MikroTik, Windscribe, IKEv2 en NPO

Sinna · 26 jun 2021, 18:31

Ik heb recent wat kunnen spelen met een MikroTik-router die ik hier op het forum (derdehands) heb overgenomen.
Ik ben erin geslaagd om een IKEv2-verbinding op te zetten naar WindScribe Nederland en het NPO-verkeer op basis van de IP-range door die tunnel te sturen. Helaas ziet NPO op de een of andere manier nog steeds dat ik niet vanuit Nederland verbind.
Als ik dezelfde inloggegevens gebruik om een IKEv2-verbinding vanaf mijn Windows-bak in te stellen, lukt het wél.

Onderstaande code is gebaseerd op Windscribe VPN on Mikrotik waarbij verwezen wordt naar NordVPN (IPSEC/IKEv2) + killswitch (For ROS6) (use-case #2).

Code: Selecteer alles

# Get and import certificate: WindScribe is using Let's Encrypt
/tool fetch url="https://letsencrypt.org/certs/isrgrootx1.pem"
/tool fetch url="https://letsencrypt.org/certs/lets-encrypt-r3.pem"
/certificate import file-name=isrgrootx1.pem passphrase=""
/certificate import file-name=lets-encrypt-r3.pem passphrase=""

# Mark traffic that you want to route through VPN server
/ip firewall address-list add address=145.58.0.0/16 list=under_windscribe_nl
/ip firewall mangle add action=mark-connection chain=prerouting dst-address-list=under_windscribe_nl new-connection-mark=under_windscribe_nl passthrough=yes

# IPsec/IKEv2 configuration
/ip ipsec mode-config add connection-mark=under_windscribe_nl name="WindScribe NL mode config" responder=no use-responder-dns=no
/ip ipsec policy group add name="WindScribe NL"
/ip ipsec profile add dh-group=ecp384 enc-algorithm=aes-256,aes-192,aes-128 hash-algorithm=sha256 name="WindScribe NL profile" proposal-check=strict
/ip ipsec peer add address=nl.windscribe.com exchange-mode=ike2 name="WindScribe NL server" profile="WindScribe NL profile"
/ip ipsec proposal add auth-algorithms=sha256 name="WindScribe NL proposal" pfs-group=ecp384
/ip ipsec identity add auth-method=eap certificate=lets-encrypt-r3.pem_0 eap-methods=eap-mschapv2 generate-policy=port-strict mode-config="WindScribe NL mode config" peer="WindScribe NL server" policy-template-group="WindScribe NL" remote-id=fqdn:nl.windscribe.com username=*** password=*** 
/ip ipsec policy add dst-address=0.0.0.0/0 group="WindScribe NL" proposal="WindScribe NL proposal" src-address=0.0.0.0/0 template=yes

# In "/ip ipsec policy" you should be able to see a new dynamic rule added next to your WindScribe NL policy. It MUST exist, otherwise configuration is not working.

# (OPTIONAL) Implement a killswitch
/interface bridge add name=windscribe_nl_blackhole protocol-mode=none
/ip route add gateway=windscribe_nl_blackhole routing-mark=windscribe_nl_blackhole
/ip firewall mangle add chain=prerouting dst-address-list=under_windscribe_nl action=mark-routing new-routing-mark=windscribe_nl_blackhole passthrough=yes

# Exclude such VPN traffic from fasttrack
/ip firewall filter add action=accept chain=forward connection-mark=under_windscribe_nl place-before=[find where action=fasttrack-connection]

# Reduce MSS (should be about 1200 to 1400, but 1360 worked for me)
/ip firewall mangle add action=change-mss chain=forward new-mss=1360 passthrough=yes protocol=tcp connection-mark=under_windscribe_nl tcp-flags=syn tcp-mss=!0-1360

Die dynamische regel waar hierboven naar verwezen wordt, is er weldegelijk (na serieus wat trial en vooral error).

Ik vermoed dat het iets kleins is dat misgaat, maar ik kan er de vinger niet op leggen.
Zie jij de vaut? Dan hoor ik het graag.

Sinna · 29 jun 2021, 20:14

Zitten er hier echt geen MikroTik-kenners? Dat zou me sterk verbazen...

GuntherDW · 30 jun 2021, 15:06

Het makkelijkste zou zijn als je iets als een wireshark ofzo gebruikt terwijl je naar die site verbind dan. (al is de "network" tab in je browser devtools tegenwoordig ook al heel uitgebreid)
Mijn insziens is het misschien IPv6 ergens of een DNS of iets anders dat je nog verraadt ofzo, gezien ik geen IPv6 rules zie in je lijst.

Of heb je IPv6 niet aanstaan of werkt NPO niet met IPv6? (Heb zelf nog niet echt veel info vergaard ben maar wat aan het brainstormen)

Sinna · 30 jun 2021, 17:01

Wireshark is mij bekend maar om daar het verschil in verbinding vanaf een Windows-bak naast een verbinding via de MikroTik te gaan leggen lijkt mij toch niet zo eenvoudig.
Ik heb IPv6 niet aan staan want Scarlet ondersteunt dat (nog) niet.

Hoe zou DNS iets kunnen verraden? Ik gebruik nu standaard AdGuard Family Protection, al ben ik niet zeker of dat als die VPN vanaf de Windows-bak open ligt, alsnog het geval is. Ik zoek het uit.

GuntherDW · 30 jun 2021, 17:14

Je kan ook packet sniffing aanzetten op de mikrotik met een streaming IP met /tool sniffer en dat dus bekijken op je PC met wireshark om te kijken hoe je MT die packets afhandelt?

Wireshark was eerder om het principe "meten is weten", je moet beiden niet gaan vergelijken, gewoon kijken of je niets ziet wat niet hoort. Maar zoals ik ook zei de network tab van je browser z'n devtools dingen is vaak ook al voldoende tegenwoordig.
Gezien de network filtering verderop gebeurt toch.

Er zijn manieren opdat DNS je zou kunnen verraden, maar als je al een AdGuard gebruikt zal dat het ook niet zijn (denk/hoop ik).

Sinna · 30 jun 2021, 21:18

Ik heb even extra gecontroleerd, en het probleem doet zich ook voor vanaf de Windows-bak.
WindScribe is dus niet de manier om NL-programma's te kijken.

Er zit weldegelijk verschil in de IP-adressen achter de domeinen omdat een stuk achter CloudFlare zit.

Back to the drawing board...

GuntherDW · 01 jul 2021, 00:45

Jah, Cloudflare is nogal lastig om de tuin te leiden.
Je kan proberen een private tab te gebruiken en/of cookies te deleten want adhv daarvan zien ze wie je bent natuurlijk. Maar gezien cloudflare hun setup is het vrij lastig om hun echt te bypassen.