Russian Users MikroTik | Форум пользователей MikroTik

тут никто ниразу не упомянул такую штуку как кэширующие серверы. Те самые, якобы из-за усталости которых (ага!) в рашке начал тормозить ютуб.

но кэширующие серверы есть не только в России! и они находятся не на айпишниках гугла.


у вас зависает ютуб через впн именно из-за того, что тянет трафик с буржуйского кеширующего сервера, а он идет мимо впн, через DPI от РосКомНадз

я взял готовый впн до Праги. Настроил маркировку маршрутов по подсетям гугла (нашёл их в начале этой темы), сделал ещё вместо одного маршрута в тоннель - два с маской
/1 , дабы приоритет повысить пробую . ютуб то работает то нет. залез в Firewall - Connection и стал изучать куда коннектится мой ютуб по UDP 443 . Нашел "посторонние" адреса, которых нет в списке. Добавил вручную в список "Youtube" и всё заработало, но не долго. Начало опять тупить

тогда я поступил следующим образом.


сделал правило

подобные ютуб-кеши теперь автоматом будут добавляться в адрес-лист и трафик на них будет уходить в тунель. таймаут сразу ставил 1 сутки, потом уменьшил до 1 часа.

проблема с ютубом исчезла! уже около недели смотрю рекламу на чешском :)

НО! ложка дёгтя. начались проблемы в играх в телеге (не смейтесь) ... хомяк работает , но много других не открывается. Не понимаю почему. Видимо как-то приложения "дергают" 443 порт UDP , попадают в список и сами же начинают глючить (тормозить) через впн.

они стучатся одновременно на 443 порт TCP и UDP, попадают в адрес-лист и начинают тормозить.


Если подскажете как фаеволом более точно выискивать коннекты Ютуба, то можно Address-list youtube довести до совершенства...

Flip_spb писал(а): ↑17 авг 2024, 22:57

Это так на смортфоне\smartTV или на пк с windows?

[/quote]
на пк с windows/linux - причем такое происходит с трансляциями, роликами в статусе "премьера" , а обычные ролики которые были выложены авторами ранее -работают норм, а на смартфоне-если через домашний вайфай микротика то глюк с трансляциями есть, а если через мобильный инет -то работает ровно на смартфоне.
[/quote]

когда фильтрация через списки обязательно нужно выключать quic и tls1.3
quic всегда запускает механизмы оптимизации в самом протоколе с учетом архитектуры yutube

если выключен то затык на каком то из участков.

jollo писал(а): ↑17 авг 2024, 23:37 прочитал всю эту тему и специально зарегался , пройдя все круги регистрационного ада , чтобы написать про своё решение...


тут никто ниразу не упомянул такую штуку как кэширующие серверы. Те самые, якобы из-за усталости которых (ага!) в рашке начал тормозить ютуб.

но кэширующие серверы есть не только в России! и они находятся не на айпишниках гугла.

Смекаете ??

у вас зависает ютуб через впн именно из-за того, что тянет трафик с буржуйского кеширующего сервера, а он идет мимо впн, через DPI от РосКомНадз

я взял готовый впн до Праги. Настроил маркировку маршрутов по подсетям гугла (нашёл их в начале этой темы), сделал ещё вместо одного маршрута в тоннель - два с маской
/1 , дабы приоритет повысить

Код: Выделить всё

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/1 gateway=wg1 routing-table=\
    Youtube-route scope=30 suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=128.0.0.0/1 gateway=wg1 routing-table=\
    Youtube-route scope=30 suppress-hw-offload=no target-scope=10

пробую . ютуб то работает то нет. залез в Firewall - Connection и стал изучать куда коннектится мой ютуб по UDP 443 . Нашел "посторонние" адреса, которых нет в списке. Добавил вручную в список "Youtube" и всё заработало, но не долго. Начало опять тупить

тогда я поступил следующим образом.


сделал правило

Код: Выделить всё

/ip firewall filter
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=\
    1h chain=forward connection-state=new dst-address=!192.168.0.0/16 \
    dst-port=443 protocol=udp src-address=192.168.0.0/16

подобные ютуб-кеши теперь автоматом будут добавляться в адрес-лист и трафик на них будет уходить в тунель. таймаут сразу ставил 1 сутки, потом уменьшил до 1 часа.

проблема с ютубом исчезла! уже около недели смотрю рекламу на чешском :)

НО! ложка дёгтя. начались проблемы в играх в телеге (не смейтесь) ... хомяк работает , но много других не открывается. Не понимаю почему. Видимо как-то приложения "дергают" 443 порт UDP , попадают в список и сами же начинают глючить (тормозить) через впн.

они стучатся одновременно на 443 порт TCP и UDP, попадают в адрес-лист и начинают тормозить.


Если подскажете как фаеволом более точно выискивать коннекты Ютуба, то можно Address-list youtube довести до совершенства...

я пока только ищу 443 порт UDP

p.s. и да ! днс гугла не использую. удалил подсети 8.8.х.х из address-list и пользую что-то типа 1.1.1.1
и еще не забывайте маршрут делать с маской 32 до впн-сервера через соединение с провайдером, а не через сам же тонель

Мне кажется самое действенное на данный момент это использовать 6to4, минимально настроек. Могу написать гайд по настройке.

Единственное все устройства должны уметь работать с ipv6. А то тут оказалось что телик Skyline не умеет

Leshiu писал(а): ↑18 авг 2024, 10:19 Мне кажется самое действенное на данный момент это использовать 6to4, минимально настроек. Могу написать гайд по настройке.

Единственное все устройства должны уметь работать с ipv6. А то тут оказалось что телик Skyline не умеет

Напиши, будь добр. я попробовал два ресурса 6to4 , у меня не взлетело. Подозреваю что провайдер просто не умеет/не хочет(запрещает) использовать ipv6. IP серый, динамический..но вроде не должно возникать проблем, кроме как с переподключением, при смене моего внешнего адреса у провайдера

fogma писал(а): ↑18 авг 2024, 10:23 IP серый, динамический.

для 6to4 нужен белый выделенный IP

Leshiu писал(а): ↑18 авг 2024, 10:19 Мне кажется самое действенное на данный момент это использовать 6to4, минимально настроек.

Я поднял нат и фаервол на IP6.
Судя по счетчикам на фильтрах типа "drop", попытки идут безостановочно.

Имейте это в виду.

fogma писал(а): ↑18 авг 2024, 10:23 IP серый, динамический..но вроде не должно возникать проблем, кроме как с переподключением, при смене моего внешнего адреса у провайдера

IP обязательно должен быть белым, статический или динамический. При динамическом нужно мониторить смену IP и передавать новый брокеру. Это можно делать вручную с любого компа, или запилить скрипт в Микротик, тогда он сам будет отрабатывать и делать ничего не нужно

Описываю ситуацию, как я ее вижу.
1. Относительно ipv6. Я поднимал в своё время туннель 6to4 и довольно долгое время пользовался им. Сайты типа yuotube.com довольно охотно работают с ipv6 и наблюдалось, например, что если я в фаерволе обрубаю ipv4 полностью, yuotube.com работает по ipv6 вполне себе нормально. Чем мои дети успешно пользовались не смотря на ограничение. Далее, по поводу маршрутизации. В роутах висят три маршрута, два динамических (бридж и туннель) и один прописываем (все запросы в гетвэй). По поводу работы, по-умолчанию и в Винде и в Лине ipv6 имеет приоритет над ipv4. Я это крайне не люблю, так как ловил множество проблем и с Линем и с открытием сайтов на Винде. Поэтому часто я приоритеты менял на обратные. Инфу найти в сети не сложно. Но тут уже личные предпочтения и интересы, многим это не надо никак.
Сам IPv6 я считал и считаю жутчайшим костылем, крайне неудобным, глючным, конфликтообразующим и абсолютли непонятным рядовому пользователю. Добавление парочки октетов к ipv4 было бы более простым и решало бы проблему на долгие годы без всей этой путаницы.
2. Создание адрес-листа для yuotube. Имел я беседу с нашим юзером, давно и успешно админящим в довольно сложной по условиям компании, долгую и обстоятельную. Как я понял, из нее, обращение к yuotube.com создает только первичный запрос на поиск соответствия. Далее, вступает в работу механизм, призванный снять нагрузку и обеспечить наиболее быстрое получение контента. По всему миру стоит просто чудовищное количество серверов, на которых хранится не просто контент, а наиболее часто запрашиваемый в данном регионе. Например по запросу "синий трактор" с вероятностью 99% этот контент найдется не просто на территории РФ, а относительно близко от места запроса, с минимальным количеством хопов. И отдача контента будет происходить уже не сайта "yuotube.com", а с "*.googlevideo.com", причем вместо звездочки будет наименование именно того хранилища, откуда контент и подаётся. Наименование состоит из набора цифр и букв, обозначающих регион, ноду и номер самого сервера. Их крайне много, контент на них часто разнится от запросов по месту и внести их все довольно сложно. Ну и IP-адреса у них могут отличаться от тех, что опубликованы в качестве официальных гугловских. Начиная с 7.5 Микротик позволяет вносить в правило и обрабатывать выражения типа "*.googlevideo.com", получая динамический список адресов.
Это всё конечно крайне упрощенная версия разговора, мне мой уровень просто не позволяет воспроизвести все те умные вещи, которые пытался донести да меня собеседник. Извините, но мне показалось, что даже такой "эскиз" хоть немного упростит понимание ситуации.
Сам я пока упорно сижу на 6 версии, что не позволяет мне лично опробовать эти вещи. Как бы в самой беседе упоминалось о нескольких подводных камнях, которые пока рано обсуждать без обкатки. Но ранее осени нет ни времени ни сил на какое-либо исследование, и к тому периоду, вполне возможно, всё это потеряет актуальность.

Инструкция по настройке 6to4 туннеля. Обязательное требование - наличие белого статического или динамического IP, поддержка на устройствах возможность работы по IPV6 (например некоторые телевизоры этого не умеют).

1. Заходим через WinBox. IPV6 - Settings. Снимаем галку с Disable IPv6 и проверяем чтобы стояла на IPv6 Forward


2. Регистрируемся на сайте туннельного брокера. Я использую https://6in4.ru/ . С брокером https://ipv6.ip4market.ru/ у меня Ютуб не завёлся, видимо на нём блок.

3. В личном кабинете в разделе Add new tunnel вписываем свой внешний IP адрес (он должен уже там подставлен быть) и нажимаем кнопку Add new tunnel. Нам нужны данные IPv4 Client address, IPv4 Server address, IPv6 client address, IPv6 server address, IPv6 PD prefix

4. Переходим в WinBox и запускаем New Terminal

5. Создаём туннель 6to4 где LOCAL IP = IPv4 Client address , SERVER IP = IPv4 Server address. Меняем данные на свои

6. Создаём маршрут где IPv6 SERVER P2P = IPv6 server address. Внимание! Вводим без /127

7. Назначаем адреса. Сверяемся, что имя вашего локального интерфейса bridge, если не так меняем на свой. Название интерфейса sit1 можно не трогать. где IPv6 CLIENT P2P/127 = IPv6 client address, IPv6 PD ADDRESS/64 = IPv6 PD prefix. Тут уже вносим с окончанием /127 и /64 соответственно.

8. Настраиваем ND. Имя интерфейса тоже сверяем с локальным 9. Настраиваем Firewall. Блокируем входящие соединения на роутер и локальные устройства. 10. Прописываем DNS, в данном случае от Google
Проверяем, всё должно работать. Проверить, что на всех устройствах включена работа с IPV6

В случае если у Вас динамический IP адрес, и он поменялся, то на компьютере в PowerShell выполняем команду: где API key
TUNNEL ID = ID
NEW LOCAL IP = ваш новый IP адрес. API key и TUNNEL ID берем из личного кабинета брокера.

Вроде ничего не упустил. Скрипт для автоматического обновления динамического IP где-то был.