Russian Users MikroTik | Форум пользователей MikroTik

pipitos писал(а): ↑13 авг 2024, 08:53 Этап 0. Настроить туннель пока что самый быстрый на микроте это wireguard. Возможно его будут блочить но у армов есть возможность запилить докер ну и .... vless + reality ну и что угодно в докере.
Этап 1. Создать таблицу

Код: Выделить всё

 /routing table
add disabled=no fib name=xoxo

Этап 2. Создание листа со списком сетей к которым нужно отправлять трафик. Адреса сетей я писал ранее.

Код: Выделить всё

/ip/firewall/address-list

Этап 3. Маркировка трафика. Тут на этапе когда трафик попадает в цепочку прероутинга мы маркируем трафик который идет к нужному нам списку сетей. В эксшенах мы маркируем этот трафик и по сути он перемещается в таблицу которую мы создали. Тут у меня указан источник к примеру.

Код: Выделить всё

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=YouTube new-routing-mark=xoxo passthrough=yes src-address=192.168.1.5

Этап 4. Создание в созданной таблице маршрутизации дефолтного маршрута в интерфейс шлюза wireguard.

Код: Выделить всё

 add disabled=no dst-address=0.0.0.0/0 gateway=wireguard1 routing-table=xoxo suppress-hw-offload=no

Этап 4. Если у вас трафик не маршрутизируется в вашу лок сеть а он у вас скорей всего не маршрутизируется то нужно НАТ правило создать иначе до вас не дойдет нечего.

Код: Выделить всё

add action=masquerade chain=srcnat out-interface=wireguard1

Этап 5. Профит. Трафик ходит до нужного вам адреса через шлюз vds.

OXO писал(а): ↑13 авг 2024, 17:28

pipitos писал(а): ↑13 авг 2024, 08:53 Этап 0. Настроить туннель пока что самый быстрый на микроте это wireguard. Возможно его будут блочить но у армов есть возможность запилить докер ну и .... vless + reality ну и что угодно в докере.
Этап 1. Создать таблицу

Код: Выделить всё

 /routing table
add disabled=no fib name=xoxo

Этап 2. Создание листа со списком сетей к которым нужно отправлять трафик. Адреса сетей я писал ранее.

Код: Выделить всё

/ip/firewall/address-list

Этап 3. Маркировка трафика. Тут на этапе когда трафик попадает в цепочку прероутинга мы маркируем трафик который идет к нужному нам списку сетей. В эксшенах мы маркируем этот трафик и по сути он перемещается в таблицу которую мы создали. Тут у меня указан источник к примеру.

Код: Выделить всё

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=YouTube new-routing-mark=xoxo passthrough=yes src-address=192.168.1.5

Этап 4. Создание в созданной таблице маршрутизации дефолтного маршрута в интерфейс шлюза wireguard.

Код: Выделить всё

 add disabled=no dst-address=0.0.0.0/0 gateway=wireguard1 routing-table=xoxo suppress-hw-offload=no

Этап 4. Если у вас трафик не маршрутизируется в вашу лок сеть а он у вас скорей всего не маршрутизируется то нужно НАТ правило создать иначе до вас не дойдет нечего.

Код: Выделить всё

add action=masquerade chain=srcnat out-interface=wireguard1

Этап 5. Профит. Трафик ходит до нужного вам адреса через шлюз vds.

Доброго времени суток.
Пытался сделать по этим шагам, но не взлетело.

1) Сбрасываю в дефолт, обновляю до 7.15.3
2) Поднимаю VPN
3) Прописывают в Route 0.0.0.0/0 до VPN
Всё работает. speedtest показывает 20/5. Ютубчик пашет 1080. Хлопаем в ладоши.

Но если пытаюсь завернуть через mange весь трафик с компа в VPN, Youtube начинает тормозить и качество падает до 480.
speedtest показывает 5/0
Подскажите в какую сторону копать?

anklav24 писал(а): ↑13 авг 2024, 16:50

pipitos писал(а): ↑13 авг 2024, 14:47

anklav24 писал(а): ↑13 авг 2024, 14:10

Да это понимаю, но DOH так и не получилось настроить, не нашел как заставить работать сертификаты. Не подскажете как?

Код: Выделить всё

/tool fetch url=https://curl.se/ca/cacert.pem
/certificate import file-name=cacert.pem passphrase=""
/ip dns static add address=8.8.8.8 name=dns.google
/ip dns static add address=8.8.4.4 name=dns.google
/ip dns set use-doh-server=https://dns.google/dns-query verify-doh-cert=yes

Если это не будет работать с проверкой сертификатов то вот:

Код: Выделить всё

/tool fetch url=https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem
/certificate import file-name=DigiCertGlobalRootCA.crt.pem passphrase=""
/ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes
/ip dns set servers=""

DoH вроде заработал, но с DoH не работают FWD записи.

Currently, DoH is not compatible with FWD-type static entries, in order to utilize FWD entries, DoH must not be configured.

nisnfox писал(а): ↑13 авг 2024, 09:52 Добрый день, помогите разобраться.
Сделал два варианта wg впн, полный и выборочный по листу.
Если врубаю полный, то все устройства, включая мобильные, сидящие на вайфае, очень шустро проигрывают видео на ютубе.
Если же включаю выборочный, то все подключенное проводом продолжает крутить ютуб прекрасно, а вот устройства сидящие на вайфае (прежде всего смартфоны и планшет, на ноуте полегче) начинают тупить в районе 30 секунд, прежде чем начать проигрывать видео. На ноуте задержка секунд пять и дальше проигрывание идет без проблем. На смартах и планшете видео подтупливают, раз секунд в 20-30 начинается подкачка видео.

pipitos писал(а): ↑13 авг 2024, 18:00 Ну тут тогда докер с пихоле на микроте или отдельный сервис DNS

admin923 писал(а): ↑13 авг 2024, 18:03

nisnfox писал(а): ↑13 авг 2024, 09:52 Добрый день, помогите разобраться.
Сделал два варианта wg впн, полный и выборочный по листу.
Если врубаю полный, то все устройства, включая мобильные, сидящие на вайфае, очень шустро проигрывают видео на ютубе.
Если же включаю выборочный, то все подключенное проводом продолжает крутить ютуб прекрасно, а вот устройства сидящие на вайфае (прежде всего смартфоны и планшет, на ноуте полегче) начинают тупить в районе 30 секунд, прежде чем начать проигрывать видео. На ноуте задержка секунд пять и дальше проигрывание идет без проблем. На смартах и планшете видео подтупливают, раз секунд в 20-30 начинается подкачка видео.

Действительно, есть похожее и у меня. причем что полный что выборочный на смартфоне и на tv одинаково плохо. но если на смартфоне запустить ютуб в хроме - все нормально?!
я заметил что тормоза только в моменте погрузки и дозагрузки всего окружения(список видосиков по тематике и реклама) видео в приложении. как только видео стартануло все становится норм и прокрутка работает по мере загруженности впн и самого устройства.
есть подозрение в приложении творится что то отличное от виндовой веб версии и поэтому лишние затупки.
новерное разработчики мобильных приложении понимают что происходит и как это исправить.

п.с у меня на телеке он и до этого безобразия запускался с трудом - но было терпимо и понятно и прогнозируемо.

anklav24 писал(а): ↑13 авг 2024, 16:50

pipitos писал(а): ↑13 авг 2024, 14:47

anklav24 писал(а): ↑13 авг 2024, 14:10

Да это понимаю, но DOH так и не получилось настроить, не нашел как заставить работать сертификаты. Не подскажете как?

Код: Выделить всё

/tool fetch url=https://curl.se/ca/cacert.pem
/certificate import file-name=cacert.pem passphrase=""
/ip dns static add address=8.8.8.8 name=dns.google
/ip dns static add address=8.8.4.4 name=dns.google
/ip dns set use-doh-server=https://dns.google/dns-query verify-doh-cert=yes

Если это не будет работать с проверкой сертификатов то вот:

Код: Выделить всё

/tool fetch url=https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem
/certificate import file-name=DigiCertGlobalRootCA.crt.pem passphrase=""
/ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes
/ip dns set servers=""

DoH вроде заработал, но с DoH не работают FWD записи.

Currently, DoH is not compatible with FWD-type static entries, in order to utilize FWD entries, DoH must not be configured.

pipitos писал(а): ↑13 авг 2024, 17:57 А какой VPN ?
Пинга большой от сервера VPN до клиента ?

nisnfox писал(а): ↑13 авг 2024, 21:42

Да, попробовал через мобильный хром на смартфоне, там ситуация аналогичная ПК на вайфае, ютуб стартует с небольшой задержкой, но потом никаких проблем и в высоком разрешении. Чо ж надо еще приложению Youtube... Пробовал еще NewPipe, но оно вообще не может канал открыть и выдает ошибку в итоге.

anklav24 писал(а): ↑13 авг 2024, 21:29

pipitos писал(а): ↑13 авг 2024, 18:00 Ну тут тогда докер с пихоле на микроте или отдельный сервис DNS

У меня RB5009UPr+S+ на arm как раз, но в нём докер ни разу не подымал.

Т.е.
- поднять pihole в docker на mikrotik
- настроить dhcp dns на pihole
- а pihole на dns mikrotik с doh

Примерно так?