у брокера запросите /48 префикс, нарежьте его на /64 и их раздавайте клиентам на бридже или других интерфейсах. Если память мне не изменяет то по спецификации ipv6, на 1 ipv4 адрес "положен" /48 префикс. А если брокер выдает Вам /64 префикс, то их в /48 аж 65536, поэтому гугл и считает вас ботофермой (я думаю он тоже ориентируется на то что /48 префикс это условно 1 клиент).
Как завернуть весь трафик Youtube в VPN
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 7
- Зарегистрирован: 03 июл 2019, 17:20
-
- Сообщения: 1
- Зарегистрирован: 04 сен 2024, 18:11
youtube.com
youtu.be
googlevideo.com
play.google.com
google.com
ggpht.com
yt3.ggpht.com
Всем привет, попробовал, вариант со списками Firewall->Raw да работает но так себе.... видимо не все сразу что надо попадает в список.
Если в один пакет все что надо не попадает, то не сработает правило
Вообще идея хорошая, рассчитано видимо на поиск в полях TLS-HOST и в Http запросе есть поле "Origin:".
гораздо лучше начинает работать если еще сделать отдельный лис с блоками ИП адресов Ютуба.
https://github.com/touhidurrr/iplist-yo ... 0372237524
Совместно оно прям хорошо работает !
У меня правила выглядят так:
chain=prerouting action=add-dst-to-address-list in-interface=bridge1 content=googlevideo log=no log-prefix="" address-list=domain-list-zapret.txt address-list-timeout=10m
Обратите внимание - только входящий трафик в интерфейс чтоб проц лишнего не грузить
время пока 10 минут поставил, для тестов !
Еще можно dnscrypt-proxy поставить где-то рядом, на будующее включить логи запросов и посмотреть что там еще по Ютубу попадается.
И наверно не обязательно писать целиком домен и какие-то части, по короче
youtu
googlevideo
play.goog
ggpht
Вот так тоже работает !
Не знаю как ссылки на другой пост вставить, ну я надеюсь вы поняли про что я тут )
youtu.be
googlevideo.com
play.google.com
google.com
ggpht.com
yt3.ggpht.com
Всем привет, попробовал, вариант со списками Firewall->Raw да работает но так себе.... видимо не все сразу что надо попадает в список.
Если в один пакет все что надо не попадает, то не сработает правило
Вообще идея хорошая, рассчитано видимо на поиск в полях TLS-HOST и в Http запросе есть поле "Origin:".
гораздо лучше начинает работать если еще сделать отдельный лис с блоками ИП адресов Ютуба.
https://github.com/touhidurrr/iplist-yo ... 0372237524
Совместно оно прям хорошо работает !
У меня правила выглядят так:
chain=prerouting action=add-dst-to-address-list in-interface=bridge1 content=googlevideo log=no log-prefix="" address-list=domain-list-zapret.txt address-list-timeout=10m
Обратите внимание - только входящий трафик в интерфейс чтоб проц лишнего не грузить
время пока 10 минут поставил, для тестов !
Еще можно dnscrypt-proxy поставить где-то рядом, на будующее включить логи запросов и посмотреть что там еще по Ютубу попадается.
И наверно не обязательно писать целиком домен и какие-то части, по короче
youtu
googlevideo
play.goog
ggpht
Вот так тоже работает !
Не знаю как ссылки на другой пост вставить, ну я надеюсь вы поняли про что я тут )
-
- Сообщения: 71
- Зарегистрирован: 03 авг 2024, 15:21
Вы несколько путаете брокера с механизмом 6to4. Брокер никому не обязан выдавать 48 префикс. 6to4 - да, там префикс /48 (но он не имеет отношения к тунельным брокерам).dramango писал(а): ↑09 сен 2024, 15:37у брокера запросите /48 префикс, нарежьте его на /64 и их раздавайте клиентам на бридже или других интерфейсах. Если память мне не изменяет то по спецификации ipv6, на 1 ipv4 адрес "положен" /48 префикс. А если брокер выдает Вам /64 префикс, то их в /48 аж 65536, поэтому гугл и считает вас ботофермой (я думаю он тоже ориентируется на то что /48 префикс это условно 1 клиент).
Я бы на месте человека проверил, не получает ли он каждый раз разный IPv6 от своего роутера (после перезагрузки например). А так, для одной локалки что /48, что /64 - разницы нет.
-
- Сообщения: 7
- Зарегистрирован: 03 июл 2019, 17:20
я лишь к тому что для гугла поток запросов может казаться автоматизированным.
Было так же на tunnelbroker, по умолчанию выдали подсеть с /64 префиксом, с ним постоянно вводил капчу. На том же туннеле выбрал подсеть с /48 префиксом, из него назначил на bridge 3 рандомных /64 подсети, капчи нет. куда использовать оставшиеся 65533 /64 подсети пока не придумал :)
Было так же на tunnelbroker, по умолчанию выдали подсеть с /64 префиксом, с ним постоянно вводил капчу. На том же туннеле выбрал подсеть с /48 префиксом, из него назначил на bridge 3 рандомных /64 подсети, капчи нет. куда использовать оставшиеся 65533 /64 подсети пока не придумал :)
-
- Сообщения: 71
- Зарегистрирован: 03 авг 2024, 15:21
Остальные можете раздать нуждающимся, тут у многих нет IPV4 белый, а IPV6 хочетсяdramango писал(а): ↑09 сен 2024, 16:09 я лишь к тому что для гугла поток запросов может казаться автоматизированным.
Было так же на tunnelbroker, по умолчанию выдали /64 префикс, с ним постоянно вводил капчу. На том же туннеле выбрал /48 префикс, из него назначил на bridge 3 рандомных /64 префикса, капчи нет. куда использовать оставшиеся 65533 /64 префикса пока не придумал :)
-
- Сообщения: 71
- Зарегистрирован: 03 авг 2024, 15:21
Кстати, для инормации.
У меня (как и у многих) провайдер блочит WireGuard "за бугор".
Как решил обход я:
1) Подключил тунельного брокера (6to4 и Hurricane Electric как резерв). Настроил IPv6
2) Зарегестрировал себе CloudFlare Warp.
3) Настроил WireGuard VPN до WARP, но через IPV6.
Итог:
Сайты IPV6 - работают без ограничений.
Те сайты IPv4 что требуют обход блокировки - пускаю через WireGuard VPN (через тунельного брокера, пока ТСПУ Роскомнадзора не блочит WG).
Как по мне, всё это вопрос времени, научат они "черный ящик" ловить и такие соединения.
У меня (как и у многих) провайдер блочит WireGuard "за бугор".
Как решил обход я:
1) Подключил тунельного брокера (6to4 и Hurricane Electric как резерв). Настроил IPv6
2) Зарегестрировал себе CloudFlare Warp.
3) Настроил WireGuard VPN до WARP, но через IPV6.
Итог:
Сайты IPV6 - работают без ограничений.
Те сайты IPv4 что требуют обход блокировки - пускаю через WireGuard VPN (через тунельного брокера, пока ТСПУ Роскомнадзора не блочит WG).
Как по мне, всё это вопрос времени, научат они "черный ящик" ловить и такие соединения.
-
- Сообщения: 1
- Зарегистрирован: 09 сен 2024, 10:03
Если я не ошибаюсь, то согласно мануалу Mikrotik вариант с content=: не работает с HTTPS-трафиком, поскольку содержимое зашифровано. Сайты (YouTube и т.д.) используют HTTPS, поэтому такие правила будут бесполезны для этих доменов.paladingag писал(а): ↑07 сен 2024, 19:35 chr1 и chr2 это два независимых l2tp+ipsec интерфейса наружу
Применяется только к трафику, где содержимое не зашифровано (HTTP).
Нужно использовать вариант с tls-host:
tls-host=: как раз работает с зашифрованными HTTPS, проверяя поля сертификата TLS, которые передаются незашифрованными. Это позволяет распознать домен, к которому идет трафик, даже если он защищен HTTPS.
Работает с версии RouterOS 6.42. Также обязательно: *.googlevideo.com, *.ytimg.com, *.youtube.*, чтобы правильно определялись IP на весь HTTPS-трафик поддоменов.
Последний раз редактировалось Aiser 10 сен 2024, 09:08, всего редактировалось 2 раза.
-
- Сообщения: 7
- Зарегистрирован: 06 авг 2024, 12:37
Подскажите неопытному, "белый айпишник" тот что от интернет провайдера? И "адрес интерфейса тунеля" тот что от РКН провайдера? Вы о них говорите, или я ошибся?pipitos писал(а): ↑07 сен 2024, 21:08Спасибо. Тут бы еще добавить адрес ytimg.com так как привьюшки видео без него не грузятся. А так да работает. Ну и fasttrack выключить/paladingag писал(а): ↑07 сен 2024, 19:35chr1 и chr2 это два независимых l2tp+ipsec интерфейса наружу
upd. и да кстати белый айпишник и адрес интерфейса тунеля добавляются в адрес листы их нужно исключить
-
- Модератор
- Сообщения: 3360
- Зарегистрирован: 01 окт 2012, 14:48
-
- Модератор
- Сообщения: 3360
- Зарегистрирован: 01 окт 2012, 14:48