Как завернуть весь трафик Youtube в VPN

[RusCosmic]

Ребят. Вроде пока что достаточно спрятаться от DPI.
Как бы на микротике реализовать это, чтобы не перенаправлять весь трафик через VPN?
Потому что у VPS/VDS есть лимиты на трафик.
Под моим управлением пять домов/семей под микротиком. И гнать всё через один заграничный ВПН - так себе идея... Трафик быстро закончится
И пока что GGC в РФ работают, зачем зря трафик гнать через другие страны...

Тоже хотелось бы спрятаться от DPI. Пока как я понял Микротику это не под силу

[Erik_U]

Тоже хотелось бы спрятаться от DPI. Пока как я понял Микротику это не под силу

а кому под силу, есть примеры?
как от него можно спрятаться, если тип даже зашифрованного траффика распознается DPI по сигнатурам?

[RusCosmic]

Тоже хотелось бы спрятаться от DPI. Пока как я понял Микротику это не под силу

а кому под силу, есть примеры?
как от него можно спрятаться, если тип даже зашифрованного траффика распознается DPI по сигнатурам?

Ну на ПК, например это goodbye dpi

[Erik_U]

https://goodbyedpi.com/

Работает ли GoodbyeDPI с зашифрованным трафиком?
GoodbyeDPI может иметь ограниченную эффективность при работе с зашифрованным трафиком, поскольку он не может проверять содержимое зашифрованных пакетов.

Траффик ютуб зашифрованный.

[DMU]

Решение на базе GoodbyeDPI.

[sergeilarin]

Добрый день!

Чтобы не плодить темы, спрошу тут (прошу сильно ногами не бить, я совсем новичок в микротиках - практически вся настройка сделана на основе мануалов из интернета, могу путать некоторые понятия).
Я поднял на Аезе VPS + VPN с безлимитным трафиком. Установил Убунту, Докер и WireGuard. Домашняя сеть выглядит так: провод от провайдера (им выдано два ДНС, один гейтвэй) в 1 порте - центральное устройство RB2011UiAS-2HnD - от 2-го порта и далее через бридж локальные устройства в доме (два ТВ, ПК - все по физическому кабелю).
Как хотел работу ВПН в роутере: роутер сверяет трафик с адрес-листом - при совпадении пускает через интерфейс WG - при отсутствии совпадений через базовый интерфейс WAN. В целом, все работало нормально до блокировки Ютуба (например, прекрасно завелась запрещенная соцсеть (сразу на всех устройствах + WiFi) - было добавлено порядка 15-20 айпишников).
С ютубом ситуация тяжелая - добавил уже почти все айпишники, которые нашел в интернете + мониторил через расширение IPvFoo. На компьютере все завелось - нормальная скорость, лагов нет, ютуб немецкий. На телевизорах - примерно половина ютуба отвалилась (видео грузятся через одно, но, например, появилась немецкая реклама). После того, как добавил все, что нашел через IPvFoo - на телевизоре вообще приложение отвалилось от сети.

Прошу помощи, советов.
Для инфо мой конфиг.

Код: Выделить всё

# 2024-07-28 14:39:01 by RouterOS 7.15.2
# software id = **ELIDED**
#
# model = RB2011UiAS-2HnD
# serial number = 
/interface bridge
add name=bridge1-LAN port-cost-mode=short
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no distance=indoors installation=outdoor max-station-count=50 \
    mode=ap-bridge name="wlan1-2.4 GHz" ssid="**ELIDED**" wireless-protocol=\
    802.11 wmm-support=enabled wps-mode=disabled
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN
set [ find default-name=ether6 ] comment=ACUVOX
/interface wireguard
add listen-port=13231 name=wireguard1
/interface list
add name=list1-WAN
add name=list2-LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
    supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool1 ranges=192.168.168.21-192.168.168.199
/ip dhcp-server
add address-pool=dhcp_pool1 interface=bridge1-LAN lease-time=10m name=dhcp1
/ip smb users
set [ find default=yes ] disabled=yes
/port
set 0 name=serial0
/routing table
add disabled=no fib name=wg
/interface bridge port
add bridge=bridge1-LAN interface=ether2 internal-path-cost=10 path-cost=10
add bridge=bridge1-LAN interface=ether3 internal-path-cost=10 path-cost=10
add bridge=bridge1-LAN interface=ether4 internal-path-cost=10 path-cost=10
add bridge=bridge1-LAN interface=ether5 internal-path-cost=10 path-cost=10
add bridge=bridge1-LAN interface=ether6 internal-path-cost=10 path-cost=10
add bridge=bridge1-LAN interface=ether7 internal-path-cost=10 path-cost=10
add bridge=bridge1-LAN interface=ether8 internal-path-cost=10 path-cost=10
add bridge=bridge1-LAN interface=ether9 internal-path-cost=10 path-cost=10
add bridge=bridge1-LAN interface=ether10 internal-path-cost=10 path-cost=10
add bridge=bridge1-LAN interface="wlan1-2.4 GHz" internal-path-cost=10 \
    path-cost=10
/ip firewall connection tracking
set udp-timeout=10s
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface list member
add interface=ether1-WAN list=list1-WAN
add interface=bridge1-LAN list=list2-LAN
/interface wireguard peers
add allowed-address=0.0.0.0/0 endpoint-address= **ELIDED** endpoint-port=\
    51820 interface=wireguard1 name=WereguardVPN preshared-key=\
    "" public-key=\
    ""
/ip address
add address=192.168.168.1/24 interface=bridge1-LAN network=192.168.168.0
add address=10.247.218.17/24 interface=ether1-WAN network=10.247.218.0
add address=10.10.10.5 interface=wireguard1 network=10.10.10.5
/ip dhcp-client
add default-route-distance=2 interface=ether1-WAN
/ip dhcp-server lease
add address= **ELIDED** server=dhcp1
/ip dhcp-server network
add address=192.168.168.0/24 gateway=192.168.168.1
/ip dns
set allow-remote-requests=yes servers=\
    10.240.8.2,77.241.17.2,1.1.1.1,10.10.10.5
/ip firewall address-list
add address= **VERY LONG LIST ELIDED**
/ip firewall filter
add action=accept chain=input connection-state=established,related,untracked
add action=drop chain=input connection-state=invalid
add action=accept chain=input protocol=icmp
add action=drop chain=input in-interface-list=!list2-LAN
add action=accept chain=forward out-interface-list=list1-WAN
add action=accept chain=forward ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward connection-state=\
    established,related disabled=yes hw-offload=yes
add action=accept chain=forward connection-state=\
    established,related,untracked
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward connection-nat-state=!dstnat connection-state=\
    new in-interface=ether1-WAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-mark=no-mark connection-state=established,related hw-offload=\
    yes
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=to-wg \
    new-routing-mark=wg passthrough=yes
add action=mark-connection chain=prerouting connection-state=new \
    dst-address-list=to-wg new-connection-mark=to-wg passthrough=yes
add action=mark-connection chain=prerouting comment=\
    "Netflix by Heirro Networking" disabled=yes dst-address-list=to-wg \
    new-connection-mark=to-wg passthrough=yes src-address-list=IP-Local
add action=mark-packet chain=forward connection-mark=NetflixConnection \
    disabled=yes in-interface=wireguard1 new-packet-mark=NetflixDownload \
    passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=list1-WAN
add action=dst-nat chain=dstnat **ELIDED** protocol=tcp \
    src-address-list=admlist to-addresses=192.168.168.198 to-ports=80
add action=masquerade chain=srcnat out-interface=wireguard1 src-address=\
    192.168.168.0/24 src-address-list=""
/ip firewall raw
add action=add-dst-to-address-list address-list=to-wg address-list-timeout=\
    35w3d chain=prerouting comment="Netflix by Heirro Networking" content=\
    netflix.com disabled=yes
add action=add-dst-to-address-list address-list=to-wg address-list-timeout=\
    35w3d chain=prerouting content=nflxso.net disabled=yes
add action=add-dst-to-address-list address-list=to-wg address-list-timeout=\
    35w3d chain=prerouting content=nflxext.com disabled=yes
/ip route
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.247.218.1 \
    pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
    target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=wireguard1 \
    routing-table=wg scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address= **ELIDED**/32 gateway=10.247.218.1 \
    routing-table=main scope=30 suppress-hw-offload=no target-scope=10
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip smb shares
set [ find default=yes ] directory=/pub
/system clock
set time-zone-name= **ELIDED**
/system note
set show-at-login=no
/system routerboard settings
set auto-upgrade=yes

[Sires]

Поддерживаю вопрос. Хочется найти список IP, к которым обращается приложение "Мобильного" Youtube.

Как хотел работу ВПН в роутере: роутер сверяет трафик с адрес-листом - при совпадении пускает через интерфейс WG - при отсутствии совпадений через базовый интерфейс WAN. В целом, все работало нормально до блокировки Ютуба (например, прекрасно завелась запрещенная соцсеть (сразу на всех устройствах + WiFi) - было добавлено порядка 15-20 айпишников).

[starik222]

Добрый день!

Чтобы не плодить темы, спрошу тут (прошу сильно ногами не бить, я совсем новичок в микротиках - практически вся настройка сделана на основе мануалов из интернета, могу путать некоторые понятия).
Я поднял на Аезе VPS + VPN с безлимитным трафиком. Установил Убунту, Докер и WireGuard. Домашняя сеть выглядит так: провод от провайдера (им выдано два ДНС, один гейтвэй) в 1 порте - центральное устройство RB2011UiAS-2HnD - от 2-го порта и далее через бридж локальные устройства в доме (два ТВ, ПК - все по физическому кабелю).
Как хотел работу ВПН в роутере: роутер сверяет трафик с адрес-листом - при совпадении пускает через интерфейс WG - при отсутствии совпадений через базовый интерфейс WAN. В целом, все работало нормально до блокировки Ютуба (например, прекрасно завелась запрещенная соцсеть (сразу на всех устройствах + WiFi) - было добавлено порядка 15-20 айпишников).
С ютубом ситуация тяжелая - добавил уже почти все айпишники, которые нашел в интернете + мониторил через расширение IPvFoo. На компьютере все завелось - нормальная скорость, лагов нет, ютуб немецкий. На телевизорах - примерно половина ютуба отвалилась (видео грузятся через одно, но, например, появилась немецкая реклама). После того, как добавил все, что нашел через IPvFoo - на телевизоре вообще приложение отвалилось от сети.

Прошу помощи, советов.
Для инфо мой конфиг.

А если полностью завернуть весь трафик в VPN, телевизоры нормально начинают работать? У меня ТВ нет, но на планшете и телефоне ютуб, с указанным выше списком IP, работает нормально. Настраивал WG по вот этой инструкции, и в самом низу инструкции есть "MTU fix...", вот пока я не исправил MTU, у меня были проблемы с прогрузкой сайтов, поэтому попробуйте, мб это ваш случай.
Попробуйте также поиграться со списком соединений, чтобы посмотреть, что с ТВ идет через шлюз провайдера, а что через WG.

[sergeilarin]

Добрый день!

Чтобы не плодить темы, спрошу тут (прошу сильно ногами не бить, я совсем новичок в микротиках - практически вся настройка сделана на основе мануалов из интернета, могу путать некоторые понятия).
Я поднял на Аезе VPS + VPN с безлимитным трафиком. Установил Убунту, Докер и WireGuard. Домашняя сеть выглядит так: провод от провайдера (им выдано два ДНС, один гейтвэй) в 1 порте - центральное устройство RB2011UiAS-2HnD - от 2-го порта и далее через бридж локальные устройства в доме (два ТВ, ПК - все по физическому кабелю).
Как хотел работу ВПН в роутере: роутер сверяет трафик с адрес-листом - при совпадении пускает через интерфейс WG - при отсутствии совпадений через базовый интерфейс WAN. В целом, все работало нормально до блокировки Ютуба (например, прекрасно завелась запрещенная соцсеть (сразу на всех устройствах + WiFi) - было добавлено порядка 15-20 айпишников).
С ютубом ситуация тяжелая - добавил уже почти все айпишники, которые нашел в интернете + мониторил через расширение IPvFoo. На компьютере все завелось - нормальная скорость, лагов нет, ютуб немецкий. На телевизорах - примерно половина ютуба отвалилась (видео грузятся через одно, но, например, появилась немецкая реклама). После того, как добавил все, что нашел через IPvFoo - на телевизоре вообще приложение отвалилось от сети.

Прошу помощи, советов.
Для инфо мой конфиг.

А если полностью завернуть весь трафик в VPN, телевизоры нормально начинают работать? У меня ТВ нет, но на планшете и телефоне ютуб, с указанным выше списком IP, работает нормально. Настраивал WG по вот этой инструкции, и в самом низу инструкции есть "MTU fix...", вот пока я не исправил MTU, у меня были проблемы с прогрузкой сайтов, поэтому попробуйте, мб это ваш случай.
Попробуйте также поиграться со списком соединений, чтобы посмотреть, что с ТВ идет через шлюз провайдера, а что через WG.

Спасибо за рекомендации.
Попробовал весь трафик пустить через VPN - ситуация такая же (браузер - все отлично, ТВ - Ютуб полностью умер, даже внутрь приложения не пускает).
Зато ожил Нетфликс. Буду искать дальше.

[starik222]

Добрый день!

Чтобы не плодить темы, спрошу тут (прошу сильно ногами не бить, я совсем новичок в микротиках - практически вся настройка сделана на основе мануалов из интернета, могу путать некоторые понятия).
Я поднял на Аезе VPS + VPN с безлимитным трафиком. Установил Убунту, Докер и WireGuard. Домашняя сеть выглядит так: провод от провайдера (им выдано два ДНС, один гейтвэй) в 1 порте - центральное устройство RB2011UiAS-2HnD - от 2-го порта и далее через бридж локальные устройства в доме (два ТВ, ПК - все по физическому кабелю).
Как хотел работу ВПН в роутере: роутер сверяет трафик с адрес-листом - при совпадении пускает через интерфейс WG - при отсутствии совпадений через базовый интерфейс WAN. В целом, все работало нормально до блокировки Ютуба (например, прекрасно завелась запрещенная соцсеть (сразу на всех устройствах + WiFi) - было добавлено порядка 15-20 айпишников).
С ютубом ситуация тяжелая - добавил уже почти все айпишники, которые нашел в интернете + мониторил через расширение IPvFoo. На компьютере все завелось - нормальная скорость, лагов нет, ютуб немецкий. На телевизорах - примерно половина ютуба отвалилась (видео грузятся через одно, но, например, появилась немецкая реклама). После того, как добавил все, что нашел через IPvFoo - на телевизоре вообще приложение отвалилось от сети.

Прошу помощи, советов.
Для инфо мой конфиг.

А если полностью завернуть весь трафик в VPN, телевизоры нормально начинают работать? У меня ТВ нет, но на планшете и телефоне ютуб, с указанным выше списком IP, работает нормально. Настраивал WG по вот этой инструкции, и в самом низу инструкции есть "MTU fix...", вот пока я не исправил MTU, у меня были проблемы с прогрузкой сайтов, поэтому попробуйте, мб это ваш случай.
Попробуйте также поиграться со списком соединений, чтобы посмотреть, что с ТВ идет через шлюз провайдера, а что через WG.

Спасибо за рекомендации.
Попробовал весь трафик пустить через VPN - ситуация такая же (браузер - все отлично, ТВ - Ютуб полностью умер, даже внутрь приложения не пускает).
Зато ожил Нетфликс. Буду искать дальше.

Я бы на вашем месте сделал полный сброс настроек и заново попробовал настроить все по инструкции сначала для полного перенаправления трафика (без списка адресов), и если все заработает (а работать должно, если все правильно), то уже играться с частичным перенаправлением. По конфигу, вижу что в фаерволе включен fasttrack (на сколько я понимаю, он может вызывать проблемы с маркировкой пакетов)