Вступление
Если у вас:
Имеется маршрутизатор Mikrotik,
Белый IP адрес, любезно предоставленный Вашим провайдером,
Есть желание смотреть Youtube на нормальной скорости,
Присутствую амбициозные планы на модернизацию домашней сети,
то приступим к борьбе за свободу скорости.
Целью статьи является:
рассказать о создании и настройке IPv6 туннеля,
продемонстрировать настройку на сайте IPv6 брокера
показать настройку маршрутизатора (проброс пула в локальную сеть, настройку брандмауэра, DNS)
продемонстрировать работоспособность IPv6 подключения.
Поехали.
Выбираем брокера и заводим аккаунт
Не так давно я провёл время за изучением официального руководства Mikrotik, где наткнулся на создание IPv6 инкапсуляции. Там же был предложен туннельный брокер IPv6 Hurricane Electric.
Скрытый текст
В интернете можно найти и других IPv6 брокеров. Не тестировал, поэтому пока ничего сказать не готов.
Готовый на эксперименты, я перешёл на сайт и попытался зарегистрироваться. Первая проблема. которая меня ждала, что указанный мною почтовый домен не поддерживается (предположительно поле проверяется на такие слова как gmail, yandex, mail)
Перепробовал несколько доменов и пришёл к тому, что проще использовать адрес на домене etlgr.me. Для этого нужен бот в Telegram etlgr_bot, где создаём новый ящик или используем ящик, созданный по умолчанию.
После регистрации и подтверждения электронного адреса переходим на сайт, где нажимаем: Create Regular Tunnel. Указываем Ваш IP адрес, выбираем туннельный сервер по вкусу:
Скрытый текст
Необходимо в Firewall маршрутизатора выше запрещающих правил категории input создать разрешающее правило:
/ip firewall filter
add action=accept chain=input protocol=icmp src-address=66.220.2.74
Затем в окне браузера появятся конфигурации туннеля. Здесь Routed IPv6 Prefixes - это адреса, которые будут прокинуты в локальную сеть.
Для удобства конфигурирования маршрутизатора можно использовать вкладку Example Configurations. Там выбрать Mikrotik. Затем скопировать и вставить код для конфигурирования в терминал маршрутизатора:
Скрытый текст
Переходим на вкладку Advanced и ползунком выставляем рекомендуемое значение для Вашего типа подключения. Если не работает, уменьшить.
Хочу обратить внимание на то, что в стандартной конфигурации для маршрутизатора предлагается MTU 1280, а на сервере настроено 1480.
Рекомендую как на маршрутизаторе для созданного интерфейса sit1, так и на сайте указать одинаковое значение MTU, чтобы не было проблем со скоростью и стабильностью подключения.
Настройки локального интерфейса на маршрутизаторе
В IPv6 адресация выполняется следующим образом: адрес условно бьётся на две части:
первую часть выдаёт провайдер
вторая часть генерируется на конечном устройстве на основе MAC:
Например, в адресе 2000:aaaa:aaaa:aaaa:ffff:ffff:ffff:ffff часть 2000:aaaa:aaaa:aaaa выдана провайдером, вторая часть: ffff:ffff:ffff:ffff определена устройством.
На маршрутизаторе необходимо для локального интерфейса определить ранее выданную нам подсеть. Выбираем IPv6 → Adresses. Вставляем скопированный с сайта IPv6 префикс. Выбираем интерфейс. Установлен чекбокс: Advertise. Применяем настройки.
Скрытый текст
необходимо выбрать подсеть, выделенную именно в блоке Routed IPv6 Prefixes
Необходимо проверить и подправить настройки IPv6 → ND (Neighbor Discovery). Здесь можно либо создать отдельное правило для локального интерфейса, либо использовать по умолчанию, заправив по вкусу.
Сюда добавляем DNS Servers либо Google (2001:4860:4860::8888), либо локального интерфейса (в нашем примере 2001:470:1f08:1e8::2 интерфейса sit1)
В IP → DNS и добавляем один или несколько IPv6 DNS, если мы хотим использовать в качестве DNS сервера наш маршрутизатор.
Скрытый текст
Ниже представлены примеры DNS адресов.
Google DNS 2001:4860:4860::8888, 2001:4860:4860::8844
Hurricane Electric 2001:470:20::2
Можно поискать в интернете публичные IPv6 адреса.
Изюминка на тортике: IPv6 → Settings.
Disable IPv6 отключаем, IPv6 Forwarding включаем, как на изображении. И сохраняем. После чего основная миссия выполнена.
А если я не хочу светить IP адреса своих устройств?
В таком случае в локальную сеть можно выдавать произвольный пул /64 локальных IP адресов из подсети fc00::/7 (адреса fc00:: - fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff)
В Winbox переходим к IPv6 → Adresses. Нажимая плюс, добавляем новую запись, в которой выбираем произвольный пул для локального интерфейса. Например, пул fc00:aaaa:bbbb:cccc::/64 для интерфейса vlan11_guest.
Не забываем о маскараде (подмене локального IP адреса на глобальный). Переходим в IPv6 → Firewall → NAT. Создаём запись как на снимке экрана. В качестве Src. Address указываем: fc00::/7 (вся локальная сеть). Dst. Address: 2000::/3 (весь внешний интернет). Это универсальное правило позволит подменять запросы только с интерфейсов, которым назначены локальные IP адреса.
Скрытый текст
/ipv6 firewall nat
add action=masquerade chain=srcnat dst-address=2000::/3 out-interface-list=WAN src-address=fc00::/7Проверка
Для тестирования можно использовать специализированные сайты. Здесь лишь пример сайтов:
Не забываем о безопасности
Так как все устройства получают внешний IPv6 адрес (можно убедиться, выполнив проверку с каждого устройства по отдельности), их (включая маршрутизатор) следует оградить от внешнего мира:
/ipv6 firewall filter
add action=accept chain=input connection-state=established,related,untracked
add action=drop chain=input connection-state=invalid
add action=drop chain=input in-interface-list=!LAN
add action=accept chain=forward connection-state=established,related,untracked
add action=drop chain=forward connection-state=invalid
add action=accept chain=forward in-interface-list=LAN out-interface-list=WAN
add action=accept chain=forward in-interface-list=!WAN protocol=icmpv6
add action=drop chain=forwardЗдесь подразумевается, что интерфейс sit1 я уже добавил в существующий interface list WAN. А локальный интерфейс находится в список интерфейсов LAN.
Заключение
Был рассмотрен один из вариантов борьбы с ограничением скорости Youtube, а именно процесс создания 6in4 туннеля. Практика показала, что скорость загрузки видео осталась на высоком уровне как с телефона, так и с компьютера.
В будущей статье постараюсь рассказать, как делал проброс IPv6 пула на другой маршрутизатор через Wireguard, через EoIP-туннель, а также проброс и настройку Wireguard клиентов на компьютере, смартфоне, через которые маршрутизируется IPv6 трафик.
Комментарии (77)
keinohrhasen_pitersky
20.08.2024 19:15+7Необычно, когда тестировщик ВКонтакте пишет, как хакнуть правила РКН)
barl0g
20.08.2024 19:15+1А можно как-то настроить, чтобы по ipv6 туннелю шёл трафик только до youtube?
Nazar_Kam Автор
20.08.2024 19:15Как-то не ставил перед собой такой задачи изначально. Гипотетически можно, если DNS будет отдавать IPv6 адреса YouTube и IPv4 адреса остального интернета.
Ещё можно попробовать вместо глобального маршрута 2000::/3 прописать более узкие маршруты в сеть YouTube... В теории, устройство при недоступности сайта по IPv6 может перейти по IPv4. Но я не проверял...
dusoz
20.08.2024 19:15+1Можете сделать статью, как делать проброс IPv6 пула из VPS-хостинг-сервера который предоставил подсеть 64 на домашний Mikrotik по средствам и IPSec и wireguard ?
Vdm_ro
20.08.2024 19:15+15Было: Ютуб без рекламы, но блокируется, остальное все отлично работает
Стало: Весь трафик через сомнительный маршрутизатор с необходимостью согласовывать стык IPv4 и IPv6, падение скорости для неютуб трафика, постоянная разгадка капчи, реклама поскольку прокся закордонная, необходимость специфического гемора с микротиком(а его настройка без опыта - без 100г не разберешься), все это висит на какой то левой почте через телеграмм, без гарантий, что владелец этого телеграма не перенастроит весь ваш трафик через свою проксю(откуда приходило письмо он знает, а значит восстановление пароля на ящик к которому он имеет доступ - минутное дело), может что еще, особо не вчитывался....
В общем как рабочий вариант - спасибо, но не надо, как пример работы с микротиком и освещение граблей при использовании IPv6 прокси - спасибо, учту...
Kilmez
20.08.2024 19:15+1все это висит на какой то левой почте через телеграмм
Есть же сайты для регистраций с временной почтой на 10 минут что бы не светить основной почтовый ящик. Сейчас проверил почту выданную на 10minutemail.net в tunnelbroker.net - пока не блокирует.
Vdm_ro
20.08.2024 19:15+2дело не в блокировке же... смотрите, гипотетическая ситуация:
1 вы берете временную почту для регистрации кабинета, который используется для проксирования всего вашего трафика
2 замечательный, добрый, отзывчивый студент - владелец этого сервиса, не специалист в безопасности, ведет логи приходящих писем и ответов в чате, что бы иметь возможность быстро решить проблемы в случае поломки
3 его таки ломают и злоумышленник получает пары соответствий:
адрес сервиса приславшего письмо о регистрации(и скорее всего еще логин, а то и пароль в открытом виде) - имя ящика, который был использован для регистрации
4 сбрасывает пароль в личном кабинете через отправку на ящик письма для восстановления пароля
5 заворачивает ваш трафик к себе на сервер
6 бинго...
Если сервис держит не добрый студент, а меркантильный злоумышленник - цепочка получается гораздо короче.
Aelliari
20.08.2024 19:15+1заворачивает ваш трафик к себе на сервер
Интересное предположение, можете подробнее описать то, как вы видите его реализацию?
ColdPhoenix
20.08.2024 19:15и мы тут же получим кучу ошибок HTTPS при попытке подмены трафика.
Aelliari
20.08.2024 19:15Стоп, трафик бывает не только https (tls), но чтобы его перенаправить - нужно неким путем «отравить» маршруты или DNS-сервер. Получив доступ к твоему аккаунту у HE это сделать не получится, или я не вижу как.
Vdm_ro
20.08.2024 19:15Да, вы правы, я недостаточно знаком с ЛК HE, предполагал, что там есть полноценные настройки выданной подсети(например с возможностью указать ДНС), если там только "выберете из какого региона ваша подсеть" и больше ничего - максимум проблемы от доступа к ЛК - отрубить прокси.
DaemonGloom
20.08.2024 19:15Единственное, что там можно сделать из зловредного - удалить эти сети из профиля или поменять MTU для тоннеля (приводит к интересным проблемам, когда часть сервисов будет работать, а часть - давать таймаут). Всей выдачей занимается сам HE, управления этим из ЛК нет. DNS - пользователь использует какой хочет.
mltk
20.08.2024 19:15+15Это не то, чтобы схема по ускорению Youtube. Это стандартный способ получения ipv6 через туннельного брокера. Лет 20 назад это уже работало. Такой способ получения ipv6 имеет свои плюсы и минусы. Если у вас ipv6-фобия, то это точно не для вас.
Теперь по пунктам:
Падение сокрости -- ну вы измерьте, тогда будете говорить. У меня весь канал утилизируется. Во-многом это зависит от провайдера. В торрентах и прочих p2p вы получете дополнительные пиры -- ещё больше скорости.
Насчёт сомнительности брокера -- почитайте кто такие Hurricane Electric (спойлер: это мировой магистральный провайдер, они менее сомнительны, чем ваш провайдер)
Микротик тут вообще особо не причём. 6in4 туннель можно сделать и на Keenetic, OpenWRT, DD-WRT, Tomato, Padavan и на многих стандартных прошивках роутеров.
Почту можете брать не из телеграмм-бота, а другую нормальную на домене, который не популярен у спамеров. (Впрочем, лет за 15 у меня ни разу не было, чтоб he.net чего-то хотели от меня по почте -- она использовалась только 1 раз для регистрации аккаунта)
Vdm_ro
20.08.2024 19:15+2у меня нет фобии к IPv6, на мой взгляд он переусложнен для домашних условий, так же как микротик переусложнен в роли домашнего роутера.
Заголовок статьи: "IPv6 или противостояние занижению скорости Youtube" определил сторону, с которой я воспринимаю эту статью, и с этой стороны все эти телодвижения добавляют геморроя и точек отказа и посредственно решают проблему из заголовка.
he.net могут быть суперклассными чуваками, но озвученный подход с регистрацией через чужую, данную вам на 15 мин почту аккаунта, который будет иметь полный доступ к вашему трафику - для меня крайне сомнительный вариант, особенно в том ключе, что эта статья предназначена для неразбирающихся и обещает им решить проблему с Ютубом.
Andrusha
20.08.2024 19:15+2Ну это всё же Хабр, а не Пикабу, и предполагается, что прочитавший всё же немного разбирается в каких-то базовых вещах. У неразбирающегося вряд ли стоит микротик, а если и стоит, то настраивавший родственник или знакомый вряд ли оставил ему пароль пользователя с full-правами.
Кстати, глянул сейчас на форму регистрации - на gmail.com ругается, а на googlemail.com - нет, так что можно обойтись и без одноразовых ящиков.
vikarti
20.08.2024 19:15Вы регистрацию на туннельброкере SiXXs не застали :).
Там еще и (например) геймификация была для обучения и тест простенький чтобы получить что дополнительное вроде /48, rDNS и прочего :)
Aelliari
20.08.2024 19:15Там еще и (например) геймификация была для обучения и тест простенький
Есть и у hurricane electric, дает ничего не значащую плашку
ZlobniyShurik
20.08.2024 19:15+1Не знаю, как сейчас, а раньше, если на HE все тесты прошёл успешно, то периодически высылали халявные фирменные футболки.
У меня такая футболка есть :)
mltk
20.08.2024 19:15+2@Vdm_ro ещё раз по поводу "озвученный подход с регистрацией через чужую, данную вам на 15 мин почту аккаунта, который будет иметь полный доступ к вашему трафику - для меня крайне сомнительный вариант":
-- у вас всё-таки фобия относительно технологии, о принципах работы которой вы не имеете представления\не видели как она работает. Даже если кто-то получит доступ к вашему аккаунту на he.net, то максимум чем он может напакостить -- это сделать ваш ipv6 туннель нерабочим. Потому что IP-адрес сервера жёстко прописан в вашем домашнем роутере. Ничего там в ЛК не сделаешь вредоносного.
-- как заметил @Andrusha - можно взять your_gmail_account@googlemail.com если уж у вас нет корпоративной почты\почты на своём домене и лень искать какие публичные почтовые серверы не блэклисте у he.net
Vdm_ro
20.08.2024 19:15Я исходил из того, что выдавая вам подсеть вам дают и возможность менять ее параметры, ДНС сервер, шлюз, возможность связать несколько своих сетей между собой, тобишь полноценно управлять сетевыми настройками... каюсь, регистрироваться и разбираться во всем функционале ЛК я не стал. Если же там просто переадресация без возможности ее настройки то да, максимум, что сможет сделать получивший доступ к ЛК - отключить вашу маршрутизацию.
Про фобию - так и не понял, чего там бояться? Длинный адрес - гемор, неудобно, но бояться его странно. Не везде и не у всех работает, тут тоже нечего бояться, просто принимаю к сведению.
Безусловно, можно взять просто рабочую почту с надежным почтовым сервером, настроить туннель только для гугл серверов, а остальной трафик заворачивать на IPv4, найти подсеть из России или какими то манипуляциями убедить гугл в том, что показывать рекламу не надо... но это будет уже другая статья.
ЗЫ Докинул вам за дельную правку, постараюсь следующий раз все же внимательнее изучать предмет обсуждения в части технической реализации. Ну и автору, для компенсации возможного минуса на основании моего не совсем корректного коммента.
DaemonGloom
20.08.2024 19:15А давно они стали блокировать gmail? Два года назад - моя регистрация прошла успешно, ничего особого делать не пришлось.
Aelliari
20.08.2024 19:15а другую нормальную на домене
Я даже больше скажу, у меня там почта *@ya.ru, а не какой-нибудь gmail
13werwolf13
20.08.2024 19:15а если выбрать вместо хуррикана (не верю что советую что-то кроме хуррикана) какого нибудь российского брокера (список можно подсмотреть например тут) то не будет проблем со всяким "вумным" хламом типо яндекс станции и телевизоров с кинопоиском и ютубчик всё так же будет шустро работать (а ещё за торренты никто подсеть не отберёт).
алсо
на mikrotik и openwrt настраиваю без проблем уже давно людям (а так же на всяких кинетиках и asus'ах), а вот у себя дома решил перейти на systemd-networkd, он и сеть на роутере настраивает, и впн поднимает и он же ip раздаёт и принимает 6in4. только вот почему-то не могу победить раздачу ipv6 в локалку. уже два дня бьюсь, сам роутер с ipv6 работает, а вот в локалку адреса не адвертайзит, хотя вроде бы как всё по мануалам верно... устроил блин себе развлечение.Vdm_ro
20.08.2024 19:15А выше озвученный, классный, международного класса, "лучше чем мой провайдер"(с) отбирает подсеть по причине: "потому, что ты пользовался торрентами!"?
ZlobniyShurik
20.08.2024 19:15+3Сижу на HE лет 15. Торрентами пользуюсь, но без фанатизма. Пока ничего не отобрали :)
Kilmez
20.08.2024 19:15на mikrotik и openwrt настраиваю без проблем уже давно людям (а так же на всяких кинетиках и asus'ах)
Инструкцию как настраиваете openwrt на всяких asus'ах (конкретно ASUS RT-AX53U) сможете дать? Спасибо.
dj_raphael
20.08.2024 19:15+1Не помогло, точнее помогло, на компах и телефонах ютюб заработал, а на телеке нет.
blind_oracle
20.08.2024 19:15Телек просто не умеет в IPv6
muzzy03
20.08.2024 19:15Лыжи (webos) умеют, но стандартный клиент не работает. Однако через media station x можно запустить другой клиент, который работает. Самсунги на тизене да, похоже не могу в ипв6.
EngineTech
20.08.2024 19:15КиноПоиск и прочие сервисы тындекса с DRM шарахаются ipv6 от he и отказываются работать, намекая на отключение vpn. То есть и в отпуске получишь шиш, а не кинчик. Но тут можно передать привет нетфликсу с подобной схемой.
PeterZha
20.08.2024 19:15+4И не только с DRM, консоль Яндекс Облака тоже через ipv6 от HE открываться не желает, я так понимаю это битва безопасников с реальностью.
haga777
20.08.2024 19:15А если Ростелеком даёт мне ipv6 то это тоже никак не поможет ?
Например, если сделать VPN ipv6 to ipv6 до впс сервера?
mltk
20.08.2024 19:15@haga777насколько мне известно, нативный ipv6 фильтруется на тспу практически у всех провайдеров (РТ, Домру, МТС, Мегафон, SkyNet и т.д.)
VPN ipv6 to ipv6 вы можете. Вы проверьте пинги до своего vps по ipv4 и по своему нативному ipv6. Не исключено, что по нативному ipv6 будет пинг меньше. Зависит от маршрутов провайдеров. (Вообще маршруты провайдеров вещь не всегда очевидная: во время священной войны РКН с Телеграммом даже через шведский 6in4 туннель у меня пинг по ipv6 до амстердамских серверов телеграмма был на 10мс меньше, чем напрямую по ipv4). Для надёжности я бы предложил использовать преимущества дуал-стэка и к VPS обращаться по доменному имени, указав в A-запись ipv4 адрес, а в AAAA-записи его ipv6 адрес.
haga777
20.08.2024 19:15Важное замечание. Было бы побольше постов про ipv6) особенно не хватает тем, у кого нативный, ну и есть микротик
Скажите, как правильно подойти к вопросу? Получаю префикс /56, как мне по ipv4 выдать с микротика другому ван клиенту (кинетик, микротик, опенврт) по впн /64 префикс или меньше?
LF69ssop
20.08.2024 19:15Напоминаю что если адрес предоставленный провайдером белый но не статический то после смены вся эта ipv6 поломается. Придется опять настраивать. И в случае Hurricane Electric будут нюансы не позволяющие это сделать сразу.
m0xf
20.08.2024 19:15+1У HE есть ссылка для обновления ipv4. При выполнении запроса выполняется обновление адреса клиента.
EngineTech
20.08.2024 19:15+1У меня бытовой роутер поддерживает обновление адреса в HE и оно работает.
blind_oracle
20.08.2024 19:15VPN как-то проще и надёжнее выглядит. Но, конечно, если ничего кроме Микротика нет - то сложнее. Хотя у меня у друга Wireguard с Микротика до сих пор работает на ура.
altai2013
20.08.2024 19:15У меня с сегодняшнего дня Wireguard не работает: соединение устанавливается, но трафик не идёт. Похоже, Роскомнадзор научился его блокировать. Блокировка началась одновременно с сегодняшним отключением Telegram и прочего. Потом доступ к мессенджерам включили, а Wireguard так и остался блокированным.
blind_oracle
20.08.2024 19:15Да, он давно умеет, просто почему-то это сильно от провайдера зависит нынче. Через мобильных давно не работает, через проводных (по крайней мере тех, с кем я имею дело) пока вполне летит.
Quqas
20.08.2024 19:15упоминание тытруба тут исключительно для кликбейта
сама тема с ип6 по принципу почему бы и нет... но никак не панацея или метода
для началу до сих пор до 90% лично мне интересных доменов в принципе ип4онли и в 2024...
вся чебурня в любом случае по sni работает и версия ип не роялит
и вдобавок чисто ип6 адреса интересных доменов спалённые через публичные dns тоже давно научились банить
none7
20.08.2024 19:15+2Некоторое время назад был хорошо протестирован 464XLAT и в частности его часть NAT64. Это NAT позволяющий IPv6-only клиентами подкючаться к IPv4-only серверам. Работает так же плохо как и NATPT в IPv4. Но позволяет браузерам легко соединяться с web-сайтами. Так же CLAT, который уже стал частью большинства операционных систем, позволяет IPv4-only приложениям соединятся с IPv4-серверами в IPv6-only сетях посредством NAT64. В мире уже существуют несколько провайдеров, которые предоставляют клиентами только IPv6-адреса. IPv4 у них есть только в ядре сети для реализации NAT64. И то кстати не факт, поскольку этот трафик всегда можно отправить кому-то ещё, кто и реализует NAT64. В частности есть публичный, некоммерческий NAT64 https://nat64.net/, который хоть и не быстро и без каких-либо гарантий может предоставить доступ к IPv4, всем у кого есть IPv6.
Andreich95
20.08.2024 19:15Подскажите пожалуйста, после того как я сделал ipv6toipv4 у меня теперь дома работает инстаграм, фейсбук и все это без впн, что произошло?
igorek_tm
20.08.2024 19:15+1Прошу простить, но непонятно, зачем эта статья написана. В том смысле, что соответствующие микро-скрипты микротика для подъема sti на ХЭ известны если не 15, то 10 лет уже наверняка (кстати на самом ХЭ для вновь зарегистрировавшихся одно время лежал скрипт микротиковский), так что технической новости ту не существует, и те самые статьи на Хабре, 10-ти летней давности автор совершенно точно читал, уже не знаю, из них куски брал. Получается, что мы сказали тому самому депутату, который про 70% замедление ТыТруба в СМИ высказывался, "плохо работаете, товарищи!" - так? Это действительно нужно было сделать?
mltk
20.08.2024 19:15+1Так можно про любую технологию сказать, которая помогает починить сломанный РКНом интернет.
metslip
20.08.2024 19:156in4 блокируют через некоторое время.
Был блок от ipv6.ip4market.ru умер через сутки после подключения.
На прошлой недели подключил от Hurricane Electric прожил около 3 дней, видимо ввиду нагрузки на Роскомнадзор.
PeterZha
Только приготовьтесь капчи разгадывать от гугла по поводу и без; в частности, в инкогнито капча будет всегда, а в обычном как фишка ляжет у Корпорации Добра. Очень любят бесплатные большие блоки v6 от Hurricane Electric разные поисковые оптимизаторы, чтоб им в ресторане вместо меню предлагали сборник статей об истории происхождения блюд и их ингридиентов..
Andrusha
Ага, причём проблема появилась достаточно давно, и вариантов «очистить» свой блок адресов я так и не нашёл. В итоге попробовал поиск от startpage.com, да так на нём и остался - выдача практически та же самая, даже местами лучше.
Вообще, забавно конечно, если вспомнить, как Google в своё время агитировал переходить на IPv6.
PeterZha
Я больше скажу, мне прилетала на мой блок прямая абуза от Корпорации Добра, там все прекрасно - просто целиком блок /48, даже не конкретный адрес, и дата/время. А у меня суриката :) и в ней все хорошо.
Так вот насколько я понял из изучения конкретно этой абузы, Гугл возмутила довольно длинная часовая сессия поиска с мобилки в инкогнито режиме, он мне начал показывать капчу, а я этого не понял, тк капча отрисовывалась где-то справа и просто перезагружал страницу.
На абузу я даже ответил что все ок, петух повержен, но там кмк почту никто не читает вообще, им виднее как лучше и все такое.
slonopotamus
Подключите в hurricane electric /48 префикс. Через какое-то время (в моем случае это заняло где-то неделю) гугл поймёт что вы отдельная сеть и успокоится с капчами. Примерно за это же время он поймёт что вы таки в РФ и вам не надо показывать рекламу на ютубе:)
PeterZha
С /48 уже давно та же петрушка с капчей, у меня в разных местах разные/48 от HE и капчи везде есть, варьирует только интенсивность их появления во времени.
czz
У меня даже не HE, а сеть /48, выданная российским датацентром. И та же фигня, капча всегда.
Гугл явно не любит диапазоны, выданные не домашними провайдерами.
Vegos
Да, действительно проблема. Вот думаю, как на Микротике настроить принудительно домен Google com пускать только по IPv6.
mltk
Проблема с капчей гугла действительно есть, но можно от неё избавиться практически полностью, если заставить клиентов ходить на google.com по ipv4.
Сделать это можно, например, прописав в DNS-сервере Микротика CNAME google.com на ipv4.google.com:
Ещё вам понадобится отключить DoH (DNS-over-HTTPS) в браузерах, чтобы они резолвили google.com не самостоятельно, а пользовались данными от роутера.
Так же может быть полезно заблокировать ipv6 Яндекса, чтобы всякие Кинопоиски и Алисы работали нормально, а не думали, что вы за границей.
PeterZha
И в итоге приходим к нормальному финальному решению весь отечественный трафик слать напрямую, а остальное через VPN, потому что иначе все вышеописанное довольно быстро превращается в труднодиагностируемый бардак, к сожалению..
barl0g
Можете немного более развёрнуто о том как это сделать (на Микротике)? Потому как этот вариант мне тоже представляется самым лучшим в эпоху взаимных блокировок.
mltk
Через BGP. Списки российских сетей удобно получать через сервисы antifilter.download и antifilter.network
Andrusha
У меня вот так. Статический IP, VPN - L2TP IPsec. Значения, указанные капсом, сменить на свои.
Список наполнял вручную (/ip firewall address-list add list=rkn comment="antirkn: manual" address=habr.com). В /ip firewall nat и /ip firewall filter нужно будет отключить стандартное правило, заменив на указанные два.
Если есть советы по оптимизации, то готов выслушать :)
TimsTims
Скрытый текст
https://antifilter.network/bgp