Обход блокировки Telegram на MikroTik
Добрый день, уважаемые читатели блога и пользователи Telegram. Если у вас есть роутер MikroTik, то помощью этой статьи вы сможете настроить обход блокировки Telegram, а также любых других ресурсов.

Как известно, с 15 апреля провайдеры начали блокировку Telegram. На момент написания статьи, у меня уже недоступны все домены Telegram, но сам мессенджер пока еще работает. Если нас не интересует вопрос анонимности, а в нашем случае, нас интересует только обход блокировки, то платный VPN нам приобретать не обязательно. Например из постоянно нужных мне ресурсов на данный момент заблокированы только RuTracker и Telegram, поэтому мне нет смысла тратить деньги на VPN, к тому же я гоняю минимум по 500 Гб трафика в день через торрент-клиент, заворачивать весь трафик на VPN было бы неправильно, а ради обхода блокировки парочки сайтов платить за VPN я не хочу. Как обойти блокировку трекеров я писал в этой статье, а сегодня мы реализуем обход блокировки Telegram, направляя через VPN только соединения с Телеграм.

В принципе, если найдете живые socks прокси, вы можете просто вписать их в настройки Телеграм и пользоваться, но Роскомнадзор уже взялся за блокировку прокси, поэтому лучше все-таки использовать VPN. К тому же, если обход блокировки Telegram делать на MikroTik, мы не только обойдем блокировку сети Telegram, но также и всех доменов. Для обхода блокировки, нам хватит любого бесплатного PPTP/L2TP в Европе или Америке, коих в интернете полно. При желании вы можете использовать и платный VPN или вообще свой собственный, если он у вас есть. Дешевые VPS во Франции для поднятия своего VPN, вы можете посмотреть здесь.

Итак, данные для VPN подключения у вас на руках? Можем начинать настройку. Для ускорения процесса, я приведу пример настройки командами в терминале. Все что будет создано этими командами, вы сможете увидеть в соответствующих разделах WinBox.

Настраиваем обход блокировки Telegram в терминале MikroTik

1. Первым делом добавляем все подсети Telegram Messenger LLP в address-list:

Лист я назвал Telegram, вы можете назвать по своему.

2. Теперь добавляем правило для маркировки трафика в сторону этих подсетей:

Здесь указывается имя адрес-листа, маркировка для пакетов и ваша локальная подсеть, из которой будут идти обращения. Не забудьте поменять все под себя.

3. Создаем интерфейс PPTP или другого типа, в зависимости от VPN, который выбрали:

В качестве названия интерфейса, я указал freevpn, вы можете указать свое. Для примера я использовал паблик PPTP, который нашел в интернете. Вы можете использовать любой, какой вам удобнее.

Теперь убедитесь, что VPN подключение установлено. Напротив freevpn в списке интерфейса, должна стоять буква R (running), а в окне просмотра внизу должно быть Status: connected.

Обход блокировки Telegram на роутере MikroTik

4. Настраиваем маскарадинг, чтобы все пользователи локальной сети могли пользоваться VPN.

Здесь тоже указывается созданный интерфейс freevpn, если вы указали ему другое имя в шаге 3, не забудьте поменять его и здесь.

5. Настраиваем маршрутизацию для промаркированных во 2-м шаге пакетов.

Обратите внимание, что маркер, указанный во 2-м шаге и здесь - должен быть одинаковым.

На этом настройка закончена, можете проверить доступность доменов Телеграм в вашем браузере и убедиться, что все работает.

Подводные камни

Если обход блокировки Telegram не сработал и домен telegram.org все еще недоступен, проверьте маскарадинг в NAT, а также маршрут в IP->Routes, там должно быть freevpn reachable. Если с созданными правилами проблем не обнаружено, проверьте порядок правил в NAT и настройку фильтров.

В Firewall->Filter Rules по умолчанию обычно уже есть какие-то правила и, если после покупки Микротика, вы не заменяли их, не делали мостов или общих правил с указанием конкретных интерфейсов, то маршутизация через VPN должна работать корректно.

Но некоторые люди (и я один из них) после покупки роутера сбрасывали настройки в ноль и настраивали по известной статье на Хабре или другим подобным статьям, в которых делается мост между локальными интерфейсами и фильтры по конкретным интерфейсам. Для них маршутизация через VPN работать не будет, если не добавить 2 правила в IP->Firewall->Filter Rules.

Обратите внимание, что bridge-lan - название интерфейса локального моста, freevpn - название VPN интерфейса и 10.10.1.0/24 - ваша локальная подсеть. Поменяйте эти данные на свои.

Важно: эти правила нужно поместить перед общими правилами action=drop!

У меня порядок правил вот такой:

Обход блокировки Telegram в роутере Микротик (Filter Rules)На этом настройка окончена. Этот способ вы можете использовать для обхода блокировки любых сайтов и ресурсов - вам просто нужно добавлять их в адрес-лист, делать маркировку и маршрут.

Лайфхак: вы можете изначально дать универсальное название адрес-листа и маркировке, например адрес-лист назвать FuckRKN, а маркировку сделать mark_fuckrkn 😀 и в будущем вам останется только добавлять в адрес лист FuckRKN новые сайты или ip адреса, они сразу начнут заворачиваться на VPN.

18 комментариев MikroTik — обход блокировки Telegram

  1. Сергей - 07.05.2018 - 02:13 Ответить

    Классная подсказка! Все работает! Только юот на роутере не проходит маркировку пакетов . А как ему помочь?

    • Alexell - 07.05.2018 - 15:02 Ответить

      Что вы имеете ввиду? У вас не срабатывает правило routing-mark?

      • Сергей - 07.05.2018 - 18:13 Ответить

        у меня запущены скрипты которые опрашивают бот телеграмма. вот эти пакеты не маркируются

        • Alexell - 08.05.2018 - 12:42 Ответить

          Ну проверьте, куда обращаются скрипты, есть ли эти адреса в списке. Попробуйте добавить правила, которое Александр в последнем комментарии написал.

  2. Илья - 07.05.2018 - 22:58 Ответить

    Спасибо тебе, добрый человек. Не так просто было найти конкретный список адресов, который нужно разблокировать среди всего информационного шума

    • Alexell - 08.05.2018 - 12:42 Ответить

      У работы в интернет-провайдере в данном случае есть преимущества))

  3. Александр - 08.05.2018 - 03:29 Ответить

    Пакеты самого микротика не маркируются, надо добавить правило:
    /ip firewall mangle
    add action=mark-routing chain=output comment=»Mark Telegram» dst-address-list=Telegram new-routing-mark=mark_telegram passthrough=no

    • Денис - 09.05.2018 - 23:10 Ответить

      Да! спасибо! пакеты маркируются. вижу по логу сообщения. masqarade тоже пакеты отправляет..

      но из терминала https://api.telegram.org/botyyyyyyyyyyyy:xxxxxxxxxxxxxx/getUpdates
      connecting…. и все…
      из бровзера все быстро…

      еще подскажите малек.спасибо

    • SpeleoFakel - 13.07.2019 - 13:57 Ответить

      Спасибо, Мил-Человек. пакеты стали маркироваться, но в ответ всё равно прилетает failure: closing connection: куда копать уже не знаю…

  4. Стас - 08.01.2019 - 13:24 Ответить

    У меня почему-то работает криво, такое ощущение что на список адресов идет сначала без ВПН а потом через ВПН. Объясню чтобы было понятно, я даже заново сконфигурировал роутер и отключил вообще все правила фаервола:
    в роутлист есть маршрут с routing mark OverVPN. В mangle создано правило для Src. Address как описано в статье. Когда я убираю из Advanced Dst.Address List список rkn то весь трафик идет через VPN и все заблокированные сайты открываются, но когда я указываю там список, заблокированные сайты не открываются (выдает данный сайт заблокирован как без ВПН) для интереса я добавил в список сайт проверки ип адреса, когда захожу на него показывает что я зашел через ВПН.
    Почему без списка все работает корректно, трафик идет через ВПН, а со списком как будто сначала прогоняется без ВПН и только потом через ВПН?

    • Alexell - 09.01.2019 - 20:46 Ответить

      Такое ощущение, что у вас в свойствах интерфейса VPN на вкладке Dial Out стоит галочка «Add Default Route». Ее нужно снять.

      • Стас - 10.01.2019 - 00:47 Ответить

        Нету,вот конфиг http://bit.ly/2Ry54i7 (routing mark OverVPN прописана в pptp-out1), все правила фаервола отключены.

        Вдобавок пробовал добавить такие правила, аналогичная ситуация,сайт блокируется провайдером, другие сайты перенаправляет.
        /ip dns static add address=195.82.146.214 name=rutracker.org ttl=0s
        /ip route add distance=1 dst-address=195.82.146.214 gateway=pptp-out1

  5. Алексей - 02.07.2019 - 12:58 Ответить

    А как сделать если инет-провайдер подменяет DNS запрос\ответ на свою заглушку?

  6. Алексей - 02.07.2019 - 13:12 Ответить

    Если провайдер делает подмену ДНС, то можно перенаправить трафик на свой ДНС сервер через тот же фреевпн,

    Адрес стал резолвится правильно, но пинг до него всё равно не проходит
    Пакеты маркируются судя по счётчику Mark Telegram

    Маршрут через freevpn в статусе reachable

  7. Аким - 15.09.2019 - 00:28 Ответить

    Не могу понять в чем проблема. Всё настроил по гайду. Пинг проходит, трассировка верная, а в браузере страницы не открывает, куда копать?

    • Alexell - 17.09.2019 - 13:19 Ответить

      Эта инструкция разблокирует подсети Telegram для работы десктопного и мобильных клиентов.
      Для разблокировки доменов Телеграма, нужно добавить их в адрес-лист «Telegram», но как домены. IP адреса будут резолвиться автоматически.
      Лично у меня telegram.org открывается без отдельного добавления.
      Отдельно в адрес-лист я добавлял только telegra.ph и tdesktop.com
      Также убедитесь что у вас в DHCP Client убрана галочка Use Peer DNS и статически прописаны собственные DNS, например Гугла.

  8. Андрей - 28.09.2019 - 15:15 Ответить

    >>эти правила нужно поместить перед общими правилами action=drop!

    Эмпирическим путём на hAP ac выяснил, что надо поместить их выше action=fasttrack connection

  9. Григорий - 07.10.2019 - 22:17 Ответить

    Добавил правило ка кписали выше
    /ip firewall mangle
    add action=mark-routing chain=output comment=»Mark Telegram» dst-address-list=Telegram new-routing-mark=mark_telegram passthrough=no
    На компе все работает, но на микротики при запуске из терминала скриптов на api.telegram.org, пишет failure: connection timeout. Помогите все перепробовал.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *