Comments 93
Только приготовьтесь капчи разгадывать от гугла по поводу и без; в частности, в инкогнито капча будет всегда, а в обычном как фишка ляжет у Корпорации Добра. Очень любят бесплатные большие блоки v6 от Hurricane Electric разные поисковые оптимизаторы, чтоб им в ресторане вместо меню предлагали сборник статей об истории происхождения блюд и их ингридиентов..
Ага, причём проблема появилась достаточно давно, и вариантов «очистить» свой блок адресов я так и не нашёл. В итоге попробовал поиск от startpage.com, да так на нём и остался - выдача практически та же самая, даже местами лучше.
Вообще, забавно конечно, если вспомнить, как Google в своё время агитировал переходить на IPv6.
Я больше скажу, мне прилетала на мой блок прямая абуза от Корпорации Добра, там все прекрасно - просто целиком блок /48, даже не конкретный адрес, и дата/время. А у меня суриката :) и в ней все хорошо.
Так вот насколько я понял из изучения конкретно этой абузы, Гугл возмутила довольно длинная часовая сессия поиска с мобилки в инкогнито режиме, он мне начал показывать капчу, а я этого не понял, тк капча отрисовывалась где-то справа и просто перезагружал страницу.
На абузу я даже ответил что все ок, петух повержен, но там кмк почту никто не читает вообще, им виднее как лучше и все такое.
Подключите в hurricane electric /48 префикс. Через какое-то время (в моем случае это заняло где-то неделю) гугл поймёт что вы отдельная сеть и успокоится с капчами. Примерно за это же время он поймёт что вы таки в РФ и вам не надо показывать рекламу на ютубе:)
С /48 уже давно та же петрушка с капчей, у меня в разных местах разные/48 от HE и капчи везде есть, варьирует только интенсивность их появления во времени.
Подскажите плс как перейти на /48 префикс. 64 настроил работает, в лк электриков кнопочку нажал. как включить теперь 48, максимально простым языком, если можно или ссылку
Если у Вас появилась сеть /48, то, полагаю, в настройках IPv6 addresses для локального интерфейса вместо сети /64 прокинуть пул /64 из сети /48.
Например, если провайдер выдал сеть 2001:aaaa:bbbb::/48, то для lan интерфейса заменить адрес на произвольный пул /64 из этого блока. Например, банально 2001:aaaa:bbbb:0001::/64, либо любой другой: 20001:aaaa:bbbb:8a5c::/64. Для гостевой сети можно указать другой адрес /64 из пула /48.
startpage.com тоже занимается паранойей и блокировкой чего попало, даже капчу (как гугл) не предлагает — просто гонит вон, пишите письма в наше спортлото.
Рекомендую перейти на https://duckduckgo.com/
Лучше kagi.com :), капчи еще не было пока
(Если вас не смущает https://help.kagi.com/kagi/why-kagi/why-pay-for-search.html )
Да, действительно проблема. Вот думаю, как на Микротике настроить принудительно домен Google com пускать только по IPv6.
Проблема с капчей гугла действительно есть, но можно от неё избавиться практически полностью, если заставить клиентов ходить на google.com по ipv4.
Сделать это можно, например, прописав в DNS-сервере Микротика CNAME google.com на ipv4.google.com:
/ip dns static
add cname=ipv4.google.com name=google.com type=CNAME
add cname=ipv4.google.com name=www.google.com type=CNAME
add cname=ipv4.google.com match-subdomain=yes name=google.ru type=CNAMEЕщё вам понадобится отключить DoH (DNS-over-HTTPS) в браузерах, чтобы они резолвили google.com не самостоятельно, а пользовались данными от роутера.
Так же может быть полезно заблокировать ipv6 Яндекса, чтобы всякие Кинопоиски и Алисы работали нормально, а не думали, что вы за границей.
/ipv6 firewall filter
add action=reject chain=forward dst-address=2a02:6b8::/29 reject-with=icmp-no-route
И в итоге приходим к нормальному финальному решению весь отечественный трафик слать напрямую, а остальное через VPN, потому что иначе все вышеописанное довольно быстро превращается в труднодиагностируемый бардак, к сожалению..
Можете немного более развёрнуто о том как это сделать (на Микротике)? Потому как этот вариант мне тоже представляется самым лучшим в эпоху взаимных блокировок.
Через BGP. Списки российских сетей удобно получать через сервисы antifilter.download и antifilter.network
У меня вот так. Статический IP, VPN - L2TP IPsec. Значения, указанные капсом, сменить на свои.
Список наполнял вручную (/ip firewall address-list add list=rkn comment="antirkn: manual" address=habr.com). В /ip firewall nat и /ip firewall filter нужно будет отключить стандартное правило, заменив на указанные два.
/interface l2tp-client
add connect-to=VPN_ADDRESS disabled=no ipsec-secret=IPSEC_SHARED_SECRET name=l2tp-rkn password=L2TP_PASSWORD use-ipsec=yes user=L2TP_USER
/ip firewall filter
add action=fasttrack-connection chain=forward comment="antirkn: fasttrack bypass, replaces default rule" connection-state=established,related dst-address-list=!rkn hw-offload=yes in-interface-list=LAN out-interface-list=WAN
add action=fasttrack-connection chain=forward comment="antirkn: fasttrack bypass, replaces default rule" connection-state=established,related dst-address-list=!rkn hw-offload=yes in-interface-list=WAN out-interface-list=LAN
/ip firewall nat
add action=src-nat chain=srcnat comment="antirkn: replaces default masquerade for static WAN_IP" dst-address-list=!rkn ipsec-policy=out,none out-interface=WAN_ETHER to-addresses=WAN_IP
add action=masquerade chain=srcnat comment="antirkn: masquerade for VPN" dst-address-list=rkn ipsec-policy=out,none out-interface=l2tp-rkn
/ip firewall mangle
add action=route chain=prerouting comment="antirkn: route via VPN" connection-state=!invalid dst-address-list=rkn in-interface-list=LAN passthrough=no route-dst=VPN_GATEWAY_IPЕсли есть советы по оптимизации, то готов выслушать :)
Необычно, когда тестировщик ВКонтакте пишет, как хакнуть правила РКН)
А можно как-то настроить, чтобы по ipv6 туннелю шёл трафик только до youtube?
Как-то не ставил перед собой такой задачи изначально. Гипотетически можно, если DNS будет отдавать IPv6 адреса YouTube и IPv4 адреса остального интернета.
Ещё можно попробовать вместо глобального маршрута 2000::/3 прописать более узкие маршруты в сеть YouTube... В теории, устройство при недоступности сайта по IPv6 может перейти по IPv4. Но я не проверял...
Было: Ютуб без рекламы, но блокируется, остальное все отлично работает
Стало: Весь трафик через сомнительный маршрутизатор с необходимостью согласовывать стык IPv4 и IPv6, падение скорости для неютуб трафика, постоянная разгадка капчи, реклама поскольку прокся закордонная, необходимость специфического гемора с микротиком(а его настройка без опыта - без 100г не разберешься), все это висит на какой то левой почте через телеграмм, без гарантий, что владелец этого телеграма не перенастроит весь ваш трафик через свою проксю(откуда приходило письмо он знает, а значит восстановление пароля на ящик к которому он имеет доступ - минутное дело), может что еще, особо не вчитывался....
В общем как рабочий вариант - спасибо, но не надо, как пример работы с микротиком и освещение граблей при использовании IPv6 прокси - спасибо, учту...
все это висит на какой то левой почте через телеграмм
Есть же сайты для регистраций с временной почтой на 10 минут что бы не светить основной почтовый ящик. Сейчас проверил почту выданную на 10minutemail.net в tunnelbroker.net - пока не блокирует.
дело не в блокировке же... смотрите, гипотетическая ситуация:
1 вы берете временную почту для регистрации кабинета, который используется для проксирования всего вашего трафика
2 замечательный, добрый, отзывчивый студент - владелец этого сервиса, не специалист в безопасности, ведет логи приходящих писем и ответов в чате, что бы иметь возможность быстро решить проблемы в случае поломки
3 его таки ломают и злоумышленник получает пары соответствий:
адрес сервиса приславшего письмо о регистрации(и скорее всего еще логин, а то и пароль в открытом виде) - имя ящика, который был использован для регистрации
4 сбрасывает пароль в личном кабинете через отправку на ящик письма для восстановления пароля
5 заворачивает ваш трафик к себе на сервер
6 бинго...
Если сервис держит не добрый студент, а меркантильный злоумышленник - цепочка получается гораздо короче.
заворачивает ваш трафик к себе на сервер
Интересное предположение, можете подробнее описать то, как вы видите его реализацию?
и мы тут же получим кучу ошибок HTTPS при попытке подмены трафика.
Стоп, трафик бывает не только https (tls), но чтобы его перенаправить - нужно неким путем «отравить» маршруты или DNS-сервер. Получив доступ к твоему аккаунту у HE это сделать не получится, или я не вижу как.
Да, вы правы, я недостаточно знаком с ЛК HE, предполагал, что там есть полноценные настройки выданной подсети(например с возможностью указать ДНС), если там только "выберете из какого региона ваша подсеть" и больше ничего - максимум проблемы от доступа к ЛК - отрубить прокси.
Единственное, что там можно сделать из зловредного - удалить эти сети из профиля или поменять MTU для тоннеля (приводит к интересным проблемам, когда часть сервисов будет работать, а часть - давать таймаут). Всей выдачей занимается сам HE, управления этим из ЛК нет. DNS - пользователь использует какой хочет.
А зачем так сложно с почтой? Нельзя просто какой-нибудь gmail?
Это не то, чтобы схема по ускорению Youtube. Это стандартный способ получения ipv6 через туннельного брокера. Лет 20 назад это уже работало. Такой способ получения ipv6 имеет свои плюсы и минусы. Если у вас ipv6-фобия, то это точно не для вас.
Теперь по пунктам:
Падение сокрости -- ну вы измерьте, тогда будете говорить. У меня весь канал утилизируется. Во-многом это зависит от провайдера. В торрентах и прочих p2p вы получете дополнительные пиры -- ещё больше скорости.
Насчёт сомнительности брокера -- почитайте кто такие Hurricane Electric (спойлер: это мировой магистральный провайдер, они менее сомнительны, чем ваш провайдер)
Микротик тут вообще особо не причём. 6in4 туннель можно сделать и на Keenetic, OpenWRT, DD-WRT, Tomato, Padavan и на многих стандартных прошивках роутеров.
Почту можете брать не из телеграмм-бота, а другую нормальную на домене, который не популярен у спамеров. (Впрочем, лет за 15 у меня ни разу не было, чтоб he.net чего-то хотели от меня по почте -- она использовалась только 1 раз для регистрации аккаунта)
у меня нет фобии к IPv6, на мой взгляд он переусложнен для домашних условий, так же как микротик переусложнен в роли домашнего роутера.
Заголовок статьи: "IPv6 или противостояние занижению скорости Youtube" определил сторону, с которой я воспринимаю эту статью, и с этой стороны все эти телодвижения добавляют геморроя и точек отказа и посредственно решают проблему из заголовка.
he.net могут быть суперклассными чуваками, но озвученный подход с регистрацией через чужую, данную вам на 15 мин почту аккаунта, который будет иметь полный доступ к вашему трафику - для меня крайне сомнительный вариант, особенно в том ключе, что эта статья предназначена для неразбирающихся и обещает им решить проблему с Ютубом.
Ну это всё же Хабр, а не Пикабу, и предполагается, что прочитавший всё же немного разбирается в каких-то базовых вещах. У неразбирающегося вряд ли стоит микротик, а если и стоит, то настраивавший родственник или знакомый вряд ли оставил ему пароль пользователя с full-правами.
Кстати, глянул сейчас на форму регистрации - на gmail.com ругается, а на googlemail.com - нет, так что можно обойтись и без одноразовых ящиков.
Вы регистрацию на туннельброкере SiXXs не застали :).
Там еще и (например) геймификация была для обучения и тест простенький чтобы получить что дополнительное вроде /48, rDNS и прочего :)
@Vdm_ro ещё раз по поводу "озвученный подход с регистрацией через чужую, данную вам на 15 мин почту аккаунта, который будет иметь полный доступ к вашему трафику - для меня крайне сомнительный вариант":
-- у вас всё-таки фобия относительно технологии, о принципах работы которой вы не имеете представления\не видели как она работает. Даже если кто-то получит доступ к вашему аккаунту на he.net, то максимум чем он может напакостить -- это сделать ваш ipv6 туннель нерабочим. Потому что IP-адрес сервера жёстко прописан в вашем домашнем роутере. Ничего там в ЛК не сделаешь вредоносного.
-- как заметил @Andrusha - можно взять your_gmail_account@googlemail.com если уж у вас нет корпоративной почты\почты на своём домене и лень искать какие публичные почтовые серверы не блэклисте у he.net
Я исходил из того, что выдавая вам подсеть вам дают и возможность менять ее параметры, ДНС сервер, шлюз, возможность связать несколько своих сетей между собой, тобишь полноценно управлять сетевыми настройками... каюсь, регистрироваться и разбираться во всем функционале ЛК я не стал. Если же там просто переадресация без возможности ее настройки то да, максимум, что сможет сделать получивший доступ к ЛК - отключить вашу маршрутизацию.
Про фобию - так и не понял, чего там бояться? Длинный адрес - гемор, неудобно, но бояться его странно. Не везде и не у всех работает, тут тоже нечего бояться, просто принимаю к сведению.
Безусловно, можно взять просто рабочую почту с надежным почтовым сервером, настроить туннель только для гугл серверов, а остальной трафик заворачивать на IPv4, найти подсеть из России или какими то манипуляциями убедить гугл в том, что показывать рекламу не надо... но это будет уже другая статья.
ЗЫ Докинул вам за дельную правку, постараюсь следующий раз все же внимательнее изучать предмет обсуждения в части технической реализации. Ну и автору, для компенсации возможного минуса на основании моего не совсем корректного коммента.
А давно они стали блокировать gmail? Два года назад - моя регистрация прошла успешно, ничего особого делать не пришлось.
а другую нормальную на домене
Я даже больше скажу, у меня там почта *@ya.ru, а не какой-нибудь gmail
Ждём статью, как поднять на своей VPS туннель 6in4.
а если выбрать вместо хуррикана (не верю что советую что-то кроме хуррикана) какого нибудь российского брокера (список можно подсмотреть например тут) то не будет проблем со всяким "вумным" хламом типо яндекс станции и телевизоров с кинопоиском и ютубчик всё так же будет шустро работать (а ещё за торренты никто подсеть не отберёт).
алсо
на mikrotik и openwrt настраиваю без проблем уже давно людям (а так же на всяких кинетиках и asus'ах), а вот у себя дома решил перейти на systemd-networkd, он и сеть на роутере настраивает, и впн поднимает и он же ip раздаёт и принимает 6in4. только вот почему-то не могу победить раздачу ipv6 в локалку. уже два дня бьюсь, сам роутер с ipv6 работает, а вот в локалку адреса не адвертайзит, хотя вроде бы как всё по мануалам верно... устроил блин себе развлечение.
А выше озвученный, классный, международного класса, "лучше чем мой провайдер"(с) отбирает подсеть по причине: "потому, что ты пользовался торрентами!"?
Сижу на HE лет 15. Торрентами пользуюсь, но без фанатизма. Пока ничего не отобрали :)
@Vdm_ro не отбирает
на mikrotik и openwrt настраиваю без проблем уже давно людям (а так же на всяких кинетиках и asus'ах)
Инструкцию как настраиваете openwrt на всяких asus'ах (конкретно ASUS RT-AX53U) сможете дать? Спасибо.
del
А вообще, лучше просто использовать прокси, и не выёбываться)
Не помогло, точнее помогло, на компах и телефонах ютюб заработал, а на телеке нет.
КиноПоиск и прочие сервисы тындекса с DRM шарахаются ipv6 от he и отказываются работать, намекая на отключение vpn. То есть и в отпуске получишь шиш, а не кинчик. Но тут можно передать привет нетфликсу с подобной схемой.
А если Ростелеком даёт мне ipv6 то это тоже никак не поможет ?
Например, если сделать VPN ipv6 to ipv6 до впс сервера?
VPN можно и на IPv4 сделать, зачем тут v6?
@haga777насколько мне известно, нативный ipv6 фильтруется на тспу практически у всех провайдеров (РТ, Домру, МТС, Мегафон, SkyNet и т.д.)
VPN ipv6 to ipv6 вы можете. Вы проверьте пинги до своего vps по ipv4 и по своему нативному ipv6. Не исключено, что по нативному ipv6 будет пинг меньше. Зависит от маршрутов провайдеров. (Вообще маршруты провайдеров вещь не всегда очевидная: во время священной войны РКН с Телеграммом даже через шведский 6in4 туннель у меня пинг по ipv6 до амстердамских серверов телеграмма был на 10мс меньше, чем напрямую по ipv4). Для надёжности я бы предложил использовать преимущества дуал-стэка и к VPS обращаться по доменному имени, указав в A-запись ipv4 адрес, а в AAAA-записи его ipv6 адрес.
Напоминаю что если адрес предоставленный провайдером белый но не статический то после смены вся эта ipv6 поломается. Придется опять настраивать. И в случае Hurricane Electric будут нюансы не позволяющие это сделать сразу.
VPN как-то проще и надёжнее выглядит. Но, конечно, если ничего кроме Микротика нет - то сложнее. Хотя у меня у друга Wireguard с Микротика до сих пор работает на ура.
У меня с сегодняшнего дня Wireguard не работает: соединение устанавливается, но трафик не идёт. Похоже, Роскомнадзор научился его блокировать. Блокировка началась одновременно с сегодняшним отключением Telegram и прочего. Потом доступ к мессенджерам включили, а Wireguard так и остался блокированным.
упоминание тытруба тут исключительно для кликбейта
сама тема с ип6 по принципу почему бы и нет... но никак не панацея или метода
для началу до сих пор до 90% лично мне интересных доменов в принципе ип4онли и в 2024...
вся чебурня в любом случае по sni работает и версия ип не роялит
и вдобавок чисто ип6 адреса интересных доменов спалённые через публичные dns тоже давно научились банить
Некоторое время назад был хорошо протестирован 464XLAT и в частности его часть NAT64. Это NAT позволяющий IPv6-only клиентами подкючаться к IPv4-only серверам. Работает так же плохо как и NATPT в IPv4. Но позволяет браузерам легко соединяться с web-сайтами. Так же CLAT, который уже стал частью большинства операционных систем, позволяет IPv4-only приложениям соединятся с IPv4-серверами в IPv6-only сетях посредством NAT64. В мире уже существуют несколько провайдеров, которые предоставляют клиентами только IPv6-адреса. IPv4 у них есть только в ядре сети для реализации NAT64. И то кстати не факт, поскольку этот трафик всегда можно отправить кому-то ещё, кто и реализует NAT64. В частности есть публичный, некоммерческий NAT64 https://nat64.net/, который хоть и не быстро и без каких-либо гарантий может предоставить доступ к IPv4, всем у кого есть IPv6.
Подскажите пожалуйста, после того как я сделал ipv6toipv4 у меня теперь дома работает инстаграм, фейсбук и все это без впн, что произошло?
Прошу простить, но непонятно, зачем эта статья написана. В том смысле, что соответствующие микро-скрипты микротика для подъема sti на ХЭ известны если не 15, то 10 лет уже наверняка (кстати на самом ХЭ для вновь зарегистрировавшихся одно время лежал скрипт микротиковский), так что технической новости ту не существует, и те самые статьи на Хабре, 10-ти летней давности автор совершенно точно читал, уже не знаю, из них куски брал. Получается, что мы сказали тому самому депутату, который про 70% замедление ТыТруба в СМИ высказывался, "плохо работаете, товарищи!" - так? Это действительно нужно было сделать?
Так можно про любую технологию сказать, которая помогает починить сломанный РКНом интернет.
Когда я поднимал себе туннель, статьи не читал. Наткнулся исключительно на документацию микротика. Затем, прежде чем писать статью, нашёл старую статью и увидел, что там как-то неактуально, много чего не хватает. После чего принял решение делиться своим опытом со всеми нюансами, которые мне выпали.
6in4 блокируют через некоторое время.
Был блок от ipv6.ip4market.ru умер через сутки после подключения.
На прошлой недели подключил от Hurricane Electric прожил около 3 дней, видимо ввиду нагрузки на Роскомнадзор.
Я уже писал выше, ютубу нужно некоторое время чтобы осознать где ваша сеть находится географически.
Про маскарадинг ничего не понял. Зачем?
Чтобы нагрузить роутер лишней работой, а зачем же ещё?))
Верное замечание. Маскарадинг в IPv6 не нужен. Но нужна правильная настройка IPv6 Firewall. Дефолтная настройка IPv6 firewall в микротике вполне себе подходит.
Автор вероятно находится в плену привычек из IPv4 и попытался настроить IPv6-сеть по аналогии с IPv4-сетью, создав локалку с непубличными адресами :)
!! NAT is NOT a firewall !!
Хм...у меня даже первая команда не заработала:
[admin@MikroTik] > /interface 6to4 add comment="Hurricane Electric IPv6 Tunnel Broker" disabled=no local_address=xxx.xxx.xxx.xxx mtu=1280 name=sit1 remote_address=216.66.80.162
bad command name 6to4 (line 1 column 12)
Telegram на ipv6 не захотел работать, точнее вебморда его.
При отключении ipv6 - сразу работает.
Можно поднять 6to4-туннель, если у вас пингуется IPv4-адрес 192.88.99.1. Алгоритм примерно такой же, только в качестве IP-адреса remote указываем 192.88.99.1, а в качестве IPv6-адресов используем рассчитанный из вашего IPv4-адреса.
Если вам только для ютуба то кажется эти диапазоны принадлежат гуглу
2607:f8b0:4000::/36
2a00:1450:4000::/36
2404:6800:4000::/36
2800:3f0:4000::/36
2c0f:fb50:4000::/36
добавляем их в разрешенные в фаерволе остальное блокируем
IPv6 или противостояние занижению скорости Youtube