Страница 46 из 48
Re: Как завернуть весь трафик Youtube в VPN
Добавлено: 28 янв 2025, 15:01
grafstroganov
podarok66 писал(а): ↑28 янв 2025, 14:58
Я может жестоко ошибаюсь, но мне всегда казалось, что https-трафик всегда висел на 443 порту. И закрывать его для всей локалки такое себе мероприятие. Потому с спрашивал, может урезать осетра и закрыть данный порт только для телевизора? И ещё,
https - tcp трафик, речь о UDP
https://www.auvik.com/franklyit/blog/wh ... protocol/
Re: Как завернуть весь трафик Youtube в VPN
Добавлено: 28 янв 2025, 19:22
egor_ka8
grafstroganov писал(а): ↑27 янв 2025, 22:42
egor_ka8 писал(а): ↑27 янв 2025, 21:16
Здравствуйте, делал все по инструкции, DOH включен, но стали тупить сайты типа mail.ru и прочие. А calendar.mail.ru вообще не открывается, куда капать?
Вопрос - по какой из инструкций? их тут несколько :).
Варианты: 1) Маркировка трафика на определенные ресурсы чтобы пускать их через VPN? 2)4to6 туннель?
если вариант 2) то на нём действительно наблюдаются проблемы с открытием некоторых ресурсов, по варианту же 1) - проблем быть не должно, как и мешать открытию DOH тоже.
Делал по инструкции с маркировкой трафика. Проблему вроде как решил, в маскарадинге для чистого инета ещё указал выходящий интерфейс. А для впн, указал роут лист для впн.
У меня сделано с виртуальным WiFi где вообще весь трафик уходит на впн, помимо обычного инета с маркировкой. Очень удобно, спасибо всем участвующим в создании инструкции, нашел ваш сайт и дополнение, что нужно еще статик днс прописат и ютуб заработал.
Re: Как завернуть весь трафик Youtube в VPN
Добавлено: 28 янв 2025, 19:52
podarok66
grafstroganov писал(а): ↑28 янв 2025, 15:01
podarok66 писал(а): ↑28 янв 2025, 14:58
Я может жестоко ошибаюсь, но мне всегда казалось, что https-трафик всегда висел на 443 порту. И закрывать его для всей локалки такое себе мероприятие. Потому с спрашивал, может урезать осетра и закрыть данный порт только для телевизора? И ещё,
https - tcp трафик, речь о UDP
https://www.auvik.com/franklyit/blog/wh ... protocol/
Да вот как бы и не весь. Chrome использует тот же протокол QUIC, Google, Youtube... Это изначально гугловский протокол. Поэтому ещё раз, урежьте осетра, не стоит резать трафик на 443 порту всей сети, даже если это только udp. Впрочем, как хотите.
Re: Как завернуть весь трафик Youtube в VPN
Добавлено: 29 янв 2025, 10:53
mobidee
podarok66 писал(а): ↑28 янв 2025, 14:58
slowhands писал(а): ↑27 янв 2025, 21:41
podarok66 писал(а): ↑27 янв 2025, 20:33
Это что, весь https трафик заблокировать? Не слишком ли радикально? Может только для данного устройства?
quic заблочить, https тут не при делах
Я может жестоко ошибаюсь, но мне всегда казалось, что https-трафик всегда висел на 443 порту. И закрывать его для всей локалки такое себе мероприятие. Потому с спрашивал, может урезать осетра и закрыть данный порт только для телевизора? И ещё,
Для обхода https с tls 1.3 работает split2 (split-pos 1 или 2, выше - не работает. 2 = по умолчанию) или любая более сложная магия : split, disorder2, disorder, fake, tlsrec, oob.
Для обхода quic работает fake на провайдерах, где quic полностью не заблокирован.
С tls 1.2 ситуация сложнее, поскольку ТСПУ сечет домен из ответа сервера, который в tls 1.3 зашифрован, а в 1.2 - нет.
То есть, если у телевизора tls 1.2 - нас блокируют не на запросе, а на ответе. И тут довольно сложно топорными методами всё разрулить.
Вот ссыль на гитхаб со статьей и комментами
https://github.com/bol-van/zapret/discussions/200
Получилось закрыть протокол таким способом, ещё проблема была в настройке capsman, в разделе datapath обязательно надо ставить пункт ARP в Enabled.
Без этого пункта телеки вели себя как я описал, после установки пункта все заработало как часы...
Re: Как завернуть весь трафик Youtube в VPN
Добавлено: 01 фев 2025, 20:48
Dominik
все настроено по инстпукции, но после перезагрузки VPS сервера, вдруг потерялась связь
traceroute to myip.ru (178.62.9.171), 64 hops max, 52 byte packets
1 192.168.1.1 (192.168.1.1) 4.271 ms 3.456 ms 2.888 ms
2 10.8.0.1 (10.8.0.1) 35.599 ms 34.639 ms 34.087 ms
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
12 * * *
13 * * *
14 * * *
15 * * *
Запрос идет только до интерфейся WG, не могу найти причину
По быстрому настроил старый микротик по такому же алгоритму, все норм, неужели внутренний глюк, и надо переписывать весь конфиг
Оборудование: hap AX3, ROS 7.17.1
Re: Как завернуть весь трафик Youtube в VPN
Добавлено: 02 фев 2025, 12:05
eclegolas
c400 писал(а): ↑29 сен 2024, 06:43
Выложу проверенное решение.
Требуется VPN / лучше WireGuard тоннель до сервера (в моёем случае он называется Wireguard-Client)
Далее:
1. #выравниваем mtu
Код: Выделить всё
/ip firewall mangle add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=Wireguard-Client protocol=tcp tcp-flags=syn
2. #Для коректной работы обязательно выключаем fasttrack
Код: Выделить всё
/ip firewall filter disable [ find where comment="defconf: fasttrack"]
3. # Создаем таблицу antiblock
Код: Выделить всё
/routing table add disabled=no fib name=antiblock
4. #Маркируем адреса из списка youtube_list отметкой antiblock
Код: Выделить всё
/ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=youtube_list new-routing-mark=antiblock passthrough=no
5. # Отсылаем все пакеты с маркировкой antiblock через WireGuard сервер (в моём случае 10.66.66.1 это внутренний адрес WireGuard сервера)
Код: Выделить всё
/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.66.66.1 pref-src="" routing-table=antiblock scope=30 suppress-hw-offload=no target-scope=10
6. # Получаем IP адреса доменов и помещаем в список youtube_list
Код: Выделить всё
/ip firewall address-list add address=youtube.com list=youtube_list
/ip firewall address-list add address=youtu.be list=youtube_list
/ip firewall address-list add address=yt.be list=youtube_list
/ip firewall address-list add address=googlevideo.com list=youtube_list
/ip firewall address-list add address=ytimg.com list=youtube_list
/ip firewall address-list add address=ggpht.com list=youtube_list
/ip firewall address-list add address=gvt1.com list=youtube_list
/ip firewall address-list add address=youtube-nocookie.com list=youtube_list
/ip firewall address-list add address=youtube-ui.l.google.com list=youtube_list
/ip firewall address-list add address=youtubeembeddedplayer.googleapis.com list=youtube_list
/ip firewall address-list add address=youtube.googleapis.com list=youtube_list
/ip firewall address-list add address=youtubei.googleapis.com list=youtube_list
/ip firewall address-list add address=yt-video-upload.l.google.com list=youtube_list
/ip firewall address-list add address=wide-youtube.l.google.com list=youtube_list
/ip firewall address-list add address=google.com list=youtube_list
/ip firewall address-list add address=google.ru list=youtube_list
7. # Получаем IP поддоменов и помещаем в список youtube_list
Код: Выделить всё
/ip dns static add address-list=youtube_list match-subdomain=yes name=youtube.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=youtu.be type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=yt.be type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=googlevideo.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=ytimg.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=ggpht.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=gvt1.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=youtube-nocookie.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=googleapis.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=google.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=google.ru type=FWD
8. # Убираем возникновение ошибок переполнения кеша DNS
Код: Выделить всё
/ip dns set cache-size=4096
/ip dns set cache-max-ttl=1d
/ip dns set address-list-extra-time=1d
Здравствуйте, спасибо за данную инструкцию.
Подскажите, а как аналогично Инстаграм сделать так? У вас нет случайно готовых команд с доменами?
Спасибо ещё раз.
Re: Как завернуть весь трафик Youtube в VPN
Добавлено: 08 фев 2025, 15:11
Serafim
c400 писал(а): ↑29 сен 2024, 06:43
Выложу проверенное решение.
Требуется VPN / лучше WireGuard тоннель до сервера (в моёем случае он называется Wireguard-Client)
Далее:
1. #выравниваем mtu
Код: Выделить всё
/ip firewall mangle add action=change-mss chain=forward new-mss=clamp-to-pmtu out-interface=Wireguard-Client protocol=tcp tcp-flags=syn
2. #Для коректной работы обязательно выключаем fasttrack
Код: Выделить всё
/ip firewall filter disable [ find where comment="defconf: fasttrack"]
3. # Создаем таблицу antiblock
Код: Выделить всё
/routing table add disabled=no fib name=antiblock
4. #Маркируем адреса из списка youtube_list отметкой antiblock
Код: Выделить всё
/ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=youtube_list new-routing-mark=antiblock passthrough=no
5. # Отсылаем все пакеты с маркировкой antiblock через WireGuard сервер (в моём случае 10.66.66.1 это внутренний адрес WireGuard сервера)
Код: Выделить всё
/ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.66.66.1 pref-src="" routing-table=antiblock scope=30 suppress-hw-offload=no target-scope=10
6. # Получаем IP адреса доменов и помещаем в список youtube_list
Код: Выделить всё
/ip firewall address-list add address=youtube.com list=youtube_list
/ip firewall address-list add address=youtu.be list=youtube_list
/ip firewall address-list add address=yt.be list=youtube_list
/ip firewall address-list add address=googlevideo.com list=youtube_list
/ip firewall address-list add address=ytimg.com list=youtube_list
/ip firewall address-list add address=ggpht.com list=youtube_list
/ip firewall address-list add address=gvt1.com list=youtube_list
/ip firewall address-list add address=youtube-nocookie.com list=youtube_list
/ip firewall address-list add address=youtube-ui.l.google.com list=youtube_list
/ip firewall address-list add address=youtubeembeddedplayer.googleapis.com list=youtube_list
/ip firewall address-list add address=youtube.googleapis.com list=youtube_list
/ip firewall address-list add address=youtubei.googleapis.com list=youtube_list
/ip firewall address-list add address=yt-video-upload.l.google.com list=youtube_list
/ip firewall address-list add address=wide-youtube.l.google.com list=youtube_list
/ip firewall address-list add address=google.com list=youtube_list
/ip firewall address-list add address=google.ru list=youtube_list
7. # Получаем IP поддоменов и помещаем в список youtube_list
Код: Выделить всё
/ip dns static add address-list=youtube_list match-subdomain=yes name=youtube.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=youtu.be type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=yt.be type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=googlevideo.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=ytimg.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=ggpht.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=gvt1.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=youtube-nocookie.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=googleapis.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=google.com type=FWD
/ip dns static add address-list=youtube_list match-subdomain=yes name=google.ru type=FWD
8. # Убираем возникновение ошибок переполнения кеша DNS
Код: Выделить всё
/ip dns set cache-size=4096
/ip dns set cache-max-ttl=1d
/ip dns set address-list-extra-time=1d
Добрый день ! Все сделал строго по инструкции. Ютуб все равно ходит мимо WG интерфейса... Для теста добавил в adress list - 2ip.ru , работает через wg нормально.
Что еще можно подкрутить ?
Re: Как завернуть весь трафик Youtube в VPN
Добавлено: 10 фев 2025, 00:43
c400
eclegolas писал(а): ↑02 фев 2025, 12:05Здравствуйте, спасибо за данную инструкцию.
Подскажите, а как аналогично Инстаграм сделать так? У вас нет случайно готовых команд с доменами?
Спасибо ещё раз.
это делается загрузкой иным способом.
Весь лист забаненных ресурсов загоняется в BGP сервер, который установлен на вашем же VPN.
Роутер (микротик) по BGP получает список готовых IP и маркирует их примерно так же, как указано в инструкции.
Вот собственно и всё.
Мануал и скрипты были на хабре, но их посносили...
Serafim писал(а): ↑08 фев 2025, 15:11
Добрый день ! Все сделал строго по инструкции. Ютуб все равно ходит мимо WG интерфейса... Для теста добавил в adress list - 2ip.ru , работает через wg нормально.
Что еще можно подкрутить ?
Было такое же как-то, но не вспомню, в чём было дело.
c400 писал(а): ↑29 сен 2024, 06:43
UPD 08.01.2025
8. # Убираем возникновение ошибок переполнения кеша DNS
Код: Выделить всё
/ip dns set cache-size=4096
/ip dns set cache-max-ttl=1d
/ip dns set address-list-extra-time=1d
Это был косяк прошивки Mikrotik. В версиях 7.17.1 исправили!
Re: Как завернуть весь трафик Youtube в VPN
Добавлено: 12 фев 2025, 09:25
pinbalist
Всем привет.
Сделал дома (ax3) по варианту 6in4 - всё прекрасно работает, ютуп летает.
Сделал на работе (1100AHx2) по тому же варианту, но не всё так гладко. Проверку на наличие адреса v6 не проходит (дома проходит, всё норм), но ютуб заработал. А вот в рабочей сетке начались проблемы. Без какой-либо закономерности на разных пк на сетевые шары перестал заходить, outlook не подключается к exchange с первого раза. Так же перестал работать web telegram и не открываются некоторые сайты. DNS и DHCP находятся не на микротике. На микроте 1 и 2 порты - провайдеры, 3 порт локалка. В инструкции написано что делают на bridge, но бриджа у меня нет, поэтому делал чисто на 3 порт. Подскажите, как пофиксить данные проблемы и при этом не убить доступ к ютубу?
Re: Как завернуть весь трафик Youtube в VPN
Добавлено: 17 фев 2025, 21:14
golik101
pinbalist писал(а): ↑12 фев 2025, 09:25
Всем привет.
Сделал дома (ax3) по варианту 6in4 - всё прекрасно работает, ютуп летает.
Сделал на работе (1100AHx2) по тому же варианту, но не всё так гладко. Проверку на наличие адреса v6 не проходит (дома проходит, всё норм), но ютуб заработал. А вот в рабочей сетке начались проблемы. Без какой-либо закономерности на разных пк на сетевые шары перестал заходить, outlook не подключается к exchange с первого раза. Так же перестал работать web telegram и не открываются некоторые сайты. DNS и DHCP находятся не на микротике. На микроте 1 и 2 порты - провайдеры, 3 порт локалка. В инструкции написано что делают на bridge, но бриджа у меня нет, поэтому делал чисто на 3 порт. Подскажите, как пофиксить данные проблемы и при этом не убить доступ к ютубу?
поделитесь ссылкой на инструкцию