1.Делаем тоннель не заблокированным на данный момент времени способом.
[SKIP]
2.Выкачиваем список российских ip в формате скрипта адрес-листа Микротик (спасибо доброму человеку)
/tool fetch address=mikrotik-geoip.bafista.ru host=mikrotik-geoip.bafista.ru mode=https src-path=/ru/MikroTik-GeoI
P-ru.rsc
3. Запускаем скрипт. чтобы импортировать это в адрес-лист
/import file=MikroTik-GeoIP-ru.rsc
Пункты 2-3 надо в периодический скрипт, наверное, раз в месяц?
Удалять командой
ip firewall/address-list/remove [find list="GeoIP-ru"
4.Создаем отдельную таблицу маршрутизации для русских
/routing/table add name="rus" fib
5. Для VPN сервера добавляем маршрут через провайдера, чтобы его не потерять
/ip/route add dst-address=[адрес VPN сервера] gateway=ether1
6. Добавляем маршрут по умолчанию на весь мир в VPN в основной таблице маршрутизации (она есть по-умолчанию).
/ip/route add gateway=[адрес дальнего конца тоннеля] routing-table="main"
6. Добавляем маршрут по умолчанию для России на провайдера в таблице маршрутизации "rus"
/ip/route add gateway=ether1 routing-table="rus"
7.Задаем в файерволе правило, что если ip назначения относится к списку адресов России "GeoIP-ru", то метим пакет меткой rus
/ip firewall mangle
add action=mark-routing chain=prerouting comment="Outgoing to rus" dst-address-list=GeoIP-ru new-routing-mark=rus src-address=192.168.88.0/24
add action=mark-routing chain=prerouting comment="Incoming from rus" dst-address=[provider gw] new-routing-mark=rus src-address-list=GeoIP-ru
8.Выключаем fastpath, иначе тормозит
/ip settings set allow-fast-path=no
9.Включаем DOH для DNS, иначе за нас определяют, какие запросы можно, а какие нет (нужна версия RouterOS 7.19 и дальше, иначе придется искать корневые сертификаты)
/certificate/settings/set builtin-trust-anchors=trusted/ip dns set use-doh-server=https://security.cloudflare-dns.com/dns-query verify-doh-cert=yes
Такжеhttps://security.cloudflare-dns.com/dns-queryhttps://1.0.0.1/dns-queryhttps://dns.google/dns-queryhttps://8.8.4.4/dns-queryhttps://dns.quad9.net/dns-queryhttps://149.112.112.112/dns-queryhttps://doh.opendns.com/dns-queryhttps://wikimedia-dns.org/dns-queryhttps://dns.adguard-dns.com/dns-queryhttps://extended.dns.mullvad.net/dns-queryhttps://dns.nextdns.iohttps://doh.qis.io/dns-queryhttps://dns.surfsharkdns.com/dns-query
(Информация отсюда)
https://security.cloudflare-dns.com/dns-query
https://1.0.0.1/dns-query
https://dns.google/dns-query
https://8.8.4.4/dns-query
https://dns.quad9.net/dns-query
https://149.112.112.112/dns-query
https://doh.opendns.com/dns-query
https://wikimedia-dns.org/dns-query
https://dns.adguard-dns.com/dns-query
https://extended.dns.mullvad.net/dns-query
https://dns.nextdns.io
https://doh.qis.io/dns-query
https://dns.surfsharkdns.com/dns-query
