Как завернуть весь трафик Youtube в VPN

[grafstroganov]

Я может жестоко ошибаюсь, но мне всегда казалось, что https-трафик всегда висел на 443 порту. И закрывать его для всей локалки такое себе мероприятие. Потому с спрашивал, может урезать осетра и закрыть данный порт только для телевизора? И ещё,

https - tcp трафик, речь о UDP
https://www.auvik.com/franklyit/blog/wh ... protocol/

[egor_ka8]

Здравствуйте, делал все по инструкции, DOH включен, но стали тупить сайты типа mail.ru и прочие. А calendar.mail.ru вообще не открывается, куда капать?

Вопрос - по какой из инструкций? их тут несколько :).
Варианты: 1) Маркировка трафика на определенные ресурсы чтобы пускать их через VPN? 2)4to6 туннель?
если вариант 2) то на нём действительно наблюдаются проблемы с открытием некоторых ресурсов, по варианту же 1) - проблем быть не должно, как и мешать открытию DOH тоже.

Делал по инструкции с маркировкой трафика. Проблему вроде как решил, в маскарадинге для чистого инета ещё указал выходящий интерфейс. А для впн, указал роут лист для впн.

У меня сделано с виртуальным WiFi где вообще весь трафик уходит на впн, помимо обычного инета с маркировкой. Очень удобно, спасибо всем участвующим в создании инструкции, нашел ваш сайт и дополнение, что нужно еще статик днс прописат и ютуб заработал.

[podarok66]

Я может жестоко ошибаюсь, но мне всегда казалось, что https-трафик всегда висел на 443 порту. И закрывать его для всей локалки такое себе мероприятие. Потому с спрашивал, может урезать осетра и закрыть данный порт только для телевизора? И ещё,

https - tcp трафик, речь о UDP
https://www.auvik.com/franklyit/blog/wh ... protocol/

Да вот как бы и не весь. Chrome использует тот же протокол QUIC, Google, Youtube... Это изначально гугловский протокол. Поэтому ещё раз, урежьте осетра, не стоит резать трафик на 443 порту всей сети, даже если это только udp. Впрочем, как хотите.

[mobidee]

Это что, весь https трафик заблокировать? Не слишком ли радикально? Может только для данного устройства?

quic заблочить, https тут не при делах

Я может жестоко ошибаюсь, но мне всегда казалось, что https-трафик всегда висел на 443 порту. И закрывать его для всей локалки такое себе мероприятие. Потому с спрашивал, может урезать осетра и закрыть данный порт только для телевизора? И ещё,

Для обхода https с tls 1.3 работает split2 (split-pos 1 или 2, выше - не работает. 2 = по умолчанию) или любая более сложная магия : split, disorder2, disorder, fake, tlsrec, oob.
Для обхода quic работает fake на провайдерах, где quic полностью не заблокирован.
С tls 1.2 ситуация сложнее, поскольку ТСПУ сечет домен из ответа сервера, который в tls 1.3 зашифрован, а в 1.2 - нет.

То есть, если у телевизора tls 1.2 - нас блокируют не на запросе, а на ответе. И тут довольно сложно топорными методами всё разрулить.
Вот ссыль на гитхаб со статьей и комментами https://github.com/bol-van/zapret/discussions/200

Получилось закрыть протокол таким способом, ещё проблема была в настройке capsman, в разделе datapath обязательно надо ставить пункт ARP в Enabled.
Без этого пункта телеки вели себя как я описал, после установки пункта все заработало как часы...

[Dominik]

все настроено по инстпукции, но после перезагрузки VPS сервера, вдруг потерялась связь
traceroute to myip.ru (178.62.9.171), 64 hops max, 52 byte packets
1 192.168.1.1 (192.168.1.1) 4.271 ms 3.456 ms 2.888 ms
2 10.8.0.1 (10.8.0.1) 35.599 ms 34.639 ms 34.087 ms
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *
Запрос идет только до интерфейся WG, не могу найти причину
По быстрому настроил старый микротик по такому же алгоритму, все норм, неужели внутренний глюк, и надо переписывать весь конфиг
Оборудование: hap AX3, ROS 7.17.1

[eclegolas]

Выложу проверенное решение.

Требуется VPN / лучше WireGuard тоннель до сервера (в моёем случае он называется Wireguard-Client)

Далее:
1. #выравниваем mtu

Код: Выделить всё

/ip firewall mangle add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=Wireguard-Client protocol=tcp tcp-flags=syn

2. #Для коректной работы обязательно выключаем fasttrack

Код: Выделить всё

/ip firewall filter disable [ find where comment="defconf: fasttrack"]

3. # Создаем таблицу antiblock

Код: Выделить всё

/routing table add disabled=no fib name=antiblock

4. #Маркируем адреса из списка youtube_list отметкой antiblock

Код: Выделить всё

/ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=youtube_list new-routing-mark=antiblock passthrough=no

5. # Отсылаем все пакеты с маркировкой antiblock через WireGuard сервер (в моём случае 10.66.66.1 это внутренний адрес WireGuard сервера)

Код: Выделить всё

/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.66.66.1 pref-src="" routing-table=antiblock scope=30 suppress-hw-offload=no target-scope=10

6. # Получаем IP адреса доменов и помещаем в список youtube_list

Код: Выделить всё

/ip firewall address-list add address=youtube.com list=youtube_list
/ip firewall address-list add address=youtu.be list=youtube_list
/ip firewall address-list add address=yt.be list=youtube_list
/ip firewall address-list add address=googlevideo.com list=youtube_list
/ip firewall address-list add address=ytimg.com list=youtube_list
/ip firewall address-list add address=ggpht.com list=youtube_list
/ip firewall address-list add address=gvt1.com list=youtube_list
/ip firewall address-list add address=youtube-nocookie.com list=youtube_list
/ip firewall address-list add address=youtube-ui.l.google.com list=youtube_list
/ip firewall address-list add address=youtubeembeddedplayer.googleapis.com list=youtube_list
/ip firewall address-list add address=youtube.googleapis.com list=youtube_list
/ip firewall address-list add address=youtubei.googleapis.com list=youtube_list
/ip firewall address-list add address=yt-video-upload.l.google.com list=youtube_list
/ip firewall address-list add address=wide-youtube.l.google.com list=youtube_list
/ip firewall address-list add address=google.com list=youtube_list
/ip firewall address-list add address=google.ru list=youtube_list

7. # Получаем IP поддоменов и помещаем в список youtube_list

Код: Выделить всё

/ip dns static add address-list=youtube_list match-subdomain=yes name=youtube.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=youtu.be type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=yt.be type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=googlevideo.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=ytimg.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=ggpht.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=gvt1.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=youtube-nocookie.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=googleapis.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=google.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=google.ru type=FWD

UPD 08.01.2025
8. # Убираем возникновение ошибок переполнения кеша DNS

Код: Выделить всё

/ip dns set cache-size=4096
/ip dns set cache-max-ttl=1d
/ip dns set address-list-extra-time=1d

Здравствуйте, спасибо за данную инструкцию.
Подскажите, а как аналогично Инстаграм сделать так? У вас нет случайно готовых команд с доменами?
Спасибо ещё раз.

[Serafim]

Выложу проверенное решение.

Требуется VPN / лучше WireGuard тоннель до сервера (в моёем случае он называется Wireguard-Client)

Далее:
1. #выравниваем mtu

Код: Выделить всё

/ip firewall mangle add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=Wireguard-Client protocol=tcp tcp-flags=syn

2. #Для коректной работы обязательно выключаем fasttrack

Код: Выделить всё

/ip firewall filter disable [ find where comment="defconf: fasttrack"]

3. # Создаем таблицу antiblock

Код: Выделить всё

/routing table add disabled=no fib name=antiblock

4. #Маркируем адреса из списка youtube_list отметкой antiblock

Код: Выделить всё

/ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=youtube_list new-routing-mark=antiblock passthrough=no

5. # Отсылаем все пакеты с маркировкой antiblock через WireGuard сервер (в моём случае 10.66.66.1 это внутренний адрес WireGuard сервера)

Код: Выделить всё

/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.66.66.1 pref-src="" routing-table=antiblock scope=30 suppress-hw-offload=no target-scope=10

6. # Получаем IP адреса доменов и помещаем в список youtube_list

Код: Выделить всё

/ip firewall address-list add address=youtube.com list=youtube_list
/ip firewall address-list add address=youtu.be list=youtube_list
/ip firewall address-list add address=yt.be list=youtube_list
/ip firewall address-list add address=googlevideo.com list=youtube_list
/ip firewall address-list add address=ytimg.com list=youtube_list
/ip firewall address-list add address=ggpht.com list=youtube_list
/ip firewall address-list add address=gvt1.com list=youtube_list
/ip firewall address-list add address=youtube-nocookie.com list=youtube_list
/ip firewall address-list add address=youtube-ui.l.google.com list=youtube_list
/ip firewall address-list add address=youtubeembeddedplayer.googleapis.com list=youtube_list
/ip firewall address-list add address=youtube.googleapis.com list=youtube_list
/ip firewall address-list add address=youtubei.googleapis.com list=youtube_list
/ip firewall address-list add address=yt-video-upload.l.google.com list=youtube_list
/ip firewall address-list add address=wide-youtube.l.google.com list=youtube_list
/ip firewall address-list add address=google.com list=youtube_list
/ip firewall address-list add address=google.ru list=youtube_list

7. # Получаем IP поддоменов и помещаем в список youtube_list

Код: Выделить всё

/ip dns static add address-list=youtube_list match-subdomain=yes name=youtube.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=youtu.be type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=yt.be type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=googlevideo.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=ytimg.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=ggpht.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=gvt1.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=youtube-nocookie.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=googleapis.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=google.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=google.ru type=FWD

UPD 08.01.2025
8. # Убираем возникновение ошибок переполнения кеша DNS

Код: Выделить всё

/ip dns set cache-size=4096
/ip dns set cache-max-ttl=1d
/ip dns set address-list-extra-time=1d

Добрый день ! Все сделал строго по инструкции. Ютуб все равно ходит мимо WG интерфейса... Для теста добавил в adress list - 2ip.ru , работает через wg нормально.
Что еще можно подкрутить ?

[c400]

Здравствуйте, спасибо за данную инструкцию.
Подскажите, а как аналогично Инстаграм сделать так? У вас нет случайно готовых команд с доменами?
Спасибо ещё раз.

это делается загрузкой иным способом.
Весь лист забаненных ресурсов загоняется в BGP сервер, который установлен на вашем же VPN.
Роутер (микротик) по BGP получает список готовых IP и маркирует их примерно так же, как указано в инструкции.
Вот собственно и всё.

Мануал и скрипты были на хабре, но их посносили...

Добрый день ! Все сделал строго по инструкции. Ютуб все равно ходит мимо WG интерфейса... Для теста добавил в adress list - 2ip.ru , работает через wg нормально.
Что еще можно подкрутить ?

Было такое же как-то, но не вспомню, в чём было дело.

UPD 08.01.2025
8. # Убираем возникновение ошибок переполнения кеша DNS

Код: Выделить всё

/ip dns set cache-size=4096
/ip dns set cache-max-ttl=1d
/ip dns set address-list-extra-time=1d

Это был косяк прошивки Mikrotik. В версиях 7.17.1 исправили!

[pinbalist]

Всем привет.

Сделал дома (ax3) по варианту 6in4 - всё прекрасно работает, ютуп летает.
Сделал на работе (1100AHx2) по тому же варианту, но не всё так гладко. Проверку на наличие адреса v6 не проходит (дома проходит, всё норм), но ютуб заработал. А вот в рабочей сетке начались проблемы. Без какой-либо закономерности на разных пк на сетевые шары перестал заходить, outlook не подключается к exchange с первого раза. Так же перестал работать web telegram и не открываются некоторые сайты. DNS и DHCP находятся не на микротике. На микроте 1 и 2 порты - провайдеры, 3 порт локалка. В инструкции написано что делают на bridge, но бриджа у меня нет, поэтому делал чисто на 3 порт. Подскажите, как пофиксить данные проблемы и при этом не убить доступ к ютубу?

[golik101]

Всем привет.

Сделал дома (ax3) по варианту 6in4 - всё прекрасно работает, ютуп летает.
Сделал на работе (1100AHx2) по тому же варианту, но не всё так гладко. Проверку на наличие адреса v6 не проходит (дома проходит, всё норм), но ютуб заработал. А вот в рабочей сетке начались проблемы. Без какой-либо закономерности на разных пк на сетевые шары перестал заходить, outlook не подключается к exchange с первого раза. Так же перестал работать web telegram и не открываются некоторые сайты. DNS и DHCP находятся не на микротике. На микроте 1 и 2 порты - провайдеры, 3 порт локалка. В инструкции написано что делают на bridge, но бриджа у меня нет, поэтому делал чисто на 3 порт. Подскажите, как пофиксить данные проблемы и при этом не убить доступ к ютубу?

поделитесь ссылкой на инструкцию