MikroTik – обход блокировки Telegram

Обход блокировки Telegram

Добрый день, уважаемые читатели блога и пользователи Telegram. Если у вас есть роутер MikroTik, то помощью этой статьи вы сможете настроить обход блокировки Telegram, а также любых других ресурсов.

Как известно, с 15 апреля провайдеры начали блокировку Telegram. На момент написания статьи, у меня уже недоступны все домены Telegram, но сам мессенджер пока еще работает. Если нас не интересует вопрос анонимности, а в нашем случае, нас интересует только обход блокировки, то платный VPN нам приобретать не обязательно. Например из постоянно нужных мне ресурсов на данный момент заблокированы только RuTracker и Telegram, поэтому мне нет смысла тратить деньги на VPN, к тому же я гоняю минимум по 500 Гб трафика в день через торрент-клиент, заворачивать весь трафик на VPN было бы неправильно, а ради обхода блокировки парочки сайтов платить за VPN я не хочу. Как обойти блокировку трекеров я писал в этой статье, а сегодня мы реализуем обход блокировки Telegram, направляя через VPN только соединения с Телеграм.

В принципе, если найдете живые socks прокси, вы можете просто вписать их в настройки Телеграм и пользоваться, но Роскомнадзор уже взялся за блокировку прокси, поэтому лучше все-таки использовать VPN. К тому же, если обход блокировки Telegram делать на MikroTik, мы не только обойдем блокировку сети Telegram, но также и всех доменов. Для обхода блокировки, нам хватит любого бесплатного PPTP/L2TP в Европе или Америке, коих в интернете полно. При желании вы можете использовать и платный VPN или вообще свой собственный, если он у вас есть. Дешевые VPS во Франции для поднятия своего VPN, вы можете посмотреть здесь.

Итак, данные для VPN подключения у вас на руках? Можем начинать настройку. Для ускорения процесса, я приведу пример настройки командами в терминале. Все что будет создано этими командами, вы сможете увидеть в соответствующих разделах WinBox.

Настраиваем обход блокировки Telegram в терминале MikroTik

1. Первым делом добавляем все подсети Telegram Messenger LLP в address-list:

/ip firewall address-list
add address=91.108.4.0/22 list=Telegram
add address=91.108.8.0/22 list=Telegram
add address=91.108.12.0/22 list=Telegram
add address=91.108.16.0/22 list=Telegram
add address=91.108.56.0/22 list=Telegram
add address=149.154.160.0/22 list=Telegram
add address=149.154.164.0/22 list=Telegram
add address=149.154.168.0/22 list=Telegram
add address=149.154.172.0/22 list=Telegram

Лист я назвал Telegram, вы можете назвать по своему усмотрению.

2. Теперь добавляем правило для маркировки трафика в сторону этих подсетей:

/ip firewall mangle
add action=mark-routing chain=prerouting comment="Mark Telegram" dst-address-list=Telegram new-routing-mark=mark_telegram passthrough=no src-address=10.10.1.0/24

Здесь указывается имя адрес-листа, маркировка для пакетов и ваша локальная подсеть, из которой будут идти обращения. Не забудьте поменять все под себя.

3. Создаем интерфейс PPTP или другого типа, в зависимости от VPN, который выбрали:

/interface pptp-client add comment="FREE VPN" connect-to=euro217.vpnbook.com disabled=no name=freevpn user=vpnbook password=p9v9sja

В качестве названия интерфейса, я указал freevpn, вы можете указать свое. Для примера я использовал паблик PPTP, который нашел в интернете. Вы можете использовать любой, какой вам удобнее.

Теперь убедитесь, что VPN подключение установлено. Напротив freevpn в списке интерфейса, должна стоять буква R (running), а в окне просмотра внизу должно быть Status: connected.

MikroTik VPN

4. Настраиваем маскарадинг, чтобы все пользователи локальной сети могли пользоваться VPN.

/ip firewall nat add action=masquerade chain=srcnat out-interface=freevpn

Здесь тоже указывается созданный интерфейс freevpn, если вы указали ему другое имя в шаге 3, не забудьте поменять его и здесь.

5. Настраиваем маршрутизацию для промаркированных во 2-м шаге пакетов.

/ip route add comment="Telegram to VPN" distance=1 gateway=freevpn routing-mark=mark_telegram

Обратите внимание, что маркер, указанный во 2-м шаге и здесь – должен быть одинаковым.

На этом настройка закончена, можете проверить доступность доменов Телеграм в вашем браузере и убедиться, что все работает.

Подводные камни

Если обход блокировки Telegram не сработал и домен telegram.org все еще недоступен, проверьте маскарадинг в NAT, а также маршрут в IP->Routes, там должно быть freevpn reachable. Если с созданными правилами проблем не обнаружено, проверьте порядок правил в NAT и настройку фильтров.

В Firewall->Filter Rules по умолчанию обычно уже есть какие-то правила и, если после покупки Микротика, вы не заменяли их, не делали мостов или общих правил с указанием конкретных интерфейсов, то маршрутизация через VPN должна работать корректно.

Но некоторые люди (и я один из них) после покупки роутера сбрасывали настройки в ноль и настраивали по известной статье на Хабре или другим подобным статьям, в которых делается мост между локальными интерфейсами и фильтры по конкретным интерфейсам. Для них маршрутизация через VPN работать не будет, если не добавить 2 правила в IP->Firewall->Filter Rules.

/ip firewall filter
add action=accept chain=forward connection-state=established,new in-interface=bridge-lan out-interface=freevpn src-address=10.10.1.0/24
add action=accept chain=forward connection-state=established,related in-interface=freevpn out-interface=bridge-lan

Обратите внимание, что bridge-lan – название интерфейса локального моста, freevpn – название VPN интерфейса и 10.10.1.0/24 – ваша локальная подсеть. Поменяйте эти данные на свои.

Важно: эти правила нужно поместить перед общими правилами action=drop!

У меня порядок правил вот такой:

MikroTik - фильтр

На этом настройка окончена. Этот способ вы можете использовать для обхода блокировки любых сайтов и ресурсов – вам просто нужно добавлять их в адрес-лист, делать маркировку и маршрут.

Лайфхак: вы можете изначально дать универсальное название адрес-листа и маркировке, например адрес-лист назвать FuckRKN 😀, а маркировку сделать mark_fuckrkn и в будущем вам останется только добавлять в адрес лист FuckRKN новые сайты или ip адреса, они сразу начнут заворачиваться на VPN. Так со временем сделал и я, потому что это удобнее. Подсети Telegram и Facebook я просто подписываю в комментариях.