Страница 34 из 48
Re: Как завернуть весь трафик Youtube в VPN
Добавлено: 09 сен 2024, 16:20
RusCosmic
Кстати, для инормации.
У меня (как и у многих) провайдер блочит WireGuard "за бугор".
Как решил обход я:
1) Подключил тунельного брокера (6to4 и Hurricane Electric как резерв). Настроил IPv6
2) Зарегестрировал себе CloudFlare Warp.
3) Настроил WireGuard VPN до WARP, но через IPV6.
Итог:
Сайты IPV6 - работают без ограничений.
Те сайты IPv4 что требуют обход блокировки - пускаю через WireGuard VPN (через тунельного брокера, пока ТСПУ Роскомнадзора не блочит WG).
Как по мне, всё это вопрос времени, научат они "черный ящик" ловить и такие соединения.
Re: Как завернуть весь трафик Youtube в VPN
Добавлено: 09 сен 2024, 16:50
Aiser
paladingag писал(а): ↑07 сен 2024, 19:35
chr1 и chr2 это два независимых l2tp+ipsec интерфейса наружу
Код: Выделить всё
/ip firewall raw
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
content=googlevideo.com dst-address-list=!own_adresses
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
content=youtube.com dst-address-list=!own_adresses
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
content=youtu.be dst-address-list=!own_adresses
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=Youtube new-routing-mark=youtube \
passthrough=no
/ip route
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=chr1 routing-table=youtube scope=30 \
suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=chr2 routing-table=youtube scope=30 \
suppress-hw-offload=no target-scope=10
Если я не ошибаюсь, то согласно мануалу
Mikrotik вариант с
content=: не работает с
HTTPS-трафиком, поскольку содержимое зашифровано. Сайты (
YouTube и т.д.) используют
HTTPS, поэтому такие правила будут бесполезны для этих доменов.
Применяется только к трафику, где содержимое не зашифровано (
HTTP).
Нужно использовать вариант с
tls-host:
Код: Выделить всё
/ip firewall raw
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting protocol=tcp tls-host=*.googlevideo.com comment="googlevideo.com"
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting protocol=tcp tls-host=*.youtube.* comment="youtube.com"
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting protocol=tcp tls-host=youtu.be comment="youtu.be"
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting protocol=tcp tls-host=*.ytimg.com comment="ytimg.com"
как раз работает с зашифрованными
HTTPS, проверяя поля сертификата
TLS, которые передаются незашифрованными. Это позволяет распознать домен, к которому идет трафик, даже если он защищен
HTTPS.
Работает с версии
RouterOS 6.42. Также обязательно:
*.googlevideo.com, *.ytimg.com, *.youtube.*, чтобы правильно определялись
IP на весь
HTTPS-трафик поддоменов.
tls-host (строка; По умолчанию: ) — Позволяет фильтровать HTTPS-трафик на основе имени хоста, указанного в TLS SNI (Server Name Indication). Поддерживает синтаксис GLOB для использования подстановочных символов (например, *.example.com). Важно учитывать, что фильтрация может не сработать, если TLS-рукопожатие (установка защищенного соединения) будет разделено на несколько TCP-пакетов, поскольку имя хоста может не быть видно в каждом из них.
Re: Как завернуть весь трафик Youtube в VPN
Добавлено: 09 сен 2024, 21:45
eclegolas
pipitos писал(а): ↑07 сен 2024, 21:08
paladingag писал(а): ↑07 сен 2024, 19:35
pipitos писал(а): ↑07 сен 2024, 19:26
Можно ли как то поподробнее и желательно с экспортом ip/firewall всего .
chr1 и chr2 это два независимых l2tp+ipsec интерфейса наружу
Код: Выделить всё
/ip firewall raw
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
content=googlevideo.com dst-address-list=!own_adresses
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
content=youtube.com dst-address-list=!own_adresses
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
content=youtu.be dst-address-list=!own_adresses
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=Youtube new-routing-mark=youtube \
passthrough=no
/ip route
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=chr1 routing-table=youtube scope=30 \
suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=chr2 routing-table=youtube scope=30 \
suppress-hw-offload=no target-scope=10
Спасибо. Тут бы еще добавить адрес ytimg.com так как привьюшки видео без него не грузятся. А так да работает. Ну и fasttrack выключить/
upd. и да кстати белый айпишник и адрес интерфейса тунеля добавляются в адрес листы их нужно исключить
Подскажите неопытному, "белый айпишник" тот что от интернет провайдера? И "адрес интерфейса тунеля" тот что от РКН провайдера? Вы о них говорите, или я ошибся?
Re: Как завернуть весь трафик Youtube в VPN
Добавлено: 10 сен 2024, 07:36
gmx
Re: Как завернуть весь трафик Youtube в VPN
Добавлено: 10 сен 2024, 07:38
gmx
eclegolas писал(а): ↑09 сен 2024, 21:45
И "адрес интерфейса тунеля" тот что от РКН провайдера? Вы о них говорите, или я ошибся?
Это вообще что-то новое! Не испытанное! :)
Re: Как завернуть весь трафик Youtube в VPN
Добавлено: 10 сен 2024, 09:32
eclegolas
gmx писал(а): ↑10 сен 2024, 07:38
eclegolas писал(а): ↑09 сен 2024, 21:45
И "адрес интерфейса тунеля" тот что от РКН провайдера? Вы о них говорите, или я ошибся?
Это вообще что-то новое! Не испытанное! :)
про белый и серый адрес понимание есть, вопрос был в другом)
Есть адрес туннеля VPN, сейчас просто стало модно подменять эти три буквы на РКН. Есть белый IP от провайдера, который предоставляет услуги интернет.
Мой был вопрос, про что товарисч говорит)
Re: Как завернуть весь трафик Youtube в VPN
Добавлено: 10 сен 2024, 12:25
gmx
Да, видимо я старый стал. Прошу прощения, не понял современный сленг.
Re: Как завернуть весь трафик Youtube в VPN
Добавлено: 10 сен 2024, 23:29
Lurker
RusCosmic писал(а): ↑09 сен 2024, 14:47
Смысл в бесплатности и скорости. Ничто не мешает Вам сделать адрес лист с нужными Вам доменами и ходить на них по IPv6, остальное по IPV4.
не понял, а как?
Вот у меня клиент отправляет IP v6\v4 пакет.
Если v6, то роутер кидает в 6to4 туннель.
Если v4 то напрямую.
Как это списками то поправить? Я же не могу v6 пакет кинуть своему провайдеру, который v6 не умеет.
P.S. По поводу гидрантов. Роутер не выдаёт v6 ip, компы их сами берут... на неизменчивость проверю и проверю какой блок выдаётся. Как время будет поковыряться.
Re: Как завернуть весь трафик Youtube в VPN
Добавлено: 11 сен 2024, 10:18
RusCosmic
Lurker писал(а): ↑10 сен 2024, 23:29
RusCosmic писал(а): ↑09 сен 2024, 14:47
Смысл в бесплатности и скорости. Ничто не мешает Вам сделать адрес лист с нужными Вам доменами и ходить на них по IPv6, остальное по IPV4.
не понял, а как?
Вот у меня клиент отправляет IP v6\v4 пакет.
Если v6, то роутер кидает в 6to4 туннель.
Если v4 то напрямую.
Как это списками то поправить? Я же не могу v6 пакет кинуть своему провайдеру, который v6 не умеет.
P.S. По поводу гидрантов. Роутер не выдаёт v6 ip, компы их сами берут... на неизменчивость проверю и проверю какой блок выдаётся. Как время будет поковыряться.
При чём тут Ваш провайдер, всё что по IPv6 - идёт через тунельного брокера.
Далаете адрес лист (ну например с IPv6 адресами ютуба), далее правило в Firewall Ipv6 (примерно такое как на картинке)
Всё остальное запрещаем.
Я бы так делал примерно.
PS. Логика такая: Разрешить из бриджа в тунель, только явно указанные Ipv6 адреса. Остальное не разрешать.
Re: Как завернуть весь трафик Youtube в VPN
Добавлено: 11 сен 2024, 11:51
Erik_U
Так не будет работать.
ПО факту получается так, что браузер при доступе к одному и тому же сайту ломится на него то по IP4, то по IP6.
И от чего это зависит - непонятно, потому, что в кеше ДНС-а в этот момент есть и А запись, и АААА.
Ваше правило не будет работать.
Потому, что фильтры IP6 оперируют и с адрес-листами IP6, и сформированный адрес-лист будет содержать адреса IP6.
В случае, если ваш браузер пойдет на сайт по IP4, его это правило вообще не коснется.
А если браузер пойдет на другой сайт (которого нет в адрес-листе) по IP6, то его просто отрубит, но он и не подумает переключиться на IP4. Будет выдавать свое "проверьте соединение".