Как завернуть весь трафик Youtube в VPN

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
jollo
Сообщения: 2
Зарегистрирован: 17 авг 2024, 09:00

тут никто ниразу не упомянул такую штуку как кэширующие серверы. Те самые, якобы из-за усталости которых (ага!) в рашке начал тормозить ютуб.

но кэширующие серверы есть не только в России! и они находятся не на айпишниках гугла.


у вас зависает ютуб через впн именно из-за того, что тянет трафик с буржуйского кеширующего сервера, а он идет мимо впн, через DPI от РосКомНадз

я взял готовый впн до Праги. Настроил маркировку маршрутов по подсетям гугла (нашёл их в начале этой темы), сделал ещё вместо одного маршрута в тоннель - два с маской
/1 , дабы приоритет повысить

Код: Выделить всё

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/1 gateway=wg1 routing-table=\
    Youtube-route scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=128.0.0.0/1 gateway=wg1 routing-table=\
    Youtube-route scope=30 suppress-hw-offload=no target-scope=10
пробую . ютуб то работает то нет. залез в Firewall - Connection и стал изучать куда коннектится мой ютуб по UDP 443 . Нашел "посторонние" адреса, которых нет в списке. Добавил вручную в список "Youtube" и всё заработало, но не долго. Начало опять тупить

тогда я поступил следующим образом.


сделал правило

Код: Выделить всё

/ip firewall filter
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=\
    1h chain=forward connection-state=new dst-address=!192.168.0.0/16 \
    dst-port=443 protocol=udp src-address=192.168.0.0/16

подобные ютуб-кеши теперь автоматом будут добавляться в адрес-лист и трафик на них будет уходить в тунель. таймаут сразу ставил 1 сутки, потом уменьшил до 1 часа.

проблема с ютубом исчезла! уже около недели смотрю рекламу на чешском :)

НО! ложка дёгтя. начались проблемы в играх в телеге (не смейтесь) ... хомяк работает , но много других не открывается. Не понимаю почему. Видимо как-то приложения "дергают" 443 порт UDP , попадают в список и сами же начинают глючить (тормозить) через впн.

они стучатся одновременно на 443 порт TCP и UDP, попадают в адрес-лист и начинают тормозить.


Если подскажете как фаеволом более точно выискивать коннекты Ютуба, то можно Address-list youtube довести до совершенства...
Последний раз редактировалось jollo 19 авг 2024, 11:43, всего редактировалось 1 раз.


Вернуться к началу
admin923
Сообщения: 13
Зарегистрирован: 11 авг 2024, 20:27

Flip_spb писал(а): 17 авг 2024, 22:57
Это так на смортфоне\smartTV или на пк с windows?
[/quote]
на пк с windows/linux - причем такое происходит с трансляциями, роликами в статусе "премьера" , а обычные ролики которые были выложены авторами ранее -работают норм, а на смартфоне-если через домашний вайфай микротика то глюк с трансляциями есть, а если через мобильный инет -то работает ровно на смартфоне.
[/quote]

когда фильтрация через списки обязательно нужно выключать quic и tls1.3
quic всегда запускает механизмы оптимизации в самом протоколе с учетом архитектуры yutube

если выключен то затык на каком то из участков.


Вернуться к началу
admin923
Сообщения: 13
Зарегистрирован: 11 авг 2024, 20:27

jollo писал(а): 17 авг 2024, 23:37 прочитал всю эту тему и специально зарегался , пройдя все круги регистрационного ада , чтобы написать про своё решение...


тут никто ниразу не упомянул такую штуку как кэширующие серверы. Те самые, якобы из-за усталости которых (ага!) в рашке начал тормозить ютуб.

но кэширующие серверы есть не только в России! и они находятся не на айпишниках гугла.

Смекаете ??

у вас зависает ютуб через впн именно из-за того, что тянет трафик с буржуйского кеширующего сервера, а он идет мимо впн, через DPI от РосКомНадз

я взял готовый впн до Праги. Настроил маркировку маршрутов по подсетям гугла (нашёл их в начале этой темы), сделал ещё вместо одного маршрута в тоннель - два с маской
/1 , дабы приоритет повысить

Код: Выделить всё

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/1 gateway=wg1 routing-table=\
    Youtube-route scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=128.0.0.0/1 gateway=wg1 routing-table=\
    Youtube-route scope=30 suppress-hw-offload=no target-scope=10
пробую . ютуб то работает то нет. залез в Firewall - Connection и стал изучать куда коннектится мой ютуб по UDP 443 . Нашел "посторонние" адреса, которых нет в списке. Добавил вручную в список "Youtube" и всё заработало, но не долго. Начало опять тупить

тогда я поступил следующим образом.


сделал правило

Код: Выделить всё

/ip firewall filter
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=\
    1h chain=forward connection-state=new dst-address=!192.168.0.0/16 \
    dst-port=443 protocol=udp src-address=192.168.0.0/16

подобные ютуб-кеши теперь автоматом будут добавляться в адрес-лист и трафик на них будет уходить в тунель. таймаут сразу ставил 1 сутки, потом уменьшил до 1 часа.

проблема с ютубом исчезла! уже около недели смотрю рекламу на чешском :)

НО! ложка дёгтя. начались проблемы в играх в телеге (не смейтесь) ... хомяк работает , но много других не открывается. Не понимаю почему. Видимо как-то приложения "дергают" 443 порт UDP , попадают в список и сами же начинают глючить (тормозить) через впн.

они стучатся одновременно на 443 порт TCP и UDP, попадают в адрес-лист и начинают тормозить.


Если подскажете как фаеволом более точно выискивать коннекты Ютуба, то можно Address-list youtube довести до совершенства...

я пока только ищу 443 порт UDP

p.s. и да ! днс гугла не использую. удалил подсети 8.8.х.х из address-list и пользую что-то типа 1.1.1.1
и еще не забывайте маршрут делать с маской 32 до впн-сервера через соединение с провайдером, а не через сам же тонель
Изображение

Изображение


Вернуться к началу
Leshiu
Сообщения: 27
Зарегистрирован: 14 авг 2024, 15:13

Мне кажется самое действенное на данный момент это использовать 6to4, минимально настроек. Могу написать гайд по настройке.

Единственное все устройства должны уметь работать с ipv6. А то тут оказалось что телик Skyline не умеет


Вернуться к началу
fogma
Сообщения: 2
Зарегистрирован: 16 авг 2024, 11:23

Leshiu писал(а): 18 авг 2024, 10:19 Мне кажется самое действенное на данный момент это использовать 6to4, минимально настроек. Могу написать гайд по настройке.

Единственное все устройства должны уметь работать с ipv6. А то тут оказалось что телик Skyline не умеет
Напиши, будь добр. я попробовал два ресурса 6to4 , у меня не взлетело. Подозреваю что провайдер просто не умеет/не хочет(запрещает) использовать ipv6. IP серый, динамический..но вроде не должно возникать проблем, кроме как с переподключением, при смене моего внешнего адреса у провайдера


Вернуться к началу
Erik_U
Сообщения: 2010
Зарегистрирован: 09 июл 2014, 12:33

fogma писал(а): 18 авг 2024, 10:23 IP серый, динамический.
для 6to4 нужен белый выделенный IP


Вернуться к началу
Erik_U
Сообщения: 2010
Зарегистрирован: 09 июл 2014, 12:33

Leshiu писал(а): 18 авг 2024, 10:19 Мне кажется самое действенное на данный момент это использовать 6to4, минимально настроек.
Я поднял нат и фаервол на IP6.
Судя по счетчикам на фильтрах типа "drop", попытки идут безостановочно.

Имейте это в виду.


Вернуться к началу
Leshiu
Сообщения: 27
Зарегистрирован: 14 авг 2024, 15:13

fogma писал(а): 18 авг 2024, 10:23 IP серый, динамический..но вроде не должно возникать проблем, кроме как с переподключением, при смене моего внешнего адреса у провайдера
IP обязательно должен быть белым, статический или динамический. При динамическом нужно мониторить смену IP и передавать новый брокеру. Это можно делать вручную с любого компа, или запилить скрипт в Микротик, тогда он сам будет отрабатывать и делать ничего не нужно


Вернуться к началу
Аватара пользователя
podarok66
Модератор
Сообщения: 4404
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Описываю ситуацию, как я ее вижу.
1. Относительно ipv6. Я поднимал в своё время туннель 6to4 и довольно долгое время пользовался им. Сайты типа yuotube.com довольно охотно работают с ipv6 и наблюдалось, например, что если я в фаерволе обрубаю ipv4 полностью, yuotube.com работает по ipv6 вполне себе нормально. Чем мои дети успешно пользовались не смотря на ограничение. Далее, по поводу маршрутизации. В роутах висят три маршрута, два динамических (бридж и туннель) и один прописываем (все запросы в гетвэй). По поводу работы, по-умолчанию и в Винде и в Лине ipv6 имеет приоритет над ipv4. Я это крайне не люблю, так как ловил множество проблем и с Линем и с открытием сайтов на Винде. Поэтому часто я приоритеты менял на обратные. Инфу найти в сети не сложно. Но тут уже личные предпочтения и интересы, многим это не надо никак.
Сам IPv6 я считал и считаю жутчайшим костылем, крайне неудобным, глючным, конфликтообразующим и абсолютли непонятным рядовому пользователю. Добавление парочки октетов к ipv4 было бы более простым и решало бы проблему на долгие годы без всей этой путаницы.
2. Создание адрес-листа для yuotube. Имел я беседу с нашим юзером, давно и успешно админящим в довольно сложной по условиям компании, долгую и обстоятельную. Как я понял, из нее, обращение к yuotube.com создает только первичный запрос на поиск соответствия. Далее, вступает в работу механизм, призванный снять нагрузку и обеспечить наиболее быстрое получение контента. По всему миру стоит просто чудовищное количество серверов, на которых хранится не просто контент, а наиболее часто запрашиваемый в данном регионе. Например по запросу "синий трактор" с вероятностью 99% этот контент найдется не просто на территории РФ, а относительно близко от места запроса, с минимальным количеством хопов. И отдача контента будет происходить уже не сайта "yuotube.com", а с "*.googlevideo.com", причем вместо звездочки будет наименование именно того хранилища, откуда контент и подаётся. Наименование состоит из набора цифр и букв, обозначающих регион, ноду и номер самого сервера. Их крайне много, контент на них часто разнится от запросов по месту и внести их все довольно сложно. Ну и IP-адреса у них могут отличаться от тех, что опубликованы в качестве официальных гугловских. Начиная с 7.5 Микротик позволяет вносить в правило и обрабатывать выражения типа "*.googlevideo.com", получая динамический список адресов.
Это всё конечно крайне упрощенная версия разговора, мне мой уровень просто не позволяет воспроизвести все те умные вещи, которые пытался донести да меня собеседник. Извините, но мне показалось, что даже такой "эскиз" хоть немного упростит понимание ситуации.
Сам я пока упорно сижу на 6 версии, что не позволяет мне лично опробовать эти вещи. Как бы в самой беседе упоминалось о нескольких подводных камнях, которые пока рано обсуждать без обкатки. Но ранее осени нет ни времени ни сил на какое-либо исследование, и к тому периоду, вполне возможно, всё это потеряет актуальность.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Вернуться к началу
Leshiu
Сообщения: 27
Зарегистрирован: 14 авг 2024, 15:13

Инструкция по настройке 6to4 туннеля. Обязательное требование - наличие белого статического или динамического IP, поддержка на устройствах возможность работы по IPV6 (например некоторые телевизоры этого не умеют).

1. Заходим через WinBox. IPV6 - Settings. Снимаем галку с Disable IPv6 и проверяем чтобы стояла на IPv6 Forward
Изображение

2. Регистрируемся на сайте туннельного брокера. Я использую https://6in4.ru/ . С брокером https://ipv6.ip4market.ru/ у меня Ютуб не завёлся, видимо на нём блок.

3. В личном кабинете в разделе Add new tunnel вписываем свой внешний IP адрес (он должен уже там подставлен быть) и нажимаем кнопку Add new tunnel. Нам нужны данные IPv4 Client address, IPv4 Server address, IPv6 client address, IPv6 server address, IPv6 PD prefix

4. Переходим в WinBox и запускаем New Terminal

5. Создаём туннель 6to4

Код: Выделить всё

/interface 6to4 add comment="6in4 Tunnel Broker" disabled=no local-address=LOCAL IP mtu=1480 name=sit1 remote-address=SERVER IP
где LOCAL IP = IPv4 Client address , SERVER IP = IPv4 Server address. Меняем данные на свои

6. Создаём маршрут

Код: Выделить всё

/ipv6 route add disabled=no distance=1 dst-address=2000::/3 gateway=IPv6 SERVER P2P scope=30 target-scope=10
где IPv6 SERVER P2P = IPv6 server address. Внимание! Вводим без /127

7. Назначаем адреса. Сверяемся, что имя вашего локального интерфейса bridge, если не так меняем на свой. Название интерфейса sit1 можно не трогать.

Код: Выделить всё

/ipv6 address add address=IPv6 CLIENT P2P/127 advertise=no disabled=no eui-64=no interface=sit1
/ipv6 address add address=IPv6 PD ADDRESS/64 advertise=yes disabled=no eui-64=no interface=bridge
где IPv6 CLIENT P2P/127 = IPv6 client address, IPv6 PD ADDRESS/64 = IPv6 PD prefix. Тут уже вносим с окончанием /127 и /64 соответственно.

8. Настраиваем ND. Имя интерфейса тоже сверяем с локальным

Код: Выделить всё

/ipv6 nd disable [ find default ]
/ipv6 nd add interface=bridge advertise-mac-address=yes advertise-dns=yes
9. Настраиваем Firewall. Блокируем входящие соединения на роутер и локальные устройства.

Код: Выделить всё

/ipv6 firewall filter add chain=input in-interface-list=WAN action=drop connection-state=!established,related
/ipv6 firewall filter add chain=input in-interface=sit1 action=drop connection-state=!established,related
/ipv6 firewall filter add chain=forward in-interface-list=WAN action=drop connection-state=!established,related
/ipv6 firewall filter add chain=forward in-interface=sit1 action=drop connection-state=!established,related
10. Прописываем DNS, в данном случае от Google

Код: Выделить всё

/ip dns set servers=2001:4860:4860::8888,2001:4860:4860::8844

Проверяем, всё должно работать. Проверить, что на всех устройствах включена работа с IPV6

В случае если у Вас динамический IP адрес, и он поменялся, то на компьютере в PowerShell выполняем команду:

Код: Выделить всё

curl -v --request PUT `
--url https://6in4.ru/tunnel/API key/TUNNEL ID `
--header 'Content-Type: application/json' `
--data '{"ipv4remote": "NEW LOCAL IP"}'
где API key
TUNNEL ID = ID
NEW LOCAL IP = ваш новый IP адрес. API key и TUNNEL ID берем из личного кабинета брокера.

Вроде ничего не упустил. Скрипт для автоматического обновления динамического IP где-то был.


Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»