Я тут арендовал за 140 рублев VPS в эльфграде, поднял там VPN-сервер и подключился сразу целым роутером. При этом отваливаются российские пиратские хостинги, банки и т.п. Логично пускать через VPN только определенный трафик, и тут начинается поебень с маршрутами. Настраивать VRF мне не с руки, я тупой серверный пингвиноеб, не разумеющий высоких материй.
Я пробовал маркировать маршруты в mangle и для отдельных адресов это работало. К сожалению (или к счастью) у ютуба огромная сложная сеть узлов и такой схематоз не прокатывает. Я пытался использовать поля TLS-Host и Content для маркировки, но из этого ниче не вышло (полный список всех узлов мне неизвестен). Регулярки в L7 Layer я концептуально не вкурил, кажется, это больше подойдет для маршрутизации отдельных протоколов. Если добавить в Address List доменное имя сайта с указанием timeout=1d, то он автоматически наполняется адресами, которые бесполезны благодаря балансировке round-robin на стороне сервиса.
Давайте расскажу о своем топорном решении, а вы мне скажете, как сделать правильно/хорошо/кошерно.
Есть сервис по генерации address-list, который генерирует rsc-список по странам. Сгенерил и импортировал лист адресов РФ. Так можно не беспокоиться о будущих изменениях в сети гугла, не писать отдельные листы для инсты и прочей хуеверти, которую решат заблочить. На роутере два динамически получаемых маршрута с distance=1: 0.0.0.0 pppoe_gw 1 0.0.0.0 ovpn1_gw 1
Скорректировал правила NAT: для RU-Address-List out-interface=pppoe_gw action=MASQUERADE для !RU-Address-List out-interface=ovpn1_gw action=MASQUERADE
Маркировку в mangle пока выключил. На микроте трассировка идет верно, на компе - часок поработало, потом забесоебило и поехало по неверным маршрутам. Чел здесь вычленял вчера айпишники ютуба и вроде даже на какое-то время победил, он пишет, что ловил российские ip, когда снифил канал. Т.е, схема с листами по регионам может не работать, т.к. часть узлов гугла осталась в РФ.
Идеально было бы как то маркировать пакеты, идущие на youtube.com, *.ggpht.com, *.googlevideo.com, etc (нужен полный перечень), и пускать маркированные пакеты через ovpn_gw1 с distance!=1, что бы не было конфликтов двух равновестных default routes.
Я не имею четкого представления, как работать с доменными именами в микроте. Вас сетевиков я по аватаркам знаю, так что:
Ага! Попался! Парни держи того кто нам Ютуб хочет заблочить! И говорит что пиратские хостинги сами отваливаются, негодяй!
Это сообщение отредактировал brand233 - 25 июл 2024 в 13:38
Список диапазонов адресов РФ - тыц. Еще, в разных форматах - тыц. Что дальше делать, вроде и так понятно. Или я не до конца понял, чего ты добиться хочешь?
Это сообщение отредактировал flaitsman - 25 июл 2024 в 13:46
подпишусь на тему, сам пытался чтото такое реализовать но на более тупом уровне. По сабжу нужно смотреть в таймаут домена не ответил смена сетевого интерфейса, но я думаю это будет подбешивать
С маркировкой маршрутов правильный вариант. Микрот в домены умеет, в чем трабл? Хотя попробовал сейчас, не дает. Надо подумать.
Это сообщение отредактировал array - 25 июл 2024 в 13:50
Я на этих выходных заморочился и поднял на своём VPS 3proxy, прямо из браузера через SwitchyOmega ютуб через Ригу пускаю.
Это прокси, реализация на L7. Все хорошо, только телек kodi и планшеты всякие так не настроить. Ну и трафик читаем, ssl безопасно проксить дело не самое простое. Хочется именно что туннелем, т.к. РКН принимал заявки на вайтлист для предприятий, мы туда хуеву гору узлов, протоколов и портов перечислили. Они написали что заявку исполнили, т.е. в случае замедления протоколов vpn по всей руси, можно подключить эльфийскую VPS туннелем к серверу из вайт-листа РКН и ебать их в эту дырку методами банальной маршрутизации.
Список диапазонов адресов РФ - тыц. Еще, в разных форматах - тыц. Что дальше делать, вроде и так понятно. Или я не до конца понял, чего ты добиться хочешь?
Списки могут быть бесполезны, т.к. часть серверов гугла все еще в РФ. Если настраивать НАТ через Dst Address List, игнорируя маркировку роутов и доработку маршрутов, то ощущается, будто неправильно это всё.
7.12 - это у вас бытовуха какая-то? типа 951? не уверен что он вывезет все эти списки.
3*** и 4*** серии все еще на 6.49, а они даже IKEv2 полностью не поддерживают, андроид с 13 версии уже не поддерживает другие протоколы микрот всем хорош, но отстают в плане выпуска версии
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
![[Mikrotik]-консилиум по вопросу Ютуба.](http://s00.yaplakal.com/pics/pics_original/4/8/5/19267584.jpg)
![[Mikrotik]-консилиум по вопросу Ютуба.](http://s00.yaplakal.com/pics/pics_original/5/9/5/19267595.jpg)
![[Mikrotik]-консилиум по вопросу Ютуба.](http://s00.yaplakal.com/pics/pics_original/5/1/6/19267615.jpg)
![[Mikrotik]-консилиум по вопросу Ютуба.](http://s00.yaplakal.com/pics/pics_original/5/4/6/19267645.jpg)
yaplakal.com