Как завернуть весь трафик Youtube в VPN

[dramango]

До перехода на ipv6, адрес лист ютуба наполнял правилами:
ip dns static
add address-list=youtube match-subdomain=yes name=googlevideo.com type=FWD

ну и так с нужными доменами. и всё прекрасно работало. Естественно, микротик должен быть dns резолвером для устройства с которого смотрим.

[pipitos]

chr1 и chr2 это два независимых l2tp+ipsec интерфейса наружу

 

Код: Выделить всё

/ip firewall raw
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=googlevideo.com dst-address-list=!own_adresses
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=youtube.com dst-address-list=!own_adresses
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=youtu.be dst-address-list=!own_adresses

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=Youtube new-routing-mark=youtube \
    passthrough=no

/ip route
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=chr1 routing-table=youtube scope=30 \
    suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=chr2 routing-table=youtube scope=30 \
    suppress-hw-offload=no target-scope=10

Если я не ошибаюсь, то согласно мануалу Mikrotik вариант с content=: не работает с HTTPS-трафиком, поскольку содержимое зашифровано. Сайты (YouTube и т.д.) используют HTTPS, поэтому такие правила будут бесполезны для этих доменов.
Применяется только к трафику, где содержимое не зашифровано (HTTP).
Нужно использовать вариант с tls-host:

 Пример для HTTPS

Код: Выделить всё

/ip firewall raw
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting protocol=tcp tls-host=*.googlevideo.com comment="googlevideo.com"
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting protocol=tcp tls-host=*.youtube.* comment="youtube.com"
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting protocol=tcp tls-host=youtu.be comment="youtu.be"
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting protocol=tcp tls-host=*.ytimg.com comment="ytimg.com"

tls-host=: как раз работает с зашифрованными HTTPS, проверяя поля сертификата TLS, которые передаются незашифрованными. Это позволяет распознать домен, к которому идет трафик, даже если он защищен HTTPS.

Работает с версии RouterOS 6.42. Также обязательно: *.googlevideo.com, *.ytimg.com, *.youtube.*, чтобы правильно определялись IP на весь HTTPS-трафик поддоменов.

 tls-host

tls-host (строка; По умолчанию: ) — Позволяет фильтровать HTTPS-трафик на основе имени хоста, указанного в TLS SNI (Server Name Indication). Поддерживает синтаксис GLOB для использования подстановочных символов (например, *.example.com). Важно учитывать, что фильтрация может не сработать, если TLS-рукопожатие (установка защищенного соединения) будет разделено на несколько TCP-пакетов, поскольку имя хоста может не быть видно в каждом из них.

Оказывается что работает. Там же в https трафике все равно не зашифрованный запрос передается с имененм сайта. Название сайта (домен) передается на этапе установления TLS-соединения в поле Server Name Indication (SNI). А contect это такое поле которое ищет везде в пакете это слово и в SNI видит его.

[pipitos]

Можно ли как то поподробнее и желательно с экспортом ip/firewall всего .

chr1 и chr2 это два независимых l2tp+ipsec интерфейса наружу

 

Код: Выделить всё

/ip firewall raw
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=googlevideo.com dst-address-list=!own_adresses
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=youtube.com dst-address-list=!own_adresses
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=youtu.be dst-address-list=!own_adresses

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=Youtube new-routing-mark=youtube \
    passthrough=no

/ip route
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=chr1 routing-table=youtube scope=30 \
    suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=chr2 routing-table=youtube scope=30 \
    suppress-hw-offload=no target-scope=10

Недавно начал телек подписать с открытием ютуба. Помогает заново выключить включить телек. Может таймаут на правиле которое добавляет в лист, поставить поменьше? Сейчас 2 часа.

[Immovable]

Ни у кого проблем с mtu на wireguard за посление 24 часа небыло?
Начал резать чёт, с 1420 до 1376 опустился...
(⁠｡⁠ﾉ⁠ω⁠＼⁠｡⁠)

[oldcomp]

Сегодня начал тупить YouTube добавил к списку вот эти адреса Возможно кому то помогут Оригинал взял в этом форуме посему зарегался и дописал. Адреса все делал по маске 24 сразу. Если попадали две /24 делал маску /16 постарался добавить к ним комментарий как New. Возможно где то забыл делал с телефона.
Адреса брал запустил на телевизоре самсунг YouTube и смотрел куда он ходит и где тупит.

Если вы все сделали но YouTube тормозит и тупит то в микротик необходимо отключить

Код: Выделить всё

Ip->settings->Allow Fast Path 

отключить

иначе получается так:
сначала Ваш тв устанавливает соединение через микротик который для установления соединения шлет его в впн .
Далее соединение установлено и включается функции Allow Fast Path пакеты не проверяются и идут мимо firewall
Поэтому они не маркируются и не идут через VPN посему и скорость минимальная ибо он устанавливает постоянно соединение.
Функция хорошея для обычной работы микротик. Но когда несколько шлюзов отключаем.

Так же заметил часть провайдеров лучше работает когда делаешь MTU vpn немного меньше.

Код: Выделить всё

/ip firewall address-list

add address=8.8.4.0/24 list=YouTube
add address=8.8.8.0/24 list=YouTube
add address=8.34.208.0/20 list=YouTube
add address=8.35.192.0/20 list=YouTube
add address=23.236.48.0/20 list=YouTube
add address=23.251.128.0/19 list=YouTube
add address=34.0.0.0/15 list=YouTube
add address=34.2.0.0/16 list=YouTube
add address=34.3.0.0/23 list=YouTube
add address=34.3.3.0/24 list=YouTube
add address=34.3.4.0/24 list=YouTube
add address=34.3.8.0/21 list=YouTube
add address=34.3.16.0/20 list=YouTube
add address=34.3.32.0/19 list=YouTube
add address=34.3.64.0/18 list=YouTube
add address=34.4.0.0/14 list=YouTube
add address=34.8.0.0/13 list=YouTube
add address=34.16.0.0/12 list=YouTube
add address=34.32.0.0/11 list=YouTube
add address=34.64.0.0/10 list=YouTube
add address=34.128.0.0/10 list=YouTube
add address=35.184.0.0/13 list=YouTube
add address=35.192.0.0/14 list=YouTube
add address=35.196.0.0/15 list=YouTube
add address=35.198.0.0/16 list=YouTube
add address=35.199.0.0/17 list=YouTube
add address=35.199.128.0/18 list=YouTube
add address=35.200.0.0/13 list=YouTube
add address=35.208.0.0/12 list=YouTube
add address=35.224.0.0/12 list=YouTube
add address=35.240.0.0/13 list=YouTube
add address=57.140.192.0/18 list=YouTube
add address=64.15.112.0/20 list=YouTube
add address=64.233.160.0/19 list=YouTube
add address=66.22.228.0/23 list=YouTube
add address=66.102.0.0/20 list=YouTube
add address=66.249.64.0/19 list=YouTube
add address=70.32.128.0/19 list=YouTube
add address=72.14.192.0/18 list=YouTube
add address=74.125.0.0/16 list=YouTube
add address=104.154.0.0/15 list=YouTube
add address=104.196.0.0/14 list=YouTube
add address=104.237.160.0/19 list=YouTube
add address=107.167.160.0/19 list=YouTube
add address=107.178.192.0/18 list=YouTube
add address=108.59.80.0/20 list=YouTube
add address=108.170.192.0/18 list=YouTube
add address=108.177.0.0/17 list=YouTube
add address=130.211.0.0/16 list=YouTube
add address=136.22.160.0/20 list=YouTube
add address=136.22.176.0/21 list=YouTube
add address=136.22.184.0/23 list=YouTube
add address=136.22.186.0/24 list=YouTube
add address=142.250.0.0/15 list=YouTube
add address=146.148.0.0/17 list=YouTube
add address=152.65.208.0/22 list=YouTube
add address=152.65.214.0/23 list=YouTube
add address=152.65.218.0/23 list=YouTube
add address=152.65.222.0/23 list=YouTube
add address=152.65.224.0/19 list=YouTube
add address=162.120.128.0/17 list=YouTube
add address=162.216.148.0/22 list=YouTube
add address=162.222.176.0/21 list=YouTube
add address=172.110.32.0/21 list=YouTube
add address=172.217.0.0/16 list=YouTube
add address=172.253.0.0/16 list=YouTube
add address=173.194.0.0/16 list=YouTube
add address=173.255.112.0/20 list=YouTube
add address=192.158.28.0/22 list=YouTube
add address=192.178.0.0/15 list=YouTube
add address=193.186.4.0/24 list=YouTube
add address=199.36.154.0/23 list=YouTube
add address=199.36.156.0/24 list=YouTube
add address=199.192.112.0/22 list=YouTube
add address=199.223.232.0/21 list=YouTube
add address=207.223.160.0/20 list=YouTube
add address=208.65.152.0/22 list=YouTube
add address=208.68.108.0/22 list=YouTube
add address=208.81.188.0/22 list=YouTube
add address=208.117.224.0/19 list=YouTube
add address=209.85.128.0/17 list=YouTube
add address=216.58.192.0/19 list=YouTube
add address=216.73.80.0/20 list=YouTube
add address=216.239.32.0/19 list=YouTube
add address=Youtube.com comment=Youtube.com list=YouTube
add address=46.188.51.0/24 comment=New list=YouTube
add address=5.255.255.0/24 comment=New list=YouTube
add address=17.57.146.0/24 comment=New list=YouTube
add address=77.88.55.0/24 list=YouTube
add address=213.180.204.0/24 comment=New list=YouTube
add address=89.248.230.0/24 list=YouTube
add address=239.255.255.0/24 comment=New list=YouTube
add address=93.158.134.0/24 comment=New list=YouTube
add address=213.180.193.0/24 list=YouTube
add address=87.250.251.0/24 comment=New list=YouTube
add address=54.195.210.0/24 comment=New list=YouTube
add address=80.253.0.0/16 comment=New list=YouTube
add address=34.245.242.0/24 comment=New list=YouTube
add address=87.245.216.0/24 comment=new list=YouTube

[pipitos]

Сегодня начал тупить YouTube добавил к списку вот эти адреса Возможно кому то помогут Оригинал взял в этом форуме посему зарегался и дописал. Адреса все делал по маске 24 сразу. Если попадали две /24 делал маску /16 постарался добавить к ним комментарий как New. Возможно где то забыл делал с телефона.
Адреса брал запустил на телевизоре самсунг YouTube и смотрел куда он ходит и где тупит.

Если вы все сделали но YouTube тормозит и тупит то в микротик необходимо отключить

Код: Выделить всё

Ip->settings->Allow Fast Path 

отключить

иначе получается так:
сначала Ваш тв устанавливает соединение через микротик который для установления соединения шлет его в впн .
Далее соединение установлено и включается функции Allow Fast Path пакеты не проверяются и идут мимо firewall
Поэтому они не маркируются и не идут через VPN посему и скорость минимальная ибо он устанавливает постоянно соединение.
Функция хорошея для обычной работы микротик. Но когда несколько шлюзов отключаем.

Так же заметил часть провайдеров лучше работает когда делаешь MTU vpn немного меньше.

Код: Выделить всё

/ip firewall address-list

add address=8.8.4.0/24 list=YouTube
add address=8.8.8.0/24 list=YouTube
add address=8.34.208.0/20 list=YouTube
add address=8.35.192.0/20 list=YouTube
add address=23.236.48.0/20 list=YouTube
add address=23.251.128.0/19 list=YouTube
add address=34.0.0.0/15 list=YouTube
add address=34.2.0.0/16 list=YouTube
add address=34.3.0.0/23 list=YouTube
add address=34.3.3.0/24 list=YouTube
add address=34.3.4.0/24 list=YouTube
add address=34.3.8.0/21 list=YouTube
add address=34.3.16.0/20 list=YouTube
add address=34.3.32.0/19 list=YouTube
add address=34.3.64.0/18 list=YouTube
add address=34.4.0.0/14 list=YouTube
add address=34.8.0.0/13 list=YouTube
add address=34.16.0.0/12 list=YouTube
add address=34.32.0.0/11 list=YouTube
add address=34.64.0.0/10 list=YouTube
add address=34.128.0.0/10 list=YouTube
add address=35.184.0.0/13 list=YouTube
add address=35.192.0.0/14 list=YouTube
add address=35.196.0.0/15 list=YouTube
add address=35.198.0.0/16 list=YouTube
add address=35.199.0.0/17 list=YouTube
add address=35.199.128.0/18 list=YouTube
add address=35.200.0.0/13 list=YouTube
add address=35.208.0.0/12 list=YouTube
add address=35.224.0.0/12 list=YouTube
add address=35.240.0.0/13 list=YouTube
add address=57.140.192.0/18 list=YouTube
add address=64.15.112.0/20 list=YouTube
add address=64.233.160.0/19 list=YouTube
add address=66.22.228.0/23 list=YouTube
add address=66.102.0.0/20 list=YouTube
add address=66.249.64.0/19 list=YouTube
add address=70.32.128.0/19 list=YouTube
add address=72.14.192.0/18 list=YouTube
add address=74.125.0.0/16 list=YouTube
add address=104.154.0.0/15 list=YouTube
add address=104.196.0.0/14 list=YouTube
add address=104.237.160.0/19 list=YouTube
add address=107.167.160.0/19 list=YouTube
add address=107.178.192.0/18 list=YouTube
add address=108.59.80.0/20 list=YouTube
add address=108.170.192.0/18 list=YouTube
add address=108.177.0.0/17 list=YouTube
add address=130.211.0.0/16 list=YouTube
add address=136.22.160.0/20 list=YouTube
add address=136.22.176.0/21 list=YouTube
add address=136.22.184.0/23 list=YouTube
add address=136.22.186.0/24 list=YouTube
add address=142.250.0.0/15 list=YouTube
add address=146.148.0.0/17 list=YouTube
add address=152.65.208.0/22 list=YouTube
add address=152.65.214.0/23 list=YouTube
add address=152.65.218.0/23 list=YouTube
add address=152.65.222.0/23 list=YouTube
add address=152.65.224.0/19 list=YouTube
add address=162.120.128.0/17 list=YouTube
add address=162.216.148.0/22 list=YouTube
add address=162.222.176.0/21 list=YouTube
add address=172.110.32.0/21 list=YouTube
add address=172.217.0.0/16 list=YouTube
add address=172.253.0.0/16 list=YouTube
add address=173.194.0.0/16 list=YouTube
add address=173.255.112.0/20 list=YouTube
add address=192.158.28.0/22 list=YouTube
add address=192.178.0.0/15 list=YouTube
add address=193.186.4.0/24 list=YouTube
add address=199.36.154.0/23 list=YouTube
add address=199.36.156.0/24 list=YouTube
add address=199.192.112.0/22 list=YouTube
add address=199.223.232.0/21 list=YouTube
add address=207.223.160.0/20 list=YouTube
add address=208.65.152.0/22 list=YouTube
add address=208.68.108.0/22 list=YouTube
add address=208.81.188.0/22 list=YouTube
add address=208.117.224.0/19 list=YouTube
add address=209.85.128.0/17 list=YouTube
add address=216.58.192.0/19 list=YouTube
add address=216.73.80.0/20 list=YouTube
add address=216.239.32.0/19 list=YouTube
add address=Youtube.com comment=Youtube.com list=YouTube
add address=46.188.51.0/24 comment=New list=YouTube
add address=5.255.255.0/24 comment=New list=YouTube
add address=17.57.146.0/24 comment=New list=YouTube
add address=77.88.55.0/24 list=YouTube
add address=213.180.204.0/24 comment=New list=YouTube
add address=89.248.230.0/24 list=YouTube
add address=239.255.255.0/24 comment=New list=YouTube
add address=93.158.134.0/24 comment=New list=YouTube
add address=213.180.193.0/24 list=YouTube
add address=87.250.251.0/24 comment=New list=YouTube
add address=54.195.210.0/24 comment=New list=YouTube
add address=80.253.0.0/16 comment=New list=YouTube
add address=34.245.242.0/24 comment=New list=YouTube
add address=87.245.216.0/24 comment=new list=YouTube

А можешь подсказать что значит "тупит" можно поподробнее об этом. У меня вот такая же ситуация была с адрес листом с сетями. FastPath ускоряет работу путем оптимизируя маршрутизацию а FastTrack ускоряет работу фильтров но FastTrack я отключил что бы манглы работали. А вот про FastPath че то я и не вспомнил даже.

[oldcomp]

Тупит = долго грузится а если и погружается то на минимальных скорости. Ужас просто. Смотреть не реально. И замеры скорости показывают 0.1 мегабит через впн. Я так понял что в момент установки соединения (в пакетах флаг новое соединение New) работает firewall и он понимает что его надо бы в тунель (VPN).
Пинги работают. Все работает. Но. А дальше если не отключить ip->Settings-> Allow Fast Path
То после установки соединения в пакетах уже присутствует флаг соединение установлено (established) и пакеты идут по обычному маршруту ибо не прошли через фаервол и не промаркировали что их нужно в впн. В результате соединение установлено но пакеты о получении идут по другому маршруту. В результате все ждут пакеты. Соединение устанавливается а дальше затуп на таймаут и переподключение.

Тестировал на разных микротиках конкретно сейчас вот на таком

Model RBD52G-5HacD2HnD
Upgrade Firmware 7.12.1

Тестировал на разных. И версии разные и 6 и 7. Технология Allow Fast Path для минерализаций нагрузки на процессор соединение установлено значит фаерволом проверять каждый пакет нет смысла -> прошли далее можно пропускать без проверок.

Код: Выделить всё

/ip firewall mangle
add action=mark-routing chain=prerouting comment=to_vpn connection-state="" dst-address=!192.168.0.0/16 dst-address-list=YouTube new-routing-mark=to_vpn passthrough=yes src-address-list=to_vpn
add action=add-dst-to-address-list address-list=From_tv address-list-timeout=10m chain=prerouting dst-address=!192.168.0.0/16 dst-address-list=!YouTube src-address-list=to_vpn

Собственно часть конфига сейчас выглядит так /ip firewall mangle
первая строка маршруты маркировать (не к роутеру иначе ДНС не работает) маркируем to_vpn
Вторая строка добавлять листы с таймаутом в 10 минут (не к роутеру иначе ДНС не работает) для понимая куда там тв пытался подключиться. Чтоб не получилось так что запустился на ТВ кинопоиск и тоже в впн полез. Посему смотрим Ютуб 10 минут и более -> затупил -> можно в течении 10 минут залезть посмотреть куда он пытался и где не вышло. Ибо записываются те удаленные хосты которых нет в листе Ютюб. А дальше добавляем хосты из листа From_tv в лист Youtube. С маской 24.

Почему не рекомендую все пакеты для этих подсетей в предыдщем посте указано каких отправлять через ВПН то получим что в РФ у нас весь гугл будет под другим ип и будем смотреть на рекламу в гугле в кронах ибо батах или у кого что. Посему в ВПН отправляем только ТВ или другие устройства с Ютюбом.

[pipitos]

Тупит = долго грузится а если и погружается то на минимальных скорости. Ужас просто. Смотреть не реально. И замеры скорости показывают 0.1 мегабит через впн. Я так понял что в момент установки соединения (в пакетах флаг новое соединение New) работает firewall и он понимает что его надо бы в тунель (VPN).
Пинги работают. Все работает. Но. А дальше если не отключить ip->Settings-> Allow Fast Path
То после установки соединения в пакетах уже присутствует флаг соединение установлено (established) и пакеты идут по обычному маршруту ибо не прошли через фаервол и не промаркировали что их нужно в впн. В результате соединение установлено но пакеты о получении идут по другому маршруту. В результате все ждут пакеты. Соединение устанавливается а дальше затуп на таймаут и переподключение.

Тестировал на разных микротиках конкретно сейчас вот на таком

Model RBD52G-5HacD2HnD
Upgrade Firmware 7.12.1

Тестировал на разных. И версии разные и 6 и 7. Технология Allow Fast Path для минерализаций нагрузки на процессор соединение установлено значит фаерволом проверять каждый пакет нет смысла -> прошли далее можно пропускать без проверок.

Код: Выделить всё

/ip firewall mangle
add action=mark-routing chain=prerouting comment=to_vpn connection-state="" dst-address=!192.168.0.0/16 dst-address-list=YouTube new-routing-mark=to_vpn passthrough=yes src-address-list=to_vpn
add action=add-dst-to-address-list address-list=From_tv address-list-timeout=10m chain=prerouting dst-address=!192.168.0.0/16 dst-address-list=!YouTube src-address-list=to_vpn

Собственно часть конфига сейчас выглядит так /ip firewall mangle
первая строка маршруты маркировать (не к роутеру иначе ДНС не работает) маркируем to_vpn
Вторая строка добавлять листы с таймаутом в 10 минут (не к роутеру иначе ДНС не работает) для понимая куда там тв пытался подключиться. Чтоб не получилось так что запустился на ТВ кинопоиск и тоже в впн полез. Посему смотрим Ютуб 10 минут и более -> затупил -> можно в течении 10 минут залезть посмотреть куда он пытался и где не вышло. Ибо записываются те удаленные хосты которых нет в листе Ютюб. А дальше добавляем хосты из листа From_tv в лист Youtube. С маской 24.

Почему не рекомендую все пакеты для этих подсетей в предыдщем посте указано каких отправлять через ВПН то получим что в РФ у нас весь гугл будет под другим ип и будем смотреть на рекламу в гугле в кронах ибо батах или у кого что. Посему в ВПН отправляем только ТВ или другие устройства с Ютюбом.

Спасибо тебе добрый человек. А я вот что то зациклился про FastTrack и отключил его но вроде как то оно все равно не работает нормально. Тут и FastPath нужно выключить. Ок попробую так сделать. Я раньше вообще кидал весь трафик в VPN с помощью рулов в роутинге. Но это не правильно. Потом вот ткак ты записах адрес лист ютуба в список но там косяк был что на совсем не мощных устрйоствах эта штука кушает много процессора и памяти. Тогда я сделал по другому. Благодаря человеку одному тут на форуме. Сделал правило в RAW которое по значению в поле Content добавляет в адрес лист IP ютуба и там других сайтов. Этот вариант мне показался лучше чем закинуть список подсетей или тем более сетей по маске /32 в адрес лист.

[sergeynr2]

Добрый день! Не подскажете, сталкивался ли кто с такой проблемой: всё настроено, как здесь пишут, маршрут на youtube заворачивается через mangle. Почему-то по wi-fi youtube работает отлично и на смартфонах, и на ТВ, и на компе. Когда переключаю на кабель, почему-то на компе работает, на ТВ и на приставке Андроид не хочет. Не сталкивались с такой проблемой? ROS 7.15.3 (stable).

[eclegolas]

Добрый день! Не подскажете, сталкивался ли кто с такой проблемой: всё настроено, как здесь пишут, маршрут на youtube заворачивается через mangle. Почему-то по wi-fi youtube работает отлично и на смартфонах, и на ТВ, и на компе. Когда переключаю на кабель, почему-то на компе работает, на ТВ и на приставке Андроид не хочет. Не сталкивались с такой проблемой? ROS 7.15.3 (stable).

У меня приставка Xiaomy, на ней ютуб работает, чтолько если запускать на ней клиент впн.
По другому не работает ни один способ из инета включая данный сайт, аналогично и с телеком беда. Пока не разобрался как быть, причем, что я заметил, если пустить через тик девайсы чисто через впн, все равно ютуб не пашет. Аномалия......