Это тоже не понятно.
/ipv6 nd
set [ find default=yes ] disabled=yes
add interface=bridge_lan
что включено у вас на бридже в ND? Зачем disabled=yes? добавьте advertise-dns=yes.
На клиенте в ipconfig /all
активны и файфай и эзернет.
Получены адреса из одной сети на обоих.
Оставьте что-нибудь одно.
Как завернуть весь трафик Youtube в VPN
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
Erik_U
- Сообщения: 2010
- Зарегистрирован: 09 июл 2014, 12:33
-
yden
- Сообщения: 133
- Зарегистрирован: 27 июл 2017, 21:12
-
Erik_U
- Сообщения: 2010
- Зарегистрирован: 09 июл 2014, 12:33
отключите правила фаервола.
Если заработает - включайте по одному.
У вас на вход работоспособны только эти правила:
add action=drop chain=input comment="Block All "
не работают, потому, что это правило убивает все входящие пакеты. Судя по набору правил, через туннель будут ходить только пинги, dns и dhcp. Новые соединения установиться не смогут.
Ну и лень мне в этом подробно разбираться.
Выключите все. Если заработает - включайте по одному.
И добавьте в фаервол IP4 разрешающие правила на вход и выход с/на удаленного/ый IP адреса туннеля с портом 41 (ipv6-encap). И разместите их повыше в списке.
Если заработает - включайте по одному.
У вас на вход работоспособны только эти правила:
Все, что нижеadd action=drop chain=input comment="drop invalid connections" \
connection-state=invalid
add action=accept chain=input comment="Allow established,relate connections" \
connection-state=established,related,untracked in-interface=sit1
add action=accept chain=input comment="Accept ICMP (50/sec)" in-interface=\
sit1 limit=50,5:packet protocol=icmpv6
add action=accept chain=input in-interface=bridge_lan protocol=icmpv6
add action=accept chain=input dst-port=53 in-interface=bridge_lan protocol=\
udp
add action=accept chain=input dst-port=53 in-interface=bridge_lan protocol=\
tcp
add action=accept chain=input dst-port=547 in-interface=bridge_lan protocol=\
udp
add action=log chain=input disabled=yes log-prefix=ipv6
add action=drop chain=input comment="Block All "
add action=drop chain=input comment="Block All "
не работают, потому, что это правило убивает все входящие пакеты. Судя по набору правил, через туннель будут ходить только пинги, dns и dhcp. Новые соединения установиться не смогут.
Ну и лень мне в этом подробно разбираться.
Выключите все. Если заработает - включайте по одному.
И добавьте в фаервол IP4 разрешающие правила на вход и выход с/на удаленного/ый IP адреса туннеля с портом 41 (ipv6-encap). И разместите их повыше в списке.
-
Lurker
- Сообщения: 161
- Зарегистрирован: 29 апр 2021, 10:45
увидел тут обсуждените 6to4.
Поставил я его, поигрался и вырубил.
1)гугл постоянно просит гидранты отметить. При чём часто не по разу. Проверка до 2х минут занимать может. 10 дней ждал, что алгоритмы гугла сообразят что я не бот. Не сообразили.
2)много какой трафик летит по v6, а не напрямую по v4. Так какой смысл его использовать если средства разделения v4 трафика на vpn\не vpn работают куда проще?
Поставил я его, поигрался и вырубил.
1)гугл постоянно просит гидранты отметить. При чём часто не по разу. Проверка до 2х минут занимать может. 10 дней ждал, что алгоритмы гугла сообразят что я не бот. Не сообразили.
2)много какой трафик летит по v6, а не напрямую по v4. Так какой смысл его использовать если средства разделения v4 трафика на vpn\не vpn работают куда проще?
-
RusCosmic
- Сообщения: 74
- Зарегистрирован: 03 авг 2024, 15:21
Смысл в бесплатности и скорости. Ничто не мешает Вам сделать адрес лист с нужными Вам доменами и ходить на них по IPv6, остальное по IPV4.Lurker писал(а): ↑09 сен 2024, 14:01 увидел тут обсуждените 6to4.
Поставил я его, поигрался и вырубил.
1)гугл постоянно просит гидранты отметить. При чём часто не по разу. Проверка до 2х минут занимать может. 10 дней ждал, что алгоритмы гугла сообразят что я не бот. Не сообразили.
2)много какой трафик летит по v6, а не напрямую по v4. Так какой смысл его использовать если средства разделения v4 трафика на vpn\не vpn работают куда проще?
-
dramango
- Сообщения: 9
- Зарегистрирован: 03 июл 2019, 17:20
у брокера запросите /48 префикс, нарежьте его на /64 и их раздавайте клиентам на бридже или других интерфейсах. Если память мне не изменяет то по спецификации ipv6, на 1 ipv4 адрес "положен" /48 префикс. А если брокер выдает Вам /64 префикс, то их в /48 аж 65536, поэтому гугл и считает вас ботофермой (я думаю он тоже ориентируется на то что /48 префикс это условно 1 клиент).
-
javoroleg64
- Сообщения: 1
- Зарегистрирован: 04 сен 2024, 18:11
youtube.com
youtu.be
googlevideo.com
play.google.com
google.com
ggpht.com
yt3.ggpht.com
Всем привет, попробовал, вариант со списками Firewall->Raw да работает но так себе.... видимо не все сразу что надо попадает в список.
Если в один пакет все что надо не попадает, то не сработает правило
Вообще идея хорошая, рассчитано видимо на поиск в полях TLS-HOST и в Http запросе есть поле "Origin:".
гораздо лучше начинает работать если еще сделать отдельный лис с блоками ИП адресов Ютуба.
https://github.com/touhidurrr/iplist-yo ... 0372237524
Совместно оно прям хорошо работает !
У меня правила выглядят так:
chain=prerouting action=add-dst-to-address-list in-interface=bridge1 content=googlevideo log=no log-prefix="" address-list=domain-list-zapret.txt address-list-timeout=10m
Обратите внимание - только входящий трафик в интерфейс чтоб проц лишнего не грузить
время пока 10 минут поставил, для тестов !
Еще можно dnscrypt-proxy поставить где-то рядом, на будующее включить логи запросов и посмотреть что там еще по Ютубу попадается.
И наверно не обязательно писать целиком домен и какие-то части, по короче
youtu
googlevideo
play.goog
ggpht
Вот так тоже работает !
Не знаю как ссылки на другой пост вставить, ну я надеюсь вы поняли про что я тут )
youtu.be
googlevideo.com
play.google.com
google.com
ggpht.com
yt3.ggpht.com
Всем привет, попробовал, вариант со списками Firewall->Raw да работает но так себе.... видимо не все сразу что надо попадает в список.
Если в один пакет все что надо не попадает, то не сработает правило
Вообще идея хорошая, рассчитано видимо на поиск в полях TLS-HOST и в Http запросе есть поле "Origin:".
гораздо лучше начинает работать если еще сделать отдельный лис с блоками ИП адресов Ютуба.
https://github.com/touhidurrr/iplist-yo ... 0372237524
Совместно оно прям хорошо работает !
У меня правила выглядят так:
chain=prerouting action=add-dst-to-address-list in-interface=bridge1 content=googlevideo log=no log-prefix="" address-list=domain-list-zapret.txt address-list-timeout=10m
Обратите внимание - только входящий трафик в интерфейс чтоб проц лишнего не грузить
время пока 10 минут поставил, для тестов !
Еще можно dnscrypt-proxy поставить где-то рядом, на будующее включить логи запросов и посмотреть что там еще по Ютубу попадается.
И наверно не обязательно писать целиком домен и какие-то части, по короче
youtu
googlevideo
play.goog
ggpht
Вот так тоже работает !
Не знаю как ссылки на другой пост вставить, ну я надеюсь вы поняли про что я тут )
-
RusCosmic
- Сообщения: 74
- Зарегистрирован: 03 авг 2024, 15:21
Вы несколько путаете брокера с механизмом 6to4. Брокер никому не обязан выдавать 48 префикс. 6to4 - да, там префикс /48 (но он не имеет отношения к тунельным брокерам).dramango писал(а): ↑09 сен 2024, 15:37у брокера запросите /48 префикс, нарежьте его на /64 и их раздавайте клиентам на бридже или других интерфейсах. Если память мне не изменяет то по спецификации ipv6, на 1 ipv4 адрес "положен" /48 префикс. А если брокер выдает Вам /64 префикс, то их в /48 аж 65536, поэтому гугл и считает вас ботофермой (я думаю он тоже ориентируется на то что /48 префикс это условно 1 клиент).
Я бы на месте человека проверил, не получает ли он каждый раз разный IPv6 от своего роутера (после перезагрузки например). А так, для одной локалки что /48, что /64 - разницы нет.
-
dramango
- Сообщения: 9
- Зарегистрирован: 03 июл 2019, 17:20
я лишь к тому что для гугла поток запросов может казаться автоматизированным.
Было так же на tunnelbroker, по умолчанию выдали подсеть с /64 префиксом, с ним постоянно вводил капчу. На том же туннеле выбрал подсеть с /48 префиксом, из него назначил на bridge 3 рандомных /64 подсети, капчи нет. куда использовать оставшиеся 65533 /64 подсети пока не придумал :)
Было так же на tunnelbroker, по умолчанию выдали подсеть с /64 префиксом, с ним постоянно вводил капчу. На том же туннеле выбрал подсеть с /48 префиксом, из него назначил на bridge 3 рандомных /64 подсети, капчи нет. куда использовать оставшиеся 65533 /64 подсети пока не придумал :)
-
RusCosmic
- Сообщения: 74
- Зарегистрирован: 03 авг 2024, 15:21
Остальные можете раздать нуждающимся, тут у многих нет IPV4 белый, а IPV6 хочетсяdramango писал(а): ↑09 сен 2024, 16:09 я лишь к тому что для гугла поток запросов может казаться автоматизированным.
Было так же на tunnelbroker, по умолчанию выдали /64 префикс, с ним постоянно вводил капчу. На том же туннеле выбрал /48 префикс, из него назначил на bridge 3 рандомных /64 префикса, капчи нет. куда использовать оставшиеся 65533 /64 префикса пока не придумал :)
