малого MTU. Это общая проблема ppp/l2tp/pptp.

    • ferosod
      /#21832498 / +1

      Так ведь можно маршруты до нужных узлов пустить мимо VPN, чтобы туннель устанавливался напрямую. Это еще и на пропускную способность положительно повлияет.

  3. Tarakanator
    /#21832140 / +2

    А где в этом «подробном туториале» настройка сервера?

    • M0Peterson
      /#21834324

      настройка сервера в софтэзере достаточно простая

      гораздо больше смущает то, что софтэзер-протокол идет в комплекте с кучей оверхеда и достаточно медленно работает сам по себе, ну и в целом не сильно ясно зачем это все делать на роутере, если есть инструменты, которые работают на любых платформах

      • Tarakanator
        /#21839136

        хз, для меня линукс это уже не просто. Особенно когда вроде всё сделал, но не поднимается и хз с какой стороны ошибка.
        На данный момент я хочу настроить на роутере потому что:
        1)у меня дома 2 компьютера, ноутбук, 3 смартфона. Вопрос: что настроить проще 1 роутер или 6 устройств на разных ОС?
        2)если опыт будет признан успешным, можно легко поставить кому-то другому роутер микротик и настроить его аналогично.

  4. savostin
    /#21832452

    Одна проблема — если добавить в route все заблокированные сайты, Mikrotik может перегреться.

    • LAZst
      /#21832598 / +2

      А оно нужно? я поднимал через BGP IP всех сайтов с антифильтра,
      но в итоге убрал это всё и сделал через /ip firewall address-list только те которые нужны.
      В итоге у меня там болтается 10-20 IP и всё.

      Наткнулся на нужный заблокированный сайт -> внес туда, причём по доменному имени и не парюсь.)

      • savostin
        /#21832662

        А если наткнулась жена, а «администратор» на совещании/в командировке/в лесу?

        • Grey4ip
          /#21833320

          Включать VPN в Opera. :)

          • Vilos
            /#21839654

            Дак, так тогда можно и не городить весь этот огород.
            Воспользоваться вашим советом и все — профит.

  5. Sanctuary_s
    /#21832586

    https://antizapret.prostovpn.org/
    Ничего проще пока не придумали, если речь идёт о клиентской настройки.

    • vviz
      /#21832676 / +1

      Наживка выглядит очень привлекательно для обывателя…
      При VPN Ваш комп доступен со стороны чужого VPN сервера.
      При использовании proxy.pac Вы намеренно запускаете у себя в браузере чужой js код. При этом браузер будет дергать ссылку на pac при каждом запросе.
      Но ведь давно известо — бесплатный сыр бывает только в мышеловке, причем только для второй мышки.

      • Sanctuary_s
        /#21832752

        Что-то столько лет все пользуются, и ничего. Где же бесплатный сыр?

        • uldashev
          /#21833272

          Ничего, но в то же время все помнят историю про неуловимого Джо. Посмотрел реализацию antizapret, так себе решение, пускать вообще весь трафик через VPN сервер, зачем, открывать свой комп сети неизвестного провайдера, как то боязно, их хакнут, а достанется всем пользователям. То как предлагается в статье и надежнее, и удобнее, вся инфраструктура находится под контролем пользователя, через VPN только избранные узлы открываются, красота.

          • dartraiden
            /#21833922

            пускать вообще весь трафик через VPN сервер
            Это не так, через Antizaprer идёт только трафик до заблокированных ресурсов. Благодаря этому объём трафика остаётся достаточно небольшим для того, чтобы держать сервис бесплатным.

            удобнее
            Если говорить именно об удобстве, то отсутствие необходимости держать и оплачивать свой сервер — удобнее. Отсутствие необходимости пополнять список правил при столкновении с очередным заблокированным ресурсом — удобнее. Я, например, не люблю, когда проблема требует моего периодического участия. Предпочитаю решения «настроил и забыл».

            Перечисленные вами преимущества — это «безопаснее», но не «удобнее».

            • JPEGEC
              /#21834256

              Отсутствие необходимости пополнять список правил при столкновении с очередным заблокированным ресурсом — удобнее.

              Кому как. Лично мне удобнее самому решать какие правила пополнять. А какие оставить заблокированными.

              • ValdikSS
                /#21837380

                В реестре содержатся записи по IP-адресам и IP-диапазонам, которые то появляются, то исчезают. Сомневаюсь, что вы каждый раз вручную анализируете реестр и решаете, что добавить, а что не добавлять. А без проксирования этих адресов и диапазонов у вас некоторые, на первый взгляд не заблокированные сайты, могут либо не открываться вовсе, либо работать с перебоями, т.к., например, один из IP-адресов на домене периодически попадает в заблокированный диапазон.

                А сейчас еще и вререестровые блокировки появляются, которые были замечены, по меньшей мере, у Ростелекома и дом.ру.

                • JPEGEC
                  /#21838752

                  Сомневаюсь, что вы каждый раз вручную анализируете реестр и решаете, что добавить, а что не добавлять.

                  Все сильно проще, нужен ресурс — добавляю. Более того, стал ненужен — выкидываю. Никаких реестров я, разумеется, не анализирую.
                  Делать какие-то выводы по спискам которые не контролирую лично я, считаю неправильным. Эти клоуны могут завтра 127 или 192 прописать в реестр, и что тогда?
                  А сейчас еще и вререестровые блокировки появляются, которые были замечены, по меньшей мере, у Ростелекома и дом.ру.

                  Вот вот. Поэтому или руками, или на крайний случай анализ отдаваемого на шаблон запрета.

                  • ValdikSS
                    /#21839030

                    Все сильно проще, нужен ресурс — добавляю. Более того, стал ненужен — выкидываю. Никаких реестров я, разумеется, не анализирую.
                    Как вы изначально узнаете, заблокирован ли ресурс, или нет? При блокировке по IP-диапазонам никакой заглушки не показывается, просто трафик не доходит до адреса назначения. А если речь о домене, у которого заблокирована часть адресов, то он будет то работать, то нет.

                    • JPEGEC
                      /#21839198

                      Лично я регулярно вижу заглушку — «недоступен согласно роскомпозор ля-ля». Вот тогда и разблокирую.
                      Если уже известный мне ресурс стал недоступен, то проверяю его доступность через альтернативные каналы. Если там все ок, то добавляю в исключения.
                      Собственно модель поведения аналогична носкрипту — по умолчанию наглухо отключено, и только в случае полной не функциональности открываются минимальные доступы. Если ресурс хочет сильно многого, то ресурс просто посылается лесом.
                      У меня смутное чувство что мы на все это смотрим сильно с разных колоколен, и круг наших задач не очень совпадает.

        • vviz
          /#21833342

          Что-то столько то лет мыло наводнено тоннами спама. Вы стопроцентно уверены что Ваши хосты чисты? Болезнь легче предотвратить, чем вылечить.

          • dartraiden
            /#21833956

            25 порт провайдеры домашним пользователям закрывают. Лучше было бы в пример приводить DDoS, но не спам.

            • JPEGEC
              /#21834258

              Это где такое? Никогда не сталкивался.

      • dartraiden
        /#21833946

        При VPN Ваш комп доступен со стороны чужого VPN сервера.
        Нет
        image

      • ValdikSS
        /#21837362 / +1

        При VPN Ваш комп доступен со стороны чужого VPN сервера.
        Соединения между клиентами блокированы на VPN-сервере. Windows и любые современные дистрибутивы Linux по умолчанию блокируют входящие соединения для новых интерфейсов, если не указать иного вручную. Разве что над пользователями Windows XP и необновлённых Windows 7 можно поглумиться, но и их уже встретишь нечасто.
        Хотите полный аналог антизапрета на своих серверах? Установите его себе: bitbucket.org/anticensority/antizapret-vpn-container/src

        При использовании proxy.pac Вы намеренно запускаете у себя в браузере чужой js код. При этом браузер будет дергать ссылку на pac при каждом запросе.
        А можете запускать точно такой же код, но свой: bitbucket.org/anticensority/antizapret-pac-generator-light/src

        Но ведь давно известо — бесплатный сыр бывает только в мышеловке, причем только для второй мышки.
        Я обычно не отвечаю на подобные высказывания, но они меня сильно расстраивают, потому что в наше время даже не предполагается, что есть бесплатные честные сервисы, без какого-либо подвоха, которые делают ровно то, что заявлено, и ничего больше. Наверное, мне следует начать продавать трафик и встраивать рекламу, чтобы «соответствовать ожиданиям и запросам пользователей».

  6. boroda_el
    /#21832732

    А как бы еще сделать что список запрещенный сайтов сам скачивался, перерабатывался на ip и маршрутизация шла в тоннель?

    Однажды столкнулся с проблемой: рекламное агентство было практически остановлено, shutterstock попал в список запрещенных на пару дней.

    • uldashev
      /#21833330

      Сначала тоже подумал, вот было бы здорово весь список пихать в white list, кстати, такое возможно, вот только в списке уже больше 300к постановлений, так что лучше добавить пару десяток имен в white list, которые интересны, а остальное, зачем? + список не в реал тайме обрабатывается, он ДСП, так что либо у провайдеров брать (если дадут), или с github, когда его роскомсвобода обновит, так что лучше самому распоряжаться, какие имена через тоннель открывать, а какие напрямую.

      • boroda_el
        /#21837038

        а как узнать что важный для меня ресурс оказался запрещенным? Все нужное повернуть через впн независимо от запретов? Не лучшее решение по многим причинам.

        Список обязан провайдерами выгружаться не реже чем раз в сутки. Блокировку после выгрузки многие делают по разному. Некоторые проверяют много чаще и блокируют в считанные часы, если не минуты, после попадания в список.

        Не могу сказать как сейчас, ранее для выгрузки этого списка достаточно было иметь ЭЦП и все.

    • titanrain
      /#21838308

      На хабре была статья про скрипт, скачивающий список заблокированных ip, преобразующий его в подсети, чтобы микротик от количества маршрутов не умер. Спиок маршрутов обновляется по BGP.
      Ссылку к сожалению нет возможности сейчас найти.

  7. spanasik
    /#21832802 / -1

    Лучше переехать в страну, где не блокируют интернет.

    • user52523
      /#21832842

      Такие остались?

      • YuriM1983
        /#21832908 / +1

        Остались. Но стоимость интернета там выше, а качество ниже, нежели туннель через VPN, подобный, описанному в посте. Некоторые вообще до сих пор на xDSL сидят.

        • Grey4ip
          /#21833348

          У нас (Республика Молдова) оптоволоконный интернет 100Мбит/с — сейчас стоит около 8$.
          Но это это для физических лиц. Блокировок нет, торренты работают.

          • up7
            /#21834172

            Да ладно? Везде есть блокировки в интернете кроме стран Африки наверно.

            В Молдове одобрили закон, позволяющий блокировать сайты и читать электронную почту

            Введение данных поправок повысит затраты операторов связи.

            Кабмин Молдовы накануне на заседании одобрил законопроект, направленный на обеспечение информационной безопасности и борьбу с киберпреступлениями.

            Однако на поверку документ узаконивает цензуру Интернета. Так, закон дает право органам правопорядка блокировать сайты, проверять личные электронные почтовые ящики, читать SMS, сообщения в Viber, Telegram и WhatsApp, пишет agora.md.

            Также поправки в закон обязывают поставщиков услуг связи по требованию приостанавливать подачу Интернета на 6 месяцев, а услуг фиксированной и мобильной телефонии — на срок от 180 дней до 1 года. Введение данных поправок повысит затраты операторов связи, что может повлечь и подорожание их услуг для потребителей.

            Министерство внутренних дел аргументирует введение поправок необходимостью соответствия молдавского законодательства с международной правовой базой, в том числе с положениями Конвенции Совета Европы о киберпреступности, Конвенции Совета Европы о защите детей от сексуальной эксплуатации и директивы Европейского парламента о борьбе с сексуальным насилием в отношении детей.


            А штрафы за торренты только в Германии и Финляндии, в России блокируют некоторые трекеры.

            • Grey4ip
              /#21834490

              4 года прошло, как одобрили закон, но я ещё не встречал заблокированных нашими органами сайты. Возможно я не те сайты посещаю.

              • Borz
                /#21834608

                от провайдера ещё зависит. Какой-то лочит, какой-то нет

        • drazumovskiy
          /#21838292

          25€ в месяц за 1000/200 Мбит. В комплекте роутер провайдера (убран в кладовку, заменен на Mikrotik)

      • spanasik
        /#21833412

        Так вроде да, к западу от РФ.

  8. IgorGS
    /#21833528 / +1

    Спасибо за статью!

  9. Shaz
    /#21833540

    А в 2020 это ещё актуально? Последние года три хабр завален такими статьями.

  10. Alexsey
    /#21834028 / +1

    Если включен fasttrack то неплохо бы еще делать mark connection для всего что идет в vpn и все что помечено этой меткой игнорировать в правиле fasttrack. Иначе все может продолжать идти в обход впн.

  11. unwrecker
    /#21834404

    Эх, опять обход блокировок только по списку заданных ip… Их ведь тысячи и постоянно появляются новые. Нельзя ли сделать чтоб в VPN шло только после неудачной попытки подключиться напрямую?

    • Alexsey
      /#21834908

      А как понять что попытка подключения неудачная? Это нужно обход реализовывать либо на уровне плагина в браузере, либо костыли через локальный DPI городить.

      Можно поднять BGP с antifilter.download, но лично у меня ни один из микротиков по каким-то причинам не смог поднять впн после загрузки айпишников оттуда, хотя адрес впн не находится в списке блокировок.

      • mltk
        /#21839986

        Больше года пользуюсь аналогичным прекрасным сервисом — antifilter.network, всё работает прекрасно.
        Если у вас нет внешнего IP, то можно установить установить VPN-туннель с ними и поднять BGP-сессию внутри туннеля.

    • starikoff72
      /#21838296

      Проблема в том, что соединение происходит. Но с заглушкой провайдера. По крайней мере, в домру так. Помимо этого, они ещё и в трафике копаются, подменяя днс ответы. Так что, либо DoH, либо тоже заворачивать днс-трафик в впн

    • Divisi0n
      /#21838552

      И ещё: VPN VPNу рознь. У меня на итальянской Arube VPS для всяких мелочей поднят, завернул туда браузер, на торренты ходить, а там сюрприз, внезапно заблокирован рутрекер у макаронников
      image

      • drazumovskiy
        /#21840166

        Все отлично работает через Vodafone, TIM, Wind и Fastweb (Мобильный и домашний Интернет)

  12. /#21836570 / +2

    Предельно странная статья — идея плодить по правилу на каждый ресурс, перед тем где-то в ручную раздобыв его айпи (это в мире облачных сервисов-то)… странная словом идея.
    Тики уж года 2 как умеют резолвить в адрес-листах — почему это не использовать?
    Так же не стоило бы стрелять себе в ногу и в прероутинге исключать только трафик до 192.168.1.1 — более правильно было бы опять же составить адрес-лист, с используемыми локальными сетями, и в исключения прописывать уже его — в текущем же конфиге у вас будут проблемы если к тику привязано более одной локальной сети.

    • oldadmin
      /#21838564

      Не у всех RB3011, а скорее всего mikrotik hap ac2 или что еще похуже, загрузка листов по BGP это очень удобно и я сам это делаю, но что будет с младшими моделями? А до корпоративных ресурсов я делаю все как в статье.

      • /#21839016

        Так я вроде ни слова про BGP не сказал. Идея в том чтобы целевые заблокированные сайты добавить в адрес-лист в виде доменов и трафик до этого адрес-листа пускать на VPN.
        Вряд ли вам нужны 99,9% заблокированных ресурсов: пару трекеров, какой-нибудь порнхаб да и хватит — такой объём несложно в ручную ввести, просто не в виде отдельных роутов, а в виде доменов в адрес-листе.

  13. AcidVenom
    /#21838080

    Я надеюсь, что меня поправят, но при 2х+ гейтвеях чекгейтвей не работает.

    • /#21839020

      С чего ему не работать? Другой вопрос что чек-гейтвей зачастую бесполезен без рекурсивного роутинга и это уже относительно морочный конфиг, но в принципе всё работает.

      • AcidVenom
        /#21839046
        • /#21839084 / -1

          В v6 ещё достаточно много что не работает у тиков, уточняйте тогда.
          По треду же в форуме — опять же уточняйте тогда что речь про ecmp. Там вполне вероятно что не работает, но опять же — можно попробовать сделать ecmp с рекурсивным роутингом и чекать гейтвей на на отдельном маршруте на рекурсивный шлюз.

  14. /#21838300

    Делал себе схожие настройки и столкнулся с проблемой: запросы на помеченные сайты иногда уходили с задержкой.

    Чтобы это исправить, необходимо либо отключить FastTrack в Firewall -> Filter Rules (тогда будут проседания производительности), либо провести дополнительные настройки:

    1. В Firewall -> Mangle дополнительно создать правило вида:

    /ip firewall mangle
    add action=mark-connection chain=prerouting connection-state=new \
    dst-address-list=rkp new-connection-mark=connection_rkp passthrough=yes


    2. В Firewall -> Filter настроить правило для FastTrack:

    /ip firewall filter
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-mark=!connection_rkp connection-state=established,related


    После этого маршруты через VPN и FastTrack будут уживаться вместе.

    Кстати, удобно использовать Address List, туда можно заносить доменные имена, которые будут резолвиться при запуске.

    Для DNS рекомендую включить DoH, который стал доступен в 6.47.

  15. /#21838302

    Не понимаю, почему http и dns маркируются через mark-routing, а рутрекер прописывается в маршрутах. Если строить мангл, то проще же сделать правило для пометки траффика на адреса из какого-нибудь адрес листа vpn_out

    CLI
    /ip firewall mangle add chain=prerouting action=mark-routing dst-address-list=vpn_out new-routing-mark=vpn_out_mark passthrough=yes

  16. /#21838304

    В обход DPI работает?

    • /#21838836

      В теории нет, L2TP туннель легко отличим от остального траффика.

    • /#21839022

      Если использовать VPN на SSTP или OVPN на 443 порту то вполне, а l2tp и айписек при желании даже по порту можно закрыть и никакой DPI не нужен.

  17. Tarakanator
    /#21848802

    Может кто подскажет VPS для VPN? раньше у VDSina.ru был VPS в нидерландах за 30р, а сейчас нет. вообще ничего подходящего дешевле 2долларов в месяц не нашёл. Дороже не искал.

    • /#21851804

      1,5 доллара alienvds