Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/
Понял, благодарю за разъяснение!Proger125 писал(а): ↑19 авг 2022, 12:30 Не совсем так. Дело не в prerouting. Дело в add dst.
passthrough(yes | no; default:yes) - следует ли пропускать пакет дальше после маркировки его заданной меткой.
Cвойство действительно, только если действие соответствует определенной выборке - например, mark packet, connection или routing mark.
Код: Выделить всё
/ip firewall layer7-protocol
add name=torrent-www regexp="^.*(get|GET).+(torrent|thepiratebay|isohunt|enterta\
ne|demonoid|btjunkie|mininova|flixflux|vertor|h33t|zoozle|bitnova|bitsoup|me\
ganova|fulldls|btbot|fenopy|gpirate|commonbits).*\$"
add name=torrent-dns regexp="^.+(torrent|thepiratebay|isohunt|entertane|demonoid\
|btjunkie|mininova|flixflux|vertor|h33t|zoozle|bitnova|bitsoup|meganova|full\
dls|btbot|fenopy|gpirate|commonbits|bittorrent|bit-torrent).*\$"
add name=torrent-dht regexp="^d1:[a|r]d2:id20:.*:y1:[q|r]e"
Код: Выделить всё
/ip firewall mangle
add action=mark-connection chain=prerouting comment=torrent-www layer7-protocol=torrent-www new-connection-mark=torrent-con passthrough=yes
add action=mark-connection chain=prerouting comment=torrent-dns layer7-protocol=torrent-dns new-connection-mark=torrent-con passthrough=yes
add action=mark-connection chain=prerouting comment=torrent-dht layer7-protocol=torrent-dht new-connection-mark=torrent-con passthrough=yes
add action=mark-packet chain=prerouting comment=torrent connection-mark=torrent-con new-packet-mark=torrent-packet passthrough=no
Код: Выделить всё
/queue simple
add disabled=yes dst=ether1 max-limit=10M/10M name=TorrentsForVIP packet-marks=torrent-packet target=10.0.0.20/32
add dst=ether1 max-limit=64k/64k name=TorrentsForAll packet-marks=torrent-packet target=MAIN-bridge
Добрый день! Не подскажете столкнулся с проблемой. При использовании данного правила ипшники добавляются в адрес лист и трафик уходит в впн, но есть проблема. Ощущение что он не все нужные ип добавляет, так как наблюдал картину, когда первый раз открываешь приложение инсты, оно не грузит ничего. Второй раз все работает. Далее выгружаешь приложение из памяти смартфона и заново его запускаешь и оно не грузит контент. Ощущение что правило не добавляет нужные ип адреса. Можно ли пофиксить данную проблему?ArtVAnt писал(а): ↑15 авг 2022, 16:58К сожалению у меня ничего не вышло с перечислением в одном правиле, ни через запятую, ни через пробел, ни через точку с запятой) но при этом он дает сохранить это в таком виде, но счетчик не прибавляет и соответственно ничего не работает.
Отдельные правила отлично работают.
К сожалению не нашел инфы, что можно и в каком виде прописать в строку tls host и можнл ли указывать как-то несколько. Это было бы логичным на мой взгляд)
Кстати, в моем случае получается так, что нет проблемы с открытием сайта, если этого адреса еще нет в списке(для первого открытия).
Сначала у меня идет правило Ваше, которое добавляет ip адрес в адрес лист, а далее идет правило мое, которое mark route, для которого уже получается адрес добавился в адрес лист и он спокойно уходит куда нужно). В вашем случае по идее тоже же не должно быть такой проблемы, еслт у вас не заканчивается обработка на моменте добавления адреса в адрес лист а дальше идет вниз по правилам фаервола
Конечно не все. Более того, они меняются, подключаются разные CDN причем логику переключений знают только разработчики приложения.zikolingmoth писал(а): ↑19 дек 2022, 03:00 Добрый день! Не подскажете столкнулся с проблемой. При использовании данного правила ипшники добавляются в адрес лист и трафик уходит в впн, но есть проблема. Ощущение что он не все нужные ип добавляет, так как наблюдал картину, когда первый раз открываешь приложение инсты, оно не грузит ничего. Второй раз все работает. Далее выгружаешь приложение из памяти смартфона и заново его запускаешь и оно не грузит контент. Ощущение что правило не добавляет нужные ип адреса. Можно ли пофиксить данную проблему?
Можно. Решается связкой: правило TLS HOST + перехват DNS request/answer.zikolingmoth писал(а): ↑19 дек 2022, 03:00
Добрый день! Не подскажете столкнулся с проблемой. При использовании данного правила ипшники добавляются в адрес лист и трафик уходит в впн, но есть проблема. Ощущение что он не все нужные ип добавляет, так как наблюдал картину, когда первый раз открываешь приложение инсты, оно не грузит ничего. Второй раз все работает. Далее выгружаешь приложение из памяти смартфона и заново его запускаешь и оно не грузит контент. Ощущение что правило не добавляет нужные ип адреса. Можно ли пофиксить данную проблему?
Можете описать поподробнее ваш способ, было бы идаельно с командами в терминале. Очень благодарен что подсказали в каком направлении думать!Proger125 писал(а): ↑20 дек 2022, 00:43Можно. Решается связкой: правило TLS HOST + перехват DNS request/answer.zikolingmoth писал(а): ↑19 дек 2022, 03:00
Добрый день! Не подскажете столкнулся с проблемой. При использовании данного правила ипшники добавляются в адрес лист и трафик уходит в впн, но есть проблема. Ощущение что он не все нужные ип добавляет, так как наблюдал картину, когда первый раз открываешь приложение инсты, оно не грузит ничего. Второй раз все работает. Далее выгружаешь приложение из памяти смартфона и заново его запускаешь и оно не грузит контент. Ощущение что правило не добавляет нужные ип адреса. Можно ли пофиксить данную проблему?
Так и есть. TLS HOST добавляет только часть ip адресов в список. В настоящий момент времени еще необходимо добавлять все ip адреса, что резольвятся DNS по данному домену и всем его субдоменам. Если посмотреть трафик к этим доменам, там не всегда полное пересечение по ip с теми, что получены от TLS HOST.
Но нужно учесть нюанс, упомянутый GMX в предыдущем сообщении, ответ DNS на соответствующий запрос должен быть из той же географической зоны, куда ходит ваш VPN. Для разных регионов, разные пулы ip из CDN. Именно поэтому недостаточно просто взять и добавить в Address List наименование host.com и думать, что теперь всё завернется в канал. Современные порталы разный контент грузят с разных субдоменов, расположенных на разных ip (и всё это с оглядкой на геозоны CDN). Использование маски, например, *.host.com в перехвате DNS ответов решает это полностью (об этом ниже). Либо самостоятельно изучите трафик и посмотрите все субдомены к которым идёт обращение. В принципе, можно попробовать их всех прописать вручную в Address List как a.host.com, b.host.com и т.д., но некоторые порталы создают такие субдомены динамически и там поможет только маска *. И еще раз про геозону DNS, если у вас инста резольвится через московский cloudflare, а впн бегает в Амстердам, то есть шанс словить connection refused у сайта, делайте всё красиво - в одной геозоне vpn и dns resolver.
Что касаемо перехвата, то перехватить ip прилетающие в качестве ответов на DNS request нужного домена стандартными средствами ROS не получится. Решения кастомные в принципе есть, разные способы, разные плюсы и минусы. Каждый сам изобретает свой велосипед. Я сделал у себя даже в рилтайме добавление DNS answer в Address List. Ни одного ip не теряется, все открывается сразу. И какие там субдомены, сколько их - у меня голова не болит.
Получаемое решение именно через перехват DNS request/answer - очень гибкое. Заворачивать в канал можно выборочно субдомены, а можно домены целиком, или даже полностью доменные зоны. С тем вектором, как развивается криптографическая защита трафика, работоспособность одного лишь способа TLS HOST лишь временна. Закроют это поле шифром или сам пакет установления связи TLS и всё, его не прочесть. Если мне не изменяет память, в TLS 1.3 уже можно скрывать это поле по желанию. Сохраняйте контроль над DNS запросами за собой, в этом решение.
К сожалению, команд в терминале Микротик у меня почти не используется для этой задачи, мой способ это связка Микротик + VPS. В которой на долю Микротик приходится лишь 5% действий и 95% всего остального на серверный Linux. Настройку и администрирование Linux я не осилю расписать. Средствами ROS, как я уже писал, более менее приличный анализ трафика DNS не предусмотрен.zikolingmoth писал(а): ↑23 дек 2022, 19:04
Можете описать поподробнее ваш способ, было бы идаельно с командами в терминале. Очень благодарен что подсказали в каком направлении думать!
Воспользовался данной настройкой. Но адреса начинает добавлять только если установить на TLS host noteProger125 писал(а): ↑12 авг 2022, 12:30 IP / FIREWALL / MANGLE (верх списка)
- создаем правило Prerouting, где src - ваша локалка, протокол: tcp, порт: 443;
вкладка Advanced - поле TLS host: *.host
вкладка Action - add dst to address list; addresslist - viaVPN; таймаут можно поставить 7 дней;
Комментарий: В address lists начнут динамически добавляться ip-шники и исчезать через неделю, потом опять появляться по мере необходимости. Самый первый раз открытие хоста сам хост в браузере не отобразит, но добавит в списки необходимые адреса. Повторный релоад страницы уже запустит настроенную маршрутизацию и отображение сайта. В последующем всё будет открываться с первого раза.
