Как завернуть весь трафик Youtube в VPN

[RusCosmic]

Кстати, для инормации.
У меня (как и у многих) провайдер блочит WireGuard "за бугор".
Как решил обход я:

1) Подключил тунельного брокера (6to4 и Hurricane Electric как резерв). Настроил IPv6
2) Зарегестрировал себе CloudFlare Warp.
3) Настроил WireGuard VPN до WARP, но через IPV6.

Итог:
Сайты IPV6 - работают без ограничений.
Те сайты IPv4 что требуют обход блокировки - пускаю через WireGuard VPN (через тунельного брокера, пока ТСПУ Роскомнадзора не блочит WG).

Как по мне, всё это вопрос времени, научат они "черный ящик" ловить и такие соединения.

[Aiser]

chr1 и chr2 это два независимых l2tp+ipsec интерфейса наружу

 

Код: Выделить всё

/ip firewall raw
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=googlevideo.com dst-address-list=!own_adresses
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=youtube.com dst-address-list=!own_adresses
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=youtu.be dst-address-list=!own_adresses

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=Youtube new-routing-mark=youtube \
    passthrough=no

/ip route
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=chr1 routing-table=youtube scope=30 \
    suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=chr2 routing-table=youtube scope=30 \
    suppress-hw-offload=no target-scope=10

Если я не ошибаюсь, то согласно мануалу Mikrotik вариант с content=: не работает с HTTPS-трафиком, поскольку содержимое зашифровано. Сайты (YouTube и т.д.) используют HTTPS, поэтому такие правила будут бесполезны для этих доменов.
Применяется только к трафику, где содержимое не зашифровано (HTTP).
Нужно использовать вариант с tls-host:

 Пример для HTTPS

Код: Выделить всё

/ip firewall raw
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting protocol=tcp tls-host=*.googlevideo.com comment="googlevideo.com"
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting protocol=tcp tls-host=*.youtube.* comment="youtube.com"
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting protocol=tcp tls-host=youtu.be comment="youtu.be"
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting protocol=tcp tls-host=*.ytimg.com comment="ytimg.com"

tls-host=: как раз работает с зашифрованными HTTPS, проверяя поля сертификата TLS, которые передаются незашифрованными. Это позволяет распознать домен, к которому идет трафик, даже если он защищен HTTPS.

Работает с версии RouterOS 6.42. Также обязательно: *.googlevideo.com, *.ytimg.com, *.youtube.*, чтобы правильно определялись IP на весь HTTPS-трафик поддоменов.

 tls-host

tls-host (строка; По умолчанию: ) — Позволяет фильтровать HTTPS-трафик на основе имени хоста, указанного в TLS SNI (Server Name Indication). Поддерживает синтаксис GLOB для использования подстановочных символов (например, *.example.com). Важно учитывать, что фильтрация может не сработать, если TLS-рукопожатие (установка защищенного соединения) будет разделено на несколько TCP-пакетов, поскольку имя хоста может не быть видно в каждом из них.

[eclegolas]

Можно ли как то поподробнее и желательно с экспортом ip/firewall всего .

chr1 и chr2 это два независимых l2tp+ipsec интерфейса наружу

 

Код: Выделить всё

/ip firewall raw
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=googlevideo.com dst-address-list=!own_adresses
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=youtube.com dst-address-list=!own_adresses
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=youtu.be dst-address-list=!own_adresses

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=Youtube new-routing-mark=youtube \
    passthrough=no

/ip route
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=chr1 routing-table=youtube scope=30 \
    suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=chr2 routing-table=youtube scope=30 \
    suppress-hw-offload=no target-scope=10

Спасибо. Тут бы еще добавить адрес ytimg.com так как привьюшки видео без него не грузятся. А так да работает. Ну и fasttrack выключить/
upd. и да кстати белый айпишник и адрес интерфейса тунеля добавляются в адрес листы их нужно исключить

Подскажите неопытному, "белый айпишник" тот что от интернет провайдера? И "адрес интерфейса тунеля" тот что от РКН провайдера? Вы о них говорите, или я ошибся?

[gmx]

https://help.keenetic.com/hc/ru/article ... 1%81%D0%B0

[gmx]

И "адрес интерфейса тунеля" тот что от РКН провайдера? Вы о них говорите, или я ошибся?

Это вообще что-то новое! Не испытанное! :)

[eclegolas]

И "адрес интерфейса тунеля" тот что от РКН провайдера? Вы о них говорите, или я ошибся?

Это вообще что-то новое! Не испытанное! :)

про белый и серый адрес понимание есть, вопрос был в другом)
Есть адрес туннеля VPN, сейчас просто стало модно подменять эти три буквы на РКН. Есть белый IP от провайдера, который предоставляет услуги интернет.
Мой был вопрос, про что товарисч говорит)

[gmx]

Да, видимо я старый стал. Прошу прощения, не понял современный сленг.

[Lurker]

Смысл в бесплатности и скорости. Ничто не мешает Вам сделать адрес лист с нужными Вам доменами и ходить на них по IPv6, остальное по IPV4.

не понял, а как?
Вот у меня клиент отправляет IP v6\v4 пакет.
Если v6, то роутер кидает в 6to4 туннель.
Если v4 то напрямую.
Как это списками то поправить? Я же не могу v6 пакет кинуть своему провайдеру, который v6 не умеет.

P.S. По поводу гидрантов. Роутер не выдаёт v6 ip, компы их сами берут... на неизменчивость проверю и проверю какой блок выдаётся. Как время будет поковыряться.

[RusCosmic]

Смысл в бесплатности и скорости. Ничто не мешает Вам сделать адрес лист с нужными Вам доменами и ходить на них по IPv6, остальное по IPV4.

не понял, а как?
Вот у меня клиент отправляет IP v6\v4 пакет.
Если v6, то роутер кидает в 6to4 туннель.
Если v4 то напрямую.
Как это списками то поправить? Я же не могу v6 пакет кинуть своему провайдеру, который v6 не умеет.

P.S. По поводу гидрантов. Роутер не выдаёт v6 ip, компы их сами берут... на неизменчивость проверю и проверю какой блок выдаётся. Как время будет поковыряться.

При чём тут Ваш провайдер, всё что по IPv6 - идёт через тунельного брокера.
Далаете адрес лист (ну например с IPv6 адресами ютуба), далее правило в Firewall Ipv6 (примерно такое как на картинке)


Всё остальное запрещаем.
Я бы так делал примерно.

PS. Логика такая: Разрешить из бриджа в тунель, только явно указанные Ipv6 адреса. Остальное не разрешать.

[Erik_U]

Так не будет работать.

ПО факту получается так, что браузер при доступе к одному и тому же сайту ломится на него то по IP4, то по IP6.
И от чего это зависит - непонятно, потому, что в кеше ДНС-а в этот момент есть и А запись, и АААА.
Ваше правило не будет работать.
Потому, что фильтры IP6 оперируют и с адрес-листами IP6, и сформированный адрес-лист будет содержать адреса IP6.
В случае, если ваш браузер пойдет на сайт по IP4, его это правило вообще не коснется.
А если браузер пойдет на другой сайт (которого нет в адрес-листе) по IP6, то его просто отрубит, но он и не подумает переключиться на IP4. Будет выдавать свое "проверьте соединение".