Mikrotik - zhovner/zaborona_help GitHub Wiki
Версія прошивки Mikrotik, повинна бути не нижче 6.45.9, в іншому випадку оновіть прошивку. Якщо у Вас версія ROS 7.1 та вище, то ознайомтесь з інформацією, яка вказана тут.
Для версій MikroTik RouterOS 7.2rc1-7.2rc7 налаштування знаходяться тут.
Шаблон конфігу вказано для версії прошивки 6.х
Завантажуємо сертифікати на Mikrotik та імпортуємо їх:
/tool fetch url=https://zaborona.help/ca.crt
/certificate import file-name=ca.crt passphrase=""
/tool fetch url=https://zaborona.help/zaborona-help.crt
/certificate import file-name=zaborona-help.crt passphrase=""
/tool fetch url=https://zaborona.help/zaborona-help.key
/certificate import file-name=zaborona-help.key passphrase=""
/certificate set [ find fingerprint="a16dff4e525339d0cf3a9d2883cfde959542eccc7875e7653b5f732d2085668a" ] name=zaborona-help.crt
Створюємо інтерфейс для клієнта OpenVPN zaborona згідно із налаштуваннями vpn.zaborona.help.
Підключення до Zaborona.help:
/interface ovpn-client add name="zaborona" connect-to=srv0.vpn.zaboronahelp.pp.ua port=1196 add-default-route=no disabled=no certificate=zaborona-help.crt user="none" password="none" cipher=aes128-cbc
Перевіряємо інтерфейс:
/interface ovpn-client monitor zaborona once
Результат повинен бути схожим на
status: connected
uptime: 5m26s
encoding: AES-128-CBC/SHA1
mtu: 1500
Не забуваємо налаштувати NAT додавши правило "маскарадінгу"
/ip firewall nat add chain=srcnat action=masquerade out-interface=zaborona
Якщо так і не запрацює, то потрібно повністю відключити отримання DNS серверів від провайдера і додати альтернативні :
/ip dhcp-client set use-peer-dns=no number=0
/interface pppoe-client set use-peer-dns=no number=0
/ip dns set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
Як будь-який WAN інтерфейс ovpn-client повинен бути в списку WAN :
/interface list member add interface=zaborona list=WAN
Якщо провайдер блокує відповіді сторонніх DNS (як от Google DNS чи OpenDNS) на заблоковані сайти, то додатково слід прописати маршрути до DNS через VPN:
/ip route add dst-address=208.67.222.222/32 gateway=zaborona
/ip route add dst-address=208.67.220.220/32 gateway=zaborona
Слід зауважити, якщо усі запити до DNS працюють через VPN, до встановлення з’єднання відповідей не буде!