Как завернуть весь трафик Youtube в VPN

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
dramango
Сообщения: 7
Зарегистрирован: 03 июл 2019, 17:20

Lurker писал(а): 09 сен 2024, 14:01 увидел тут обсуждените 6to4.
Поставил я его, поигрался и вырубил.
1)гугл постоянно просит гидранты отметить. При чём часто не по разу. Проверка до 2х минут занимать может. 10 дней ждал, что алгоритмы гугла сообразят что я не бот. Не сообразили.
у брокера запросите /48 префикс, нарежьте его на /64 и их раздавайте клиентам на бридже или других интерфейсах. Если память мне не изменяет то по спецификации ipv6, на 1 ipv4 адрес "положен" /48 префикс. А если брокер выдает Вам /64 префикс, то их в /48 аж 65536, поэтому гугл и считает вас ботофермой (я думаю он тоже ориентируется на то что /48 префикс это условно 1 клиент).


javoroleg64
Сообщения: 1
Зарегистрирован: 04 сен 2024, 18:11

youtube.com
youtu.be
googlevideo.com
play.google.com
google.com
ggpht.com
yt3.ggpht.com

Всем привет, попробовал, вариант со списками Firewall->Raw да работает но так себе.... видимо не все сразу что надо попадает в список.
Если в один пакет все что надо не попадает, то не сработает правило
Вообще идея хорошая, рассчитано видимо на поиск в полях TLS-HOST и в Http запросе есть поле "Origin:".
гораздо лучше начинает работать если еще сделать отдельный лис с блоками ИП адресов Ютуба.
https://github.com/touhidurrr/iplist-yo ... 0372237524
Совместно оно прям хорошо работает !


У меня правила выглядят так:

chain=prerouting action=add-dst-to-address-list in-interface=bridge1 content=googlevideo log=no log-prefix="" address-list=domain-list-zapret.txt address-list-timeout=10m

Обратите внимание - только входящий трафик в интерфейс чтоб проц лишнего не грузить
время пока 10 минут поставил, для тестов !

Еще можно dnscrypt-proxy поставить где-то рядом, на будующее включить логи запросов и посмотреть что там еще по Ютубу попадается.
И наверно не обязательно писать целиком домен и какие-то части, по короче
youtu
googlevideo
play.goog
ggpht




Вот так тоже работает !



Не знаю как ссылки на другой пост вставить, ну я надеюсь вы поняли про что я тут )


RusCosmic
Сообщения: 71
Зарегистрирован: 03 авг 2024, 15:21

dramango писал(а): 09 сен 2024, 15:37
Lurker писал(а): 09 сен 2024, 14:01 увидел тут обсуждените 6to4.
Поставил я его, поигрался и вырубил.
1)гугл постоянно просит гидранты отметить. При чём часто не по разу. Проверка до 2х минут занимать может. 10 дней ждал, что алгоритмы гугла сообразят что я не бот. Не сообразили.
у брокера запросите /48 префикс, нарежьте его на /64 и их раздавайте клиентам на бридже или других интерфейсах. Если память мне не изменяет то по спецификации ipv6, на 1 ipv4 адрес "положен" /48 префикс. А если брокер выдает Вам /64 префикс, то их в /48 аж 65536, поэтому гугл и считает вас ботофермой (я думаю он тоже ориентируется на то что /48 префикс это условно 1 клиент).
Вы несколько путаете брокера с механизмом 6to4. Брокер никому не обязан выдавать 48 префикс. 6to4 - да, там префикс /48 (но он не имеет отношения к тунельным брокерам).
Я бы на месте человека проверил, не получает ли он каждый раз разный IPv6 от своего роутера (после перезагрузки например). А так, для одной локалки что /48, что /64 - разницы нет.


dramango
Сообщения: 7
Зарегистрирован: 03 июл 2019, 17:20

я лишь к тому что для гугла поток запросов может казаться автоматизированным.
Было так же на tunnelbroker, по умолчанию выдали подсеть с /64 префиксом, с ним постоянно вводил капчу. На том же туннеле выбрал подсеть с /48 префиксом, из него назначил на bridge 3 рандомных /64 подсети, капчи нет. куда использовать оставшиеся 65533 /64 подсети пока не придумал :)


RusCosmic
Сообщения: 71
Зарегистрирован: 03 авг 2024, 15:21

dramango писал(а): 09 сен 2024, 16:09 я лишь к тому что для гугла поток запросов может казаться автоматизированным.
Было так же на tunnelbroker, по умолчанию выдали /64 префикс, с ним постоянно вводил капчу. На том же туннеле выбрал /48 префикс, из него назначил на bridge 3 рандомных /64 префикса, капчи нет. куда использовать оставшиеся 65533 /64 префикса пока не придумал :)
Остальные можете раздать нуждающимся, тут у многих нет IPV4 белый, а IPV6 хочется :hi_hi_hi:


RusCosmic
Сообщения: 71
Зарегистрирован: 03 авг 2024, 15:21

Кстати, для инормации.
У меня (как и у многих) провайдер блочит WireGuard "за бугор".
Как решил обход я:

1) Подключил тунельного брокера (6to4 и Hurricane Electric как резерв). Настроил IPv6
2) Зарегестрировал себе CloudFlare Warp.
3) Настроил WireGuard VPN до WARP, но через IPV6.

Итог:
Сайты IPV6 - работают без ограничений.
Те сайты IPv4 что требуют обход блокировки - пускаю через WireGuard VPN (через тунельного брокера, пока ТСПУ Роскомнадзора не блочит WG).

Как по мне, всё это вопрос времени, научат они "черный ящик" ловить и такие соединения.


Aiser
Сообщения: 1
Зарегистрирован: 09 сен 2024, 10:03

paladingag писал(а): 07 сен 2024, 19:35 chr1 и chr2 это два независимых l2tp+ipsec интерфейса наружу
 

Код: Выделить всё

/ip firewall raw
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=googlevideo.com dst-address-list=!own_adresses
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=youtube.com dst-address-list=!own_adresses
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=youtu.be dst-address-list=!own_adresses

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=Youtube new-routing-mark=youtube \
    passthrough=no

/ip route
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=chr1 routing-table=youtube scope=30 \
    suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=chr2 routing-table=youtube scope=30 \
    suppress-hw-offload=no target-scope=10
Если я не ошибаюсь, то согласно мануалу Mikrotik вариант с content=: не работает с HTTPS-трафиком, поскольку содержимое зашифровано. Сайты (YouTube и т.д.) используют HTTPS, поэтому такие правила будут бесполезны для этих доменов.
Применяется только к трафику, где содержимое не зашифровано (HTTP).
Нужно использовать вариант с tls-host:

 Пример для HTTPS

Код: Выделить всё

/ip firewall raw
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting protocol=tcp tls-host=*.googlevideo.com comment="googlevideo.com"
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting protocol=tcp tls-host=*.youtube.* comment="youtube.com"
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting protocol=tcp tls-host=youtu.be comment="youtu.be"
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting protocol=tcp tls-host=*.ytimg.com comment="ytimg.com"

tls-host=: как раз работает с зашифрованными HTTPS, проверяя поля сертификата TLS, которые передаются незашифрованными. Это позволяет распознать домен, к которому идет трафик, даже если он защищен HTTPS.

Работает с версии RouterOS 6.42. Также обязательно: *.googlevideo.com, *.ytimg.com, *.youtube.*, чтобы правильно определялись IP на весь HTTPS-трафик поддоменов.

 tls-host
tls-host (строка; По умолчанию: ) — Позволяет фильтровать HTTPS-трафик на основе имени хоста, указанного в TLS SNI (Server Name Indication). Поддерживает синтаксис GLOB для использования подстановочных символов (например, *.example.com). Важно учитывать, что фильтрация может не сработать, если TLS-рукопожатие (установка защищенного соединения) будет разделено на несколько TCP-пакетов, поскольку имя хоста может не быть видно в каждом из них.
Последний раз редактировалось Aiser 10 сен 2024, 09:08, всего редактировалось 2 раза.


eclegolas
Сообщения: 7
Зарегистрирован: 06 авг 2024, 12:37

pipitos писал(а): 07 сен 2024, 21:08
paladingag писал(а): 07 сен 2024, 19:35
pipitos писал(а): 07 сен 2024, 19:26 Можно ли как то поподробнее и желательно с экспортом ip/firewall всего .
chr1 и chr2 это два независимых l2tp+ipsec интерфейса наружу
 

Код: Выделить всё

/ip firewall raw
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=googlevideo.com dst-address-list=!own_adresses
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=youtube.com dst-address-list=!own_adresses
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=youtu.be dst-address-list=!own_adresses

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=Youtube new-routing-mark=youtube \
    passthrough=no

/ip route
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=chr1 routing-table=youtube scope=30 \
    suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=chr2 routing-table=youtube scope=30 \
    suppress-hw-offload=no target-scope=10
Спасибо. Тут бы еще добавить адрес ytimg.com так как привьюшки видео без него не грузятся. А так да работает. Ну и fasttrack выключить/
upd. и да кстати белый айпишник и адрес интерфейса тунеля добавляются в адрес листы их нужно исключить
Подскажите неопытному, "белый айпишник" тот что от интернет провайдера? И "адрес интерфейса тунеля" тот что от РКН провайдера? Вы о них говорите, или я ошибся?


gmx
Модератор
Сообщения: 3360
Зарегистрирован: 01 окт 2012, 14:48



gmx
Модератор
Сообщения: 3360
Зарегистрирован: 01 окт 2012, 14:48

eclegolas писал(а): 09 сен 2024, 21:45 И "адрес интерфейса тунеля" тот что от РКН провайдера? Вы о них говорите, или я ошибся?
Это вообще что-то новое! Не испытанное! :) :-)


Ответить