+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Автоматическое отключение VPN в ROS7

Автоматическое отключение VPN в ROS7, RouterOS

kakana

Guest

24.03.2022 11:13:00

Я пытаюсь реализовать killswitch для настройки ProtonVPN IPsec. Однако их руководство содержит команды только для ROS6. Поэтому я пытаюсь адаптировать их для ROS 7.1:

/interface bridge add name=protonvpn_blackhole protocol-mode=none
/ip route add gateway=protonvpn_blackhole routing-mark=protonvpn_blackhole
/ip firewall mangle add chain=prerouting src-address-list=under_protonvpn action=mark-routing new-routing-mark=protonvpn_blackhole passthrough=yes

Я пришёл к такому варианту:

/routing table add name=protonvpn_blackhole fib
/ip firewall mangle add chain=prerouting src-address-list=10.0.20.0/24 action=mark-routing new-routing-mark=protonvpn_blackhole passthrough=yes

Однако, похоже, это не работает: когда VPN отключен, я всё равно могу выйти в интернет через IP и DNS моего провайдера. Есть ли у вас предложения, как лучше перенести рекомендуемый killswitch с ROS6 на 7.1?

kevinds

Guest

14.04.2022 22:43:00

Я бы убрал маршрут по умолчанию, ведущий к вашему провайдеру. Настройте один маршрут к VPN-серверу. Если маршрут по умолчанию будет направлен на VPN, никакой другой трафик не сможет идти, если VPN упадет. Также поможет удаление других правил src-nat, чтобы NAT обеспечивался только правилом src-nat на интерфейсе VPN.

msatter Guest	#3 0 15.04.2022 18:35:00 Если убрать шлюз по умолчанию, то IKEv2 тоже перестанет работать, потому что он тоже использует его для установления соединения.

avraamd Guest	#4 0 07.05.2022 11:11:00 Тебе удалось успешно перевести это на ROS7? У меня тоже такая проблема.

kakana

Guest

26.05.2022 21:42:00

Извините, я не получил никаких уведомлений о новых сообщениях в этой теме. Я связался с ProtonVPN, и вот что они мне прислали, кажется, работает отлично:
/interface bridge add name=protonvpn_blackhole protocol-mode=none
/routing table add name=protonvpn_blackhole fib
/ip firewall mangle add chain=prerouting src-address-list=under_protonvpn action=mark-routing new-routing-mark=protonvpn_blackhole passthrough=yes
/ip route add routing-table=protonvpn_blackhole gateway=protonvpn_blackhole

msatter Guest	#6 0 27.05.2022 01:42:00 У вас есть src-address-list=10.0.20.0/24, а должно быть src-address=10.0.20.0/24.

surinameclubcard

Guest

08.08.2022 21:13:00

К сожалению, это у меня не сработало. Добавление этого кода полностью блокирует связь клиентов через IPsec. Если я отключаю строку с mangle, всё сразу же начинает работать. Понятия не имею, в чём причина. ROS 7.4 на RB4011.

Romanowski Guest	#8 0 31.10.2022 14:17:00 Есть ли какие-то обновления по этому поводу? Я бы хотел реализовать то же самое.

darkman Guest	#9 0 07.03.2025 19:52:00 Пожалуйста, предоставьте текст для перевода.

anav

Guest

#10

07.03.2025 21:06:00

Не понимаю, зачем тебе нужен killswitch, если трафик не имеет маршрута выхода из локального WAN — он просто не утечёт. Но в любом случае, с концептуальной точки зрения, тебе нужно настроить это через маршруты с разделением по расстоянию, по крайней мере, я так думаю.

/routing table add fib name=protonvpn
/ip route add check-gateway=ping dst-address=0.0.0.0/0 gateway=VPN-gateway routing-table=protonvpn distance=1
/ip route add blackhole disabled=no dst-address=0.0.0.0/0 gateway=VPN-gateway routing-table=protonvpn distance=2

Теперь непонятно, как именно ты заставляешь или направляешь трафик подсети в VPN? Предположу, что через правила маршрутизации, а затем через mangles.

/routing rule add min-prefix=0 action=lookup-only-in-table table=main
/routing rule add src-address=subnet-to-ONLY-VPN action=lookup-only-in table table=protonvpn

Если через mangling…

/ip firewall address-list add address=local-SubnetA list=connected
/ip firewall address-list add address=local-SubnetB list=connected
/ip firewall address-list add address=local-SubnetC list=connected

/ip firewall mangle add chain=prerouting action=accept src-address-list=connected dst-address-list=connected
/ip firewall mangle add chain=forward action=mark-connection connection-mark=no-mark dst-address-type=!local src-address=subnet-For-Only-VPN new-connection-mark=to-VPN passthrough=yes
/ip firewall mangle add chain=prerouting action=mark-routing connection-mark=to-VPN new-routing-mark=protonvpn passthrough=no

И, конечно, подкорректируй правило fasttrack:

/ip firewall filter add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related connection-mark=no-mark

darkman Guest	#11 0 07.03.2025 22:06:00 Привет, Anav, большое спасибо за быстрый ответ! К сожалению, я не совсем понимаю всё, что ты написал. Не понимаю, зачем тебе killswitch, если трафик не имеет пути наружу через локальный WAN — он просто не утечет. Но в любом случае, если туннель падает, утечки будут. Я пробовал выключить VPN, и интернет всё равно работает, значит, IP-адрес и геолокация становятся видны. Теперь непонятно, как именно ты принуждаешь или направляешь трафик подсетей через VPN? Предположу, что через правила маршрутизации и потом mangles. Я следовал и внедрил эту инструкцию: https://support.nordvpn.com/hc/en-us/articles/20398642652561-MikroTik-IKEv2-setup-with-NordVPN Нет, в этом гиде нет mangles. И ещё: local-SubnetA, local-SubnetB, local-SubnetC — думаю, эти адреса могут меняться. Я бы предпочёл иметь конфигурацию, которая будет работать независимо от VPN-сервера, к которому я подключаюсь, и независимо от провайдера или SIM-карты, которую вставляю в роутер. Огромное спасибо!

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры