При добавлении BGP списка у вас стало "тормозить" не из-за того, что роутеру тяжело ворочать этот список в штатном режиме, а потому что вы в веб-админке решили посмотреть на этот список. Это веб-морда стала тупить при загрузке списка маршрутов и дополнительно грузить сам роутер запросами этого списка, которые веб-морда обрабатывает довольно медленно. Если это делать через Winbox, то список загрузиться в интерфейс достаточно быстро и не придётся через консоль смотреть нагрузку на роутер.
Только есть ньюанс один. Мангл не работает корректно через fastrack. Нужно его отключать или исключение делать для манглового трафика. Вообще хорошее видео дня тех кто интересуется это темой
Могу подкинуть идею, но нужен микротик на ARM. Там в контейнерах докера есть Adguard Home, который спокойно используя 40-50мб озу способен фильтровать запросы по спискам примерно в 150К записей, это учитывая что в контейнере сидит еще и dnsmaskq, сервер uhttpd отдающий морду управления. А удается это контейнеру потому, что вроде как эти списки блокировок он хранит в БД типа SQL и поэтому не захлебывается по памяти и обработке запросов. Так вот если сделать что-то подобное с БД внутри контейнера, то можно загрузить будет очень большой список, на порядок больше чем вывозит обычный адрес лист.
Проще когда список инвертированный. Ходим в интернет через VPN, а вот уже российские подсети через своего провайдера. Высоко нагруженные сайты, такие как youtube делаем через своего провайдера. Я присоединил подсети google к российским адресам и сделал список для перемаркировки, есть там особенность у Google.
Никогда не использовал микротики, с какой модели можно рекомендовать начальное знакомство с микротиками? Что бы оптимально- цена/тестируемые возможности? Ну и железо что бы не позавчерашний день было.
Я реализовал то, о чем вы говорите в конце статьи - я скриптом в микроте раз в 2 секунды смотрю ДНС кеш и адреса по маске добавляю в таблицу маршрутизации. таким образом я добавляю только домены для работы ютюб. остальные заблокированные домены я добавляю через BGP. роутер у меня микрот AC2 - работает все очень неплохо. Чуть не забыл - как только распухает кеш ДНС все умирает. поэтому я раз в час грохаю этот кеш, так же скриптом.
Спасибо за полезное видео. Подскажите, пожалуйста, для использования сервисов antifilter через BGP, нужно использовать статический IP-адрес на своем Микротике?
не понимаю зачем обходить все и сразу. Добил пару десятков доменов + статикой в адрес листах прописал AS фесбука (захватив заодно инстаграм). я не знаю зачем вам все 3000000000000 ресурсов. вы сами пользуйстесь прям всеми? BGP не надо на домашний роутер, это уже перебор, вы звездой смерти пытайтесь резать бумагу.
Я не обхожу всё и сразу. У меня OpenWrt и настроенные на ней dnsmasq+nsftables sets. Списки доменов обновляются скриптом из репы github.com/itdoginfo/allow-domains Микротик так не умеет и такие вещи только начинает внедрять. Поэтому расписаны все доступные сейчас варианты на ROS.
Старик сделай видео или статью. Я бы тоже с радостью сделал список из 2 доменов и всё. Но мне везде суют эти сервисы с милионом доменов. Пока поулчилось тока весь трафик через тунель. И работает нормально. Но хотелось бы фильтрацию както придумать. Через мангл и адреслист неполучается. Мне сказали изза того что домены могут быть не все и их ip постоянно меняется
Привет! Классная статья и видео. Сделал обход через Static и FWD в DNS. Работает. Но, столкнулся с тем, что в браузерах по умолчанию стали включать DNS over HTTPS, что ломает такую схему. Ещё всякие мобильные приложения могут не использовать обычный DNS. Какой вариант в таком случае более предпочтительный? Может, написать скрипт, который просто будет разрешать домены из списка Static каждую минуту чтобы они не удалялись из кеша DNS, но чтобы wildcard не пострадал при этом? Ещё заметил, что сайты из DNS-кеша могут удаляться раньше, чем по TTL. Из-за чего это может быть? Flush dns очищает весь кеш по идее, а сайты пропадают выборочно. Например, youtube пропадает, а часть субдоменов google остаётся. Можно изменять TTL в кеше DNS?
@@itdoginfo какой роутер можете посоветовать для квартиры? присматривал микротик RB4011iGS+RM и точку доступа убифай. А также рассматриваю MikroTik hAP ax³ . но в нем как то маловато портов, а портов вроде как много не бывает)
Может кто подскажет как обойти блокировку сайта Dell (блокирует сама компания а не РКН). При загрузке страницы идут обращается к куче адресов из разных диапазонов. Адреса динамические и меняются с некоторой периодичностью. Пробовал добавить сайт в DNS static - работает 10 секунд (TTL DNS записей у них 10 секунд), после чего таблица адресов очищается и перенаправление перестает работать пока DNS кэш компьютера не очистится и компьютер не сделает новый DNS запрос. После этого снова работает ровно 10 секунд.
а как добавить все адреса ютуба в адресс лист? я так понимаю тут одним доменом не отделаться, т.к. он резолвит один адрес, а у ютуба их значительно больше как я понимаю
Привет! Сам отказался от mikrotik ввиду того, что его железо не вытягивает весь функционал. Сначала не понимал, почему у меня нет 1Гбит от провайдера, хотя напрямую через медиаконвертер гигабит был. Пробовал менять настройки, потратил кучу сил и нервов, в итоге плюнул и установил Pfsense, теперь проблем не знаю. Стоит SFX системник, не отсвечивает, гоняет трафик через кучку тоннелей, плюс к этому что захотел в него - то и поставил. Захотел прямо в него Adguard home - пожалуйста, хоть умный дом или еще чего. Понимаю, конечно, что роутер должен быть в первую очередь роутером, но меня очень прикалывает, что одна коробка решает весь спектр задач: фильтрация трафика, туннели, обрезка рекламы на входе и т.п. При всем этом внутри торчит копеечный i5 с AES и 8 гигов памяти, что по характеристикам уделывает вообще любой микротик, а стоит при этом примерно так же.
При добавлении BGP списка у вас стало "тормозить" не из-за того, что роутеру тяжело ворочать этот список в штатном режиме, а потому что вы в веб-админке решили посмотреть на этот список. Это веб-морда стала тупить при загрузке списка маршрутов и дополнительно грузить сам роутер запросами этого списка, которые веб-морда обрабатывает довольно медленно. Если это делать через Winbox, то список загрузиться в интерфейс достаточно быстро и не придётся через консоль смотреть нагрузку на роутер.
Верно, но мой роутер уходит вообще в ребут =DDD
Только есть ньюанс один. Мангл не работает корректно через fastrack. Нужно его отключать или исключение делать для манглового трафика. Вообще хорошее видео дня тех кто интересуется это темой
Могу подкинуть идею, но нужен микротик на ARM. Там в контейнерах докера есть Adguard Home, который спокойно используя 40-50мб озу способен фильтровать запросы по спискам примерно в 150К записей, это учитывая что в контейнере сидит еще и dnsmaskq, сервер uhttpd отдающий морду управления. А удается это контейнеру потому, что вроде как эти списки блокировок он хранит в БД типа SQL и поэтому не захлебывается по памяти и обработке запросов.
Так вот если сделать что-то подобное с БД внутри контейнера, то можно загрузить будет очень большой список, на порядок больше чем вывозит обычный адрес лист.
Проще когда список инвертированный. Ходим в интернет через VPN, а вот уже российские подсети через своего провайдера. Высоко нагруженные сайты, такие как youtube делаем через своего провайдера. Я присоединил подсети google к российским адресам и сделал список для перемаркировки, есть там особенность у Google.
Заворачиваешь в докер openconnect и заворачиваешь в него трафик маркируя роуты по адрес листам, сделал так, работает отлинчо.
Никогда не использовал микротики, с какой модели можно рекомендовать начальное знакомство с микротиками? Что бы оптимально- цена/тестируемые возможности?
Ну и железо что бы не позавчерашний день было.
Я реализовал то, о чем вы говорите в конце статьи - я скриптом в микроте раз в 2 секунды смотрю ДНС кеш и адреса по маске добавляю в таблицу маршрутизации. таким образом я добавляю только домены для работы ютюб. остальные заблокированные домены я добавляю через BGP. роутер у меня микрот AC2 - работает все очень неплохо. Чуть не забыл - как только распухает кеш ДНС все умирает. поэтому я раз в час грохаю этот кеш, так же скриптом.
Спасибо за полезное видео. Подскажите, пожалуйста, для использования сервисов antifilter через BGP, нужно использовать статический IP-адрес на своем Микротике?
мне подсказали что можно в тунель завернуть путь до antifilter а в качестве совего ip указать айпишник впна. Щас будут пробовать
У меня на OpenWrt такая проблема😅, причём на NanoPi, на v2raya, ощущение что начинает перебирать список что тормозит загрузку
не понимаю зачем обходить все и сразу. Добил пару десятков доменов + статикой в адрес листах прописал AS фесбука (захватив заодно инстаграм). я не знаю зачем вам все 3000000000000 ресурсов. вы сами пользуйстесь прям всеми? BGP не надо на домашний роутер, это уже перебор, вы звездой смерти пытайтесь резать бумагу.
Я не обхожу всё и сразу. У меня OpenWrt и настроенные на ней dnsmasq+nsftables sets. Списки доменов обновляются скриптом из репы github.com/itdoginfo/allow-domains
Микротик так не умеет и такие вещи только начинает внедрять. Поэтому расписаны все доступные сейчас варианты на ROS.
Подскажите, а где брались списки AS META ?
У YT прям много поддоменов, да и у прочих cdn, как их парсить? Я сделал скрипт, но через bgp удобнее
@@itdoginfoвы просто не умеете готовить=)
Старик сделай видео или статью. Я бы тоже с радостью сделал список из 2 доменов и всё. Но мне везде суют эти сервисы с милионом доменов. Пока поулчилось тока весь трафик через тунель. И работает нормально. Но хотелось бы фильтрацию както придумать. Через мангл и адреслист неполучается. Мне сказали изза того что домены могут быть не все и их ip постоянно меняется
на адрес лист нужно таймаут ставить. какой смысл их постоянно обновлять? ну максимум час, можно вообще раз в сутки
билн а без покупки статик ip у провайдера это неработает?
Говорили, что можно запарсить домены, которые используют сайт.
Подскажите, как это можно сделать?😮
Микроту для работы DoH нужен сертификат. Недостаточно просто ссылки с dns-query.
Как сделать так что бы это правило действовало только для определенных ip адресов локальной сети? Спасибо
routing-rules-добавить нужный ip и задать lookup only in table vpn, остальным - lookup only in table main
@@okorotky если у вас есть ссылка на материал где это описывается будьте добры пришлите пожалуйста. Спасибо
@@alexdav_g8132 Методом научного тыка)
Последнее время так же пользую американские айпишники.У них привелегии выше статусом.
Привет! Классная статья и видео. Сделал обход через Static и FWD в DNS. Работает. Но, столкнулся с тем, что в браузерах по умолчанию стали включать DNS over HTTPS, что ломает такую схему. Ещё всякие мобильные приложения могут не использовать обычный DNS. Какой вариант в таком случае более предпочтительный? Может, написать скрипт, который просто будет разрешать домены из списка Static каждую минуту чтобы они не удалялись из кеша DNS, но чтобы wildcard не пострадал при этом? Ещё заметил, что сайты из DNS-кеша могут удаляться раньше, чем по TTL. Из-за чего это может быть? Flush dns очищает весь кеш по идее, а сайты пропадают выборочно. Например, youtube пропадает, а часть субдоменов google остаётся. Можно изменять TTL в кеше DNS?
В этих огромных списках много мусора.
При желании, openwrt и на mikrotik можно поставить, правда придется делать доунгрейт то 6-й версии, так как в 7-й микроты поменяли загрузчик...
Только нужно ли?) Дохлый по железу микротик сейчас можно продать за очень хорошие деньги и купить на него роутер с ARM под OpenWrt
@@itdoginfo какой роутер можете посоветовать для квартиры? присматривал микротик RB4011iGS+RM и точку доступа убифай. А также рассматриваю MikroTik hAP ax³ . но в нем как то маловато портов, а портов вроде как много не бывает)
@@arta4649 порты расширяются при помощи управляемого свитча, не нужно покупать для этого дорогущий роутер.
@@arta4649можно взять два ax2 и разнести по разные стороны квартиры (если квартира большая) либо один ax2 + любой коммутатор (если порты закончатся)
Может кто подскажет как обойти блокировку сайта Dell (блокирует сама компания а не РКН). При загрузке страницы идут обращается к куче адресов из разных диапазонов. Адреса динамические и меняются с некоторой периодичностью. Пробовал добавить сайт в DNS static - работает 10 секунд (TTL DNS записей у них 10 секунд), после чего таблица адресов очищается и перенаправление перестает работать пока DNS кэш компьютера не очистится и компьютер не сделает новый DNS запрос. После этого снова работает ровно 10 секунд.
а как добавить все адреса ютуба в адресс лист? я так понимаю тут одним доменом не отделаться, т.к. он резолвит один адрес, а у ютуба их значительно больше как я понимаю
шутку про вторичный рынок с микротиками не понял =D
Привет! Сам отказался от mikrotik ввиду того, что его железо не вытягивает весь функционал. Сначала не понимал, почему у меня нет 1Гбит от провайдера, хотя напрямую через медиаконвертер гигабит был. Пробовал менять настройки, потратил кучу сил и нервов, в итоге плюнул и установил Pfsense, теперь проблем не знаю. Стоит SFX системник, не отсвечивает, гоняет трафик через кучку тоннелей, плюс к этому что захотел в него - то и поставил. Захотел прямо в него Adguard home - пожалуйста, хоть умный дом или еще чего. Понимаю, конечно, что роутер должен быть в первую очередь роутером, но меня очень прикалывает, что одна коробка решает весь спектр задач: фильтрация трафика, туннели, обрезка рекламы на входе и т.п. При всем этом внутри торчит копеечный i5 с AES и 8 гигов памяти, что по характеристикам уделывает вообще любой микротик, а стоит при этом примерно так же.
Собрал себе Mikrotik x86 на готовой базе Qotom Q1012GE, имею всё что вы описали и всем доволен.
@@a.faizrakhmanov а лицензию покупали?
@@Paranoid_mp3 на Авито уровень 4 за 1800.
@@a.faizrakhmanov Здравствуйте. А можно подробнее? вы купили Qotom Q1012GE, накатили роутерос ?
@@arta4649 именно так.
торговая марка MikroTik; читается «микроти'к» с ударением на вторую "и"
Откуда инфа ?
dns doh решение ваших проблем + softether vpn
IPv6 как то увереннее смотрится в этой задаче
пробовал , далеко не все нужные ресурсы имеют ip v6
пришлось вернуться на vpn
Микротик не актуален для обхода блокировок, тк он не умеет ни одного вменяемого неблокируемого туннеля, одно стандартное старьё.
а какие туннели неблокируемые?
@@vitald1981 Набери в гугеле "habr обход блокировок" и увидишь детальный разбор современных решений.
Актуалочка...😞
mikrotik самый популярный ? ты видимо не пробовал keenetic
Если пошерстить канал автора, а не бездумно писать комменты, то можно понять, что пробовал он много чего.
@@BRR0205 если использовать keenetic, а не лазить по тупорылым каналам, то можно понять что ничего другого и не нужно