Russian Users MikroTik | Форум пользователей MikroTik

Если вы используете очереди, правила файерволла и правила mangle, то эти правила не будут применены для трафика Fasttrack.

/ip firewall filter add action=accept chain=forward connection-state=established,related in-interface=<interface> out-interface=<interface> \
     connection-mark=<mark>
/ip firewall filter add action=fasttrack-connection chain=forward connection-state=established,related connection-mark=!<mark>

podarok66 писал(а): ↑18 авг 2024, 11:54 Описываю ситуацию, как я ее вижу.
1. Относительно ipv6. Я поднимал в своё время туннель 6to4 и довольно долгое время пользовался им. Сайты типа yuotube.com довольно охотно работают с ipv6 и наблюдалось, например, что если я в фаерволе обрубаю ipv4 полностью, yuotube.com работает по ipv6 вполне себе нормально. Чем мои дети успешно пользовались не смотря на ограничение. Далее, по поводу маршрутизации. В роутах висят три маршрута, два динамических (бридж и туннель) и один прописываем (все запросы в гетвэй). По поводу работы, по-умолчанию и в Винде и в Лине ipv6 имеет приоритет над ipv4. Я это крайне не люблю, так как ловил множество проблем и с Линем и с открытием сайтов на Винде. Поэтому часто я приоритеты менял на обратные. Инфу найти в сети не сложно. Но тут уже личные предпочтения и интересы, многим это не надо никак.
Сам IPv6 я считал и считаю жутчайшим костылем, крайне неудобным, глючным, конфликтообразующим и абсолютли непонятным рядовому пользователю. Добавление парочки октетов к ipv4 было бы более простым и решало бы проблему на долгие годы без всей этой путаницы.
2. Создание адрес-листа для yuotube. Имел я беседу с нашим юзером, давно и успешно админящим в довольно сложной по условиям компании, долгую и обстоятельную. Как я понял, из нее, обращение к yuotube.com создает только первичный запрос на поиск соответствия. Далее, вступает в работу механизм, призванный снять нагрузку и обеспечить наиболее быстрое получение контента. По всему миру стоит просто чудовищное количество серверов, на которых хранится не просто контент, а наиболее часто запрашиваемый в данном регионе. Например по запросу "синий трактор" с вероятностью 99% этот контент найдется не просто на территории РФ, а относительно близко от места запроса, с минимальным количеством хопов. И отдача контента будет происходить уже не сайта "yuotube.com", а с "*.googlevideo.com", причем вместо звездочки будет наименование именно того хранилища, откуда контент и подаётся. Наименование состоит из набора цифр и букв, обозначающих регион, ноду и номер самого сервера. Их крайне много, контент на них часто разнится от запросов по месту и внести их все довольно сложно. Ну и IP-адреса у них могут отличаться от тех, что опубликованы в качестве официальных гугловских. Начиная с 7.5 Микротик позволяет вносить в правило и обрабатывать выражения типа "*.googlevideo.com", получая динамический список адресов.
Это всё конечно крайне упрощенная версия разговора, мне мой уровень просто не позволяет воспроизвести все те умные вещи, которые пытался донести да меня собеседник. Извините, но мне показалось, что даже такой "эскиз" хоть немного упростит понимание ситуации.
Сам я пока упорно сижу на 6 версии, что не позволяет мне лично опробовать эти вещи. Как бы в самой беседе упоминалось о нескольких подводных камнях, которые пока рано обсуждать без обкатки. Но ранее осени нет ни времени ни сил на какое-либо исследование, и к тому периоду, вполне возможно, всё это потеряет актуальность.

# Настроить DOH DNS, убрать все записи из днс и ->  C DOH НЕ ЗАРАБОТАЛО (7.14)
# Google
/tool fetch url=https://curl.se/ca/cacert.pem
/certificate import file-name=cacert.pem passphrase=""
/ip dns static add address=8.8.8.8 name="dns.google"
/ip dns static add address=8.8.4.4 name="dns.google"
/ip dns set use-doh-server=https://dns.google/dns-query verify-doh-cert=yes
/ip dns set servers=""

# Или cloudflare
/tool fetch url=https://cacerts.digicert.com/DigiCertGlobalRootCA.crt.pem
/certificate import file-name=DigiCertGlobalRootCA.crt.pem passphrase=""
/ip dns set use-doh-server=https://1.1.1.1/dns-query verify-doh-cert=yes
/ip dns set servers=""


ip/dns/static/add address-list=to-wg match-subdomain=yes name=googlevideo.com type=FWD
ip/dns/static/add address-list=to-wg match-subdomain=yes name=youtube.com type=FWD
ip/dns/static/add address-list=to-wg match-subdomain=yes name=ytimg.com type=FWD

ip/dns/static/add address-list=to-wg match-subdomain=yes name=x.com type=FWD
ip/dns/static/add address-list=to-wg match-subdomain=yes name=twitter.com type=FWD  
ip/dns/static/add address-list=to-wg match-subdomain=yes name=twimg.com type=FWD

ip/dns/static/add address-list=to-wg match-subdomain=yes name=chatgpt.com type=FWD            
ip/dns/static/add address-list=to-wg match-subdomain=yes name=openai.com type=FWD        
ip/dns/static/add address-list=to-wg match-subdomain=yes name=copilot.microsoft.com type=FWD           
ip/dns/static/add address-list=to-wg match-subdomain=yes name=bing.com type=FWD                      
ip/dns/static/add address-list=to-wg match-subdomain=yes name=openai.com type=FWD 

ip/dns/static/add address-list=to-wg match-subdomain=yes name=instagram.com type=FWD        
ip/dns/static/add address-list=to-wg match-subdomain=yes name=cdninstagram.com type=FWD          
ip/dns/static/add address-list=to-wg match-subdomain=yes name=facebook.com type=FWD
ip/dns/static/add address-list=to-wg match-subdomain=yes name=fbcdn.net type=FWD
ip/dns/static/add address-list=to-wg match-subdomain=yes name=linkedin.com type=FWD

pipitos писал(а): ↑20 авг 2024, 15:57 Важное дополнение для тех кто возможно использует маркировку трафика и адрес листы. Отключайте фаст трек. На сайте микрота прямо указанно какие ограничения накладывает фасттрек.

Если вы используете очереди, правила файерволла и правила mangle, то эти правила не будут применены для трафика Fasttrack.

Или отключайте или исключайте трафик ваш из фастрека.

Код: Выделить всё

/ip firewall filter add action=accept chain=forward connection-state=established,related in-interface=<interface> out-interface=<interface> \
     connection-mark=<mark>
/ip firewall filter add action=fasttrack-connection chain=forward connection-state=established,related connection-mark=!<mark>

У меня корректно не работал мангл из за фасттрека. Хотя я еще на MTCNA это знал )) но прошло уже 4 года)

pipitos писал(а): ↑20 авг 2024, 15:57 Важное дополнение для тех кто возможно использует маркировку трафика и адрес листы. Отключайте фаст трек. На сайте микрота прямо указанно какие ограничения накладывает фасттрек.

Если вы используете очереди, правила файерволла и правила mangle, то эти правила не будут применены для трафика Fasttrack.

Или отключайте или исключайте трафик ваш из фастрека.

Код: Выделить всё

/ip firewall filter add action=accept chain=forward connection-state=established,related in-interface=<interface> out-interface=<interface> \
     connection-mark=<mark>
/ip firewall filter add action=fasttrack-connection chain=forward connection-state=established,related connection-mark=!<mark>

У меня корректно не работал мангл из за фасттрека. Хотя я еще на MTCNA это знал )) но прошло уже 4 года)

/ip firewall filter add action=accept chain=forward connection-state=established,related in-interface=bridge out-interface=wg1 \
connection-mark=NoFCYoutube

Leshiu писал(а): ↑22 авг 2024, 11:48
У меня не отрабатывает маркировка пакетов, 0 пакетов. Задаю параметр:

/ip firewall filter add action=accept chain=forward connection-state=established,related in-interface=bridge out-interface=wg1 \
connection-mark=NoFCYoutube

Что не так?

aleksandr.portnov писал(а): ↑22 авг 2024, 09:45 Когда началась проблема с YouTube тоже купил себе vds в Эстонии и развернул wg. Маршруты заворачивал через адрес лист приведенный на первых страницах, все это время работало идеально и на компе и телевизоре , вчера перестал открываться youtube, канал wg работает. Пробовал генерировать списки через domainmapper, но тоже не открывается. Только у меня так? Есть ли новые рабочие списки адресов?

Omnitrix писал(а): ↑22 авг 2024, 14:50

aleksandr.portnov писал(а): ↑22 авг 2024, 09:45 Когда началась проблема с YouTube тоже купил себе vds в Эстонии и развернул wg. Маршруты заворачивал через адрес лист приведенный на первых страницах, все это время работало идеально и на компе и телевизоре , вчера перестал открываться youtube, канал wg работает. Пробовал генерировать списки через domainmapper, но тоже не открывается. Только у меня так? Есть ли новые рабочие списки адресов?

Так же, VPS Нидерланды 62yun, перестало открываться через туннель WG. Дело, скорее всего, в самом WG или VPS, не могу понять, у меня всё, что маркировано для туннеля перестало открываться...