Как завернуть весь трафик Youtube в VPN

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Erik_U
Сообщения: 1902
Зарегистрирован: 09 июл 2014, 12:33

Если в списки ДНС серверов добавлен сервер с адресом IP6, и обращение пошло таки к нему, то он возвращает адрес только АААА. Это сразу всю вашу "логику" убивает.
Например, ДНС яндекса - 2a02:6b8::feed:ff на ютуб.ком выдает только
2a00:1450:400f:801::200e
Скриншот: https://cloud.mail.ru/public/Zhs4/hupFmNz3S
Поэтому "остальные" получат от сервера свои адреса АААА, вы их правилом отрубите, и доступа никуда ни по какому А не случится.


RusCosmic
Сообщения: 71
Зарегистрирован: 03 авг 2024, 15:21

Erik_U писал(а): 11 сен 2024, 13:55 Если в списки ДНС серверов добавлен сервер с адресом IP6, и обращение пошло таки к нему, то он возвращает адрес только АААА. Это сразу всю вашу "логику" убивает.
Например, ДНС яндекса - 2a02:6b8::feed:ff на ютуб.ком выдает только
2a00:1450:400f:801::200e
Скриншот: https://cloud.mail.ru/public/Zhs4/hupFmNz3S
Поэтому "остальные" получат от сервера свои адреса АААА, вы их правилом отрубите, и доступа никуда ни по какому А не случится.
Вы в этом прям точно уверены, что Ipv6 DNS возвращает только AAAA записи? ;;-)))

Изображение

Ладно. Не вижу смысла дальше кому-то что-то доказывать. Считаете что так работать не будет, Ваше дело. Я же пользуюсь без проблем.


Erik_U
Сообщения: 1902
Зарегистрирован: 09 июл 2014, 12:33

Я скриншот приложил с ответом от днс.
И это не единичный случай.
Поэтому уверен, что работать будет точно не так, как вы расчитываете.

А вы получили от днс сервера только А запись, и довольны этим?


paladingag
Сообщения: 6
Зарегистрирован: 05 сен 2024, 23:49

eclegolas писал(а): 09 сен 2024, 21:45 Подскажите неопытному, "белый айпишник" тот что от интернет провайдера? И "адрес интерфейса тунеля" тот что от РКН провайдера? Вы о них говорите, или я ошибся?
верно и верно:)
формулировка огонь:)


paladingag
Сообщения: 6
Зарегистрирован: 05 сен 2024, 23:49

Aiser писал(а): 09 сен 2024, 16:50 Сайты (YouTube и т.д.) используют HTTPS, поэтому такие правила будут бесполезны для этих доменов.
Спасибо, попробую.
Но сейчас-то оно работает как-то.. Могу предположить, что сначала отрабатывается запрос днс, адрес после ответа попадает в список, а дальше устанавливается соединение и весь поток пакетов направляется согласно правилу по другой таблице маршрутизации, где нормально отрабатываются и хттп, и хттпс. Но это так, просто предположение, скорее всего неправильное, и работает не потому что, а вопреки:)


dramango
Сообщения: 7
Зарегистрирован: 03 июл 2019, 17:20

До перехода на ipv6, адрес лист ютуба наполнял правилами:
ip dns static
add address-list=youtube match-subdomain=yes name=googlevideo.com type=FWD

ну и так с нужными доменами. и всё прекрасно работало. Естественно, микротик должен быть dns резолвером для устройства с которого смотрим.


pipitos
Сообщения: 21
Зарегистрирован: 08 авг 2024, 22:31

Aiser писал(а): 09 сен 2024, 16:50
paladingag писал(а): 07 сен 2024, 19:35 chr1 и chr2 это два независимых l2tp+ipsec интерфейса наружу
 

Код: Выделить всё

/ip firewall raw
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=googlevideo.com dst-address-list=!own_adresses
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=youtube.com dst-address-list=!own_adresses
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=youtu.be dst-address-list=!own_adresses

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=Youtube new-routing-mark=youtube \
    passthrough=no

/ip route
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=chr1 routing-table=youtube scope=30 \
    suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=chr2 routing-table=youtube scope=30 \
    suppress-hw-offload=no target-scope=10
Если я не ошибаюсь, то согласно мануалу Mikrotik вариант с content=: не работает с HTTPS-трафиком, поскольку содержимое зашифровано. Сайты (YouTube и т.д.) используют HTTPS, поэтому такие правила будут бесполезны для этих доменов.
Применяется только к трафику, где содержимое не зашифровано (HTTP).
Нужно использовать вариант с tls-host:

 Пример для HTTPS

Код: Выделить всё

/ip firewall raw
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting protocol=tcp tls-host=*.googlevideo.com comment="googlevideo.com"
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting protocol=tcp tls-host=*.youtube.* comment="youtube.com"
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting protocol=tcp tls-host=youtu.be comment="youtu.be"
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting protocol=tcp tls-host=*.ytimg.com comment="ytimg.com"

tls-host=: как раз работает с зашифрованными HTTPS, проверяя поля сертификата TLS, которые передаются незашифрованными. Это позволяет распознать домен, к которому идет трафик, даже если он защищен HTTPS.

Работает с версии RouterOS 6.42. Также обязательно: *.googlevideo.com, *.ytimg.com, *.youtube.*, чтобы правильно определялись IP на весь HTTPS-трафик поддоменов.

 tls-host
tls-host (строка; По умолчанию: ) — Позволяет фильтровать HTTPS-трафик на основе имени хоста, указанного в TLS SNI (Server Name Indication). Поддерживает синтаксис GLOB для использования подстановочных символов (например, *.example.com). Важно учитывать, что фильтрация может не сработать, если TLS-рукопожатие (установка защищенного соединения) будет разделено на несколько TCP-пакетов, поскольку имя хоста может не быть видно в каждом из них.
Оказывается что работает. Там же в https трафике все равно не зашифрованный запрос передается с имененм сайта. Название сайта (домен) передается на этапе установления TLS-соединения в поле Server Name Indication (SNI). А contect это такое поле которое ищет везде в пакете это слово и в SNI видит его.


pipitos
Сообщения: 21
Зарегистрирован: 08 авг 2024, 22:31

paladingag писал(а): 07 сен 2024, 19:35
pipitos писал(а): 07 сен 2024, 19:26 Можно ли как то поподробнее и желательно с экспортом ip/firewall всего .
chr1 и chr2 это два независимых l2tp+ipsec интерфейса наружу
 

Код: Выделить всё

/ip firewall raw
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=googlevideo.com dst-address-list=!own_adresses
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=youtube.com dst-address-list=!own_adresses
add action=add-dst-to-address-list address-list=Youtube address-list-timeout=2h chain=prerouting \
    content=youtu.be dst-address-list=!own_adresses

/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=Youtube new-routing-mark=youtube \
    passthrough=no

/ip route
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=chr1 routing-table=youtube scope=30 \
    suppress-hw-offload=no target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=chr2 routing-table=youtube scope=30 \
    suppress-hw-offload=no target-scope=10
Недавно начал телек подписать с открытием ютуба. Помогает заново выключить включить телек. Может таймаут на правиле которое добавляет в лист, поставить поменьше? Сейчас 2 часа.


Immovable
Сообщения: 1
Зарегистрирован: 01 авг 2024, 17:27

Ни у кого проблем с mtu на wireguard за посление 24 часа небыло?
Начал резать чёт, с 1420 до 1376 опустился...
(⁠。⁠ノ⁠ω⁠\⁠。⁠)
Последний раз редактировалось Immovable 14 сен 2024, 15:17, всего редактировалось 2 раза.


oldcomp
Сообщения: 2
Зарегистрирован: 13 сен 2024, 09:15

Сегодня начал тупить YouTube добавил к списку вот эти адреса Возможно кому то помогут Оригинал взял в этом форуме посему зарегался и дописал. Адреса все делал по маске 24 сразу. Если попадали две /24 делал маску /16 постарался добавить к ним комментарий как New. Возможно где то забыл делал с телефона.
Адреса брал запустил на телевизоре самсунг YouTube и смотрел куда он ходит и где тупит.

Если вы все сделали но YouTube тормозит и тупит то в микротик необходимо отключить

Код: Выделить всё

Ip->settings->Allow Fast Path 


отключить

иначе получается так:
сначала Ваш тв устанавливает соединение через микротик который для установления соединения шлет его в впн .
Далее соединение установлено и включается функции Allow Fast Path пакеты не проверяются и идут мимо firewall
Поэтому они не маркируются и не идут через VPN посему и скорость минимальная ибо он устанавливает постоянно соединение.
Функция хорошея для обычной работы микротик. Но когда несколько шлюзов отключаем.

Так же заметил часть провайдеров лучше работает когда делаешь MTU vpn немного меньше.

Код: Выделить всё

/ip firewall address-list

add address=8.8.4.0/24 list=YouTube
add address=8.8.8.0/24 list=YouTube
add address=8.34.208.0/20 list=YouTube
add address=8.35.192.0/20 list=YouTube
add address=23.236.48.0/20 list=YouTube
add address=23.251.128.0/19 list=YouTube
add address=34.0.0.0/15 list=YouTube
add address=34.2.0.0/16 list=YouTube
add address=34.3.0.0/23 list=YouTube
add address=34.3.3.0/24 list=YouTube
add address=34.3.4.0/24 list=YouTube
add address=34.3.8.0/21 list=YouTube
add address=34.3.16.0/20 list=YouTube
add address=34.3.32.0/19 list=YouTube
add address=34.3.64.0/18 list=YouTube
add address=34.4.0.0/14 list=YouTube
add address=34.8.0.0/13 list=YouTube
add address=34.16.0.0/12 list=YouTube
add address=34.32.0.0/11 list=YouTube
add address=34.64.0.0/10 list=YouTube
add address=34.128.0.0/10 list=YouTube
add address=35.184.0.0/13 list=YouTube
add address=35.192.0.0/14 list=YouTube
add address=35.196.0.0/15 list=YouTube
add address=35.198.0.0/16 list=YouTube
add address=35.199.0.0/17 list=YouTube
add address=35.199.128.0/18 list=YouTube
add address=35.200.0.0/13 list=YouTube
add address=35.208.0.0/12 list=YouTube
add address=35.224.0.0/12 list=YouTube
add address=35.240.0.0/13 list=YouTube
add address=57.140.192.0/18 list=YouTube
add address=64.15.112.0/20 list=YouTube
add address=64.233.160.0/19 list=YouTube
add address=66.22.228.0/23 list=YouTube
add address=66.102.0.0/20 list=YouTube
add address=66.249.64.0/19 list=YouTube
add address=70.32.128.0/19 list=YouTube
add address=72.14.192.0/18 list=YouTube
add address=74.125.0.0/16 list=YouTube
add address=104.154.0.0/15 list=YouTube
add address=104.196.0.0/14 list=YouTube
add address=104.237.160.0/19 list=YouTube
add address=107.167.160.0/19 list=YouTube
add address=107.178.192.0/18 list=YouTube
add address=108.59.80.0/20 list=YouTube
add address=108.170.192.0/18 list=YouTube
add address=108.177.0.0/17 list=YouTube
add address=130.211.0.0/16 list=YouTube
add address=136.22.160.0/20 list=YouTube
add address=136.22.176.0/21 list=YouTube
add address=136.22.184.0/23 list=YouTube
add address=136.22.186.0/24 list=YouTube
add address=142.250.0.0/15 list=YouTube
add address=146.148.0.0/17 list=YouTube
add address=152.65.208.0/22 list=YouTube
add address=152.65.214.0/23 list=YouTube
add address=152.65.218.0/23 list=YouTube
add address=152.65.222.0/23 list=YouTube
add address=152.65.224.0/19 list=YouTube
add address=162.120.128.0/17 list=YouTube
add address=162.216.148.0/22 list=YouTube
add address=162.222.176.0/21 list=YouTube
add address=172.110.32.0/21 list=YouTube
add address=172.217.0.0/16 list=YouTube
add address=172.253.0.0/16 list=YouTube
add address=173.194.0.0/16 list=YouTube
add address=173.255.112.0/20 list=YouTube
add address=192.158.28.0/22 list=YouTube
add address=192.178.0.0/15 list=YouTube
add address=193.186.4.0/24 list=YouTube
add address=199.36.154.0/23 list=YouTube
add address=199.36.156.0/24 list=YouTube
add address=199.192.112.0/22 list=YouTube
add address=199.223.232.0/21 list=YouTube
add address=207.223.160.0/20 list=YouTube
add address=208.65.152.0/22 list=YouTube
add address=208.68.108.0/22 list=YouTube
add address=208.81.188.0/22 list=YouTube
add address=208.117.224.0/19 list=YouTube
add address=209.85.128.0/17 list=YouTube
add address=216.58.192.0/19 list=YouTube
add address=216.73.80.0/20 list=YouTube
add address=216.239.32.0/19 list=YouTube
add address=Youtube.com comment=Youtube.com list=YouTube
add address=46.188.51.0/24 comment=New list=YouTube
add address=5.255.255.0/24 comment=New list=YouTube
add address=17.57.146.0/24 comment=New list=YouTube
add address=77.88.55.0/24 list=YouTube
add address=213.180.204.0/24 comment=New list=YouTube
add address=89.248.230.0/24 list=YouTube
add address=239.255.255.0/24 comment=New list=YouTube
add address=93.158.134.0/24 comment=New list=YouTube
add address=213.180.193.0/24 list=YouTube
add address=87.250.251.0/24 comment=New list=YouTube
add address=54.195.210.0/24 comment=New list=YouTube
add address=80.253.0.0/16 comment=New list=YouTube
add address=34.245.242.0/24 comment=New list=YouTube
add address=87.245.216.0/24 comment=new list=YouTube


Ответить