mindspace

Appearance

Questions:

  • how to be anonymous from my ISP? what does my ISP see exactly?

Facts:

  • PLAY BOX NET router HFC: NE6037

    • nie można przekierować portów,
    • działa tylko w trybie router
    • zmienne IP
    • dostępny DMZ
    • tryb portu 2.5Gbit jako WAN
    • urządzenia łączą się do sieci z tego routera

  • raspberry pi 5

    • podłączony do routera PLAY BOX NET
    • działa na nim Pi-hole
    • działa na nim DNS over HTTPS z Cloudflare - Pi-hole ma ustawione DNS na localhost#5053
    • na urządzeniach podłączonych do sieci domowej ustawione są DNS na IP raspberry pi

  • mikrotik device: HAP AX3

    • Aktualnie do portu 2.5Gbit w PLAY BOX NET podłączony jest Mikrotik (do portu internet)

  • mam wykupioną subskrypcję NordVPN

Opcje:

  • tailscale
  • DMZ do Mikrotika (wówczas cały ruch przychodzący będzie kierowany do Mikrotika)
  • ale taki setup nie ukrywa w pełni ruchu przed ISP. Aby ukryć aktywność potrzebny tunel VPN do jakiegoś zewnętrznego dostawcy / usługi w chmurze. Wtedy ISP widzi tylko jedno zaszyfrowane połączenie do serwera VPN, nie widzi docelowych stron.
  • najprostsza ścieżka: użyć mikrotika jako głównego routera + klient NordVPN na mikrotiku. Podłączam port WAN Mikrotika do portu LAN. Na mikrotiku konfiguruję własną podsieć LAN (urządzenia w domu łączą się do Mikrotika który przyznaje adresy z DHCP). W Mikrotiku konfiguruje połączenie NordVPN (IKEv2). Teraz cały ruch z 192.168.1.x idzie przez Mikrotik -> NordVPN -> Internet. ISP widzi jedynie szyfrowane pakiety wychodzące z Mikrotika do NordVPN nie zaś docelowe witryny. Niestety takie rozwiązanie wprowadza podwójny NAT. (ISP NAT + Mikrotik NAT)

/ip ipsec peer add address=pl238.nordvpn.com exchange-mode=ike2 name=NordVPN profile=NordVPN

/ip ipsec identity add auth-method=eap certificate="" eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=NordVPN peer=NordVPN policy-template-group=NordVPN username=login password=pwd

ustawienie nordvpn na mikrotiku

  1. recommended nordvpn server from https://nordvpn.com/servers/tools/
  • pl202.nordvpn.com
  1. get service credentials

/ip ipsec peer add address=pl202.nordvpn.com exchange-mode=ike2 name="NordVPN server" profile="NordVPN profile"

Last updated:

Released under the MIT License.

Copyright © 2025-present Wojciech Tyziniec