El artículo describe una forma de obtener acceso a recursos que caen erróneamente bajo la distribución de bollos por Roskomnadzor (en adelante RKN). Está atrapado por error. Somos ciudadanos respetuosos de la ley y no vamos a donde nuestras agencias gubernamentales nos lo prohíben. Entonces, si de repente decides usar el método para buscar algún tipo de recursos bloqueados "legalmente", la dura espada de la justicia probablemente volará por encima de tu cabeza y no tengo la culpa, ¡porque ahora te lo advertí!
El problema surgió inesperadamente cuando nuestra oficina central se mudó a otro lugar y, como resultado, cambió de proveedor. Los empleados en masa comenzaron a quejarse de que no podían acceder a los sitios donde antes tenían acceso. Al mismo tiempo, desde nuestras otras oficinas con otros proveedores, los sitios aún estaban disponibles.
Durante algún tiempo, debido a la molestia de mudarme, ignoré el problema, pero cuando el departamento de contabilidad comenzó a quejarse (¿también tiene importancia el departamento de contabilidad después de la administración de la empresa?), Tuve que resolverlo.
En primer lugar, la sospecha recayó en problemas con MTU y MSS. Pero con ellos, afortunadamente, todo resultó en orden. Encontré un dominio problemático basado en ILV, también está bien, el dominio está limpio. Abrí el sitio a través de las puertas de enlace de otras sucursales (3 proveedores diferentes), se abre. Pero a través de nuestro proveedor para el dominio de IP, incluso los pings no van. Y luego supuse romper el dominio del problema de IP de ILV. ¿Ya adivinaste que IP estaba en la base de datos?
Pero donde, entonces, hay una redirección a una página que indica que este recurso está bloqueado, etc. etc., preguntas. Y pregunté. Al principio, realmente intenté abrir varios sitios donde antes, cuando era posible, todos estábamos buscando algo para ver o descargar. Y asegurándome de que no haya advertencias sobre el bloqueo en estos sitios, llamé al proveedor.
El proveedor me escuchó, admitió que hay un problema, pero no hay advertencias.
Simpatizaba con mi situación, pero me negaba a corregir algo. Al igual, cumplimos con el requisito de bloqueo, pero no hay requisitos de notificación. En el que nos despedimos.
Por supuesto, tenía el deseo de luchar con el proveedor, pero la pereza y la falta de tiempo libre empujaron profundamente este deseo. Sobre el mismo lugar donde envié a un proveedor con Internet en mi corazón, a donde el sol no brilla.
El problema tenía que resolverse de alguna manera. Nuestra empresa utiliza Mikrotiki como enrutadores de puertas de enlace, sin importar cuáles, el enrutador del sistema operativo es el mismo para todos. Después de hurgar en Habré, encontré algunos artículos sobre cómo evitar los bloqueos de ILV, generar y cargar la base de datos de ILV en Mikrotik. Al mismo tiempo, el enrutamiento bloqueó el tráfico a aquellas puertas de enlace donde no hay bloqueos. En aras del interés, probé este método. Funciona, pero no se adapta.
En primer lugar, el volumen base de 60,000 ip (a principios del verano de 2019) envió a mi Mikrotik a un coma profundo. El enrutador CHR OS con una gran capacidad de memoria y varios núcleos se sintió un poco mejor, pero dejó en claro que con una actitud tan concienzuda del ILV hacia sus deberes, no duraría mucho.
En segundo lugar, se obtuvo acceso a todos los recursos bloqueados, incluidos los bloqueados por motivos "legales". Que yo, como ciudadano respetuoso de la ley, tampoco me convenía.
Pero la idea misma de dirigir el tráfico a los sitios permitidos a través de esas puertas de enlace donde no está bloqueada está atrapada en mi mente.
¿Qué podemos hacer para esto?
Lo primero que viene a la mente es averiguar la dirección IP del recurso y determinar la puerta de enlace para enrutarlo. No es una opción, un recurso puede tener varias ip y pueden cambiar, a veces a menudo. Cansado de sumar.
El segundo es analizar la IP usando la Capa 7 en el firewall, ingresándolas en la lista de direcciones. Ya es mejor, pero la capa 7 tiene una característica desagradable. Si hay varias reglas, entonces comienza a relacionarse con los recursos del procesador de la misma manera que algunas esposas se relacionan con el salario de su esposo. Como resultado, las disputas, los escándalos y otros problemas comienzan en la familia.
Dirigir todo el tráfico a través de la puerta de enlace remota también es perjudicial.
Afortunadamente, en el MUM de septiembre, uno de los oradores reveló un terrible secreto. Resulta que Mikrotiki ha aprendido durante algún tiempo a analizar un dominio IP directamente desde su nombre en la hoja de direcciones, ¡agregando IP a la misma hoja! Armado con la información que recibí, finalmente resolví el problema.
A continuación se muestra una solución de ejemplo:
1. Creamos en el firewall la hoja de direcciones con el dominio deseado.
2. En Firewall \ Mangle, cree una regla, cadena: prerouting, avanzado: Dst.Address list = el nombre de nuestra hoja, acción: marcar enrutamiento, New Routing Mark = nombre de marca
3. Vamos a IP \ Rutas. Crea una nueva ruta predeterminada. Dirección Dst = 0.0.0.0 / 0, Gateway = IP Gateway, Marca de enrutamiento = Su marca
Eso es todo. Ahora su Mikrotik analizará la dirección IP del dominio deseado en la hoja de direcciones que se le ocurrió para esto, marcará las rutas a esta dirección IP y las enviará a través de la puerta de enlace que necesita. ¿Tienes una puerta de enlace de respaldo? Sonrie
Fue hecho en el firmware 6.45.5
Gracias por su atencion