Ну да, большинство всякого периферийного железа до сих пор на WPA2 и WiFi4 сидит) Датчики, умный дом и куча прочего. Но в целом ничто не мешает использовать какой-нибудь привычный пароль (но уникальный, а не 1234567890 =))), просто набранный 2 раза. Пароли длиной хотя бы 16 символов на WPA2 все еще невозможно быстро взломать брутфорсом в лоб)
Вообще, количество вариантов перебора равно длине используемого алфавита в степени длины пароля))) Увеличение степени намного сильнее усложняет пароль, чем основания, то есть лишний символ в используемом алфавите не особо усложнит пароль, а вот лишний символв длине пароля усложняет его на целый порядок) То есть пароль из 14 одних лишь цифр на порядок более взломостойкий, чем из 8 цифр+маленьких+больших символов) А идиотское требование многих сервисов использовать спецсимволы я вообще не понимаю. Зато запоминать такое куда сложнее, а с точки зрения математики взломостойкость повышает не особо.
Разве что имеет смысл использование отдельных спецсимволов, которых нет на клавиатуре - тут да, определенно не каждый брутфорсер будет вообще всю известную базу символов использовать))) Обычно используют лишь те, которые можно набрать на стандартной клаве))
Это просто соседу слишком плохо надо))) С современными облаками пароль на WPA2 точках где-то до 12-13 символов, в принципе, легко ломается) Но с WPA3 уже не катит)
На километровых расстояниях воздух передачу сигнала будет искажать, во-первых. Причем это еще в прямой видимости на источник. А все что от стен и предметов отражается - может свои помехи давать. Хотя визуально это будет все то же окно с непрерывным светом. Во-вторых, помещения бывают и без окон. Второй факт кардинально отличает световую передачу от радио. От утечек в радиодиапазоне сильно дороже защищаться. Если не считать шифрование. Короче, на мой взгляд доктора диванных наук технология вполне себе полезная, но сильно нишевая)
Ну, кстати, еще прикол в том, что для световой передачи не требуется лицензирование частот)))) Но энергоэффективность, конечно, пока хромает. Радиопередатчик жрет от силы пару ватт. А обычно меньше. А для больмень устойчивой работы на свету, да еще и в помещении, лампочка нужна, судя по всему, ватт на 5-10, не меньше. Хотя повышенная конфиденциальность, разумеется, интересная фича.
Странно, ибо VoWiFi тащит траффик IPsec через интернет до IMS ядра опсоса, IP-адреса у этого ядра фиксированные у каждого оператора, они есть в интернете. Как IP-адреса, так и их полные DNS-имена.
По идее, от региона не должен зависеть. Я на микротике даже список адресов этих создал (там по адресу на каждого), а в Mangle - правило, которое весь траффик, исходящий на эти адреса по портам 500,4500, маркирует голосовой DSCP-меткой. Ну чтобы после моего роутера он хоть на каких-то отрезках по пути до опсоса обрабатывался с высоким приоритетом для небольшого уменьшения задержек.
Хотя от смартфона еще зависит. База операторов и IMS настроек обычно зашивается в радиомодуль производителем. В свое время пытался запустить VoLTE\VoWiFi на японских докомошных Xрeria, но надоело, продал)))
Ну у наших чиновников же свой, особый путь))) Мелкий бизнес сложно контролировать и разрабатывать для него кучу мелких правил, которые опять же надо следить чтобы выполнялись))
А чиновник наш не такой, ему подавай волшебную кнопку "сделать хорошо", чтобы нажал - и оно само все завертелось. В итоге, видимо, в связи с растущими проблемами в стране им оказалось проще все порезать.
Что-то сам подумал о NAS, но не о готовой коробке. Была лишняя лицензия L4 на RouterOS x86, поднял систему на уже не самой молодой материнке с J5005 камнем и 8 Гб оперативки, чего для нетребовательной системе с огромным запасом. ROS развивается, средств для работы с дисками в ней хватает. Все же операционная система как-никак. Поднял там SMB шару на внутреннюю сеть, туда всё и скидываю теперь. Попутно благодаря поддержке Docker контейнеров запустил там qbittorrent для раздач, при этом там запущен еще и HomeAssistant. В новых версиях ROS можно пробрасывать любое устройство в контейнер, так что подключил к нему Zigbee адаптер, что есть гуд.
А вот с этого диска "бэкаплю" нужные папки с данными уже на оффлайн-диски, просто подключаю к ПК в док-станцию, да сливаю всё. Дисков с работы списано несколько штук, уже с переназначенными секторами, но важных данных у меня не слишком много (едва на полтерабайта наберется), и дублирование на несколько дисков, думаю, спасает. Диски включаются попеременно раз в полмесяца, так что старт-стоп нагрузка на механику тоже не особо сильная.
Интересно, а если узконаправленную антенну помощнее поискать (Удо Яги, к примеру, или Хеликс), поглядеть на 4cells.ru какие станции нужного оператора есть в направлении от военной части, и попробовать подключить LTE свисток с выбором нужной БС вручную? Но надо прям точно направлять, чтобы не ловил ближние приглушенные) Если такой способ проканает - дальше уже можно развести вайфаем по участку, дотащить оптику в другой дом (если далеко, хотя можно и мостом связать) и включить VoWiFi, у нас на даче он прям спасает, ибо связь тоже еле ловит, хотя всего 45 км от Питера)
Таки от задач зависит. Если корпоративный траффик тоннами гонять - там свои приблуды, требующие аппаратных ускорений. Для мелких задач до нескольких десятков мегабит спасает и экзотика. Я уже года два корпоративные и личные микроты подключаю к импортным VPS на RouterOS по SSTP с сертификатами. Просто SSTP, безо всяких костылей и надстроек.Тьфу 3 раза, но коннект стабильный. Заворачиваю туда то, что закрыто отсюда туда (ютубы, онлайн кинотеатры и прочие воцапы), и оттуда сюда (всякие интелы деллы и прочая тонна сайтов производителей разного оборудования, которая "не разговаривает с мальчиками из вон той песочницы")))
Все стабильно работает, коннект не отваливается. Ютубы бегают, ао крайней мере, 4к поток вывозит, и даже не один. Но для запросов выше 15-18 мбит лучше либо микроты на ARM, либо х86 городить.
Машины едут не потому, что не могут, а потому что главная деталь - прокладка между рулем и сиденьем, за полвека более быстрой реакцией не обросла, не обрастет и через тысячу лет))) Вот как уберут прокладку подальше от руля - тогда и быстрее поедут)))
скорее всего даже не так: доживут самые рациональные, а к тому времени ИИ как действительно полезная технология обрастет обратной связью, вылижутся ошибки, а главное - появится нормально рассчитанное железо, а не нынешние костыли от очкастой куртки мощностью от полукиловатт, сжирающие по планете тераватты впустую)))
Ну так потому что технология сильно опережает железо. Современные железки выглядят вау как круто перед раритетами из 80-х, 90-х и даже нулевых, но по факту это все те же машины на тех же принципах, просто быстрее, выше, сильнее. ИИ же, судя по всему, требует принципиально иной архитектуры, как с точки зрения железа, так и логики. А сегодня даже самый топовый ИИ-ускоритель от зеленых выглядит как большой прожорливый костыль с околонулевым КПД, но мощностью в полкиловатта и более. Костыль, который хотят все, внедряют все, кому ни лень, в итоге имеем высокую капитализацию зеленых и полнейший игнор курткой в очках такого недавно буквально звучащего из каждого утюга вопроса как экология))) Просто тераватты съедаются вникуда. Эй, Грета, родная, ты там как? Не надоело на корабликах вдоль чуркостанов плавать и бармалеев жалеть, может виллу Хуанга навестишь?)))
Да и само событие является концом лишь как локальная переменная, но не глобальная))) Конец света для нас в привычном его виде не значит конец света в общем)) Что-то новое зато возникнет =)
Ну начнем с того, что хакер - это в любом случае любитель-энтузиаст, а по сути - образ жизни. А аналитик - это профессия, должность, профессиональные обязанности)) Исходя из этимологий и прочих лингвистических закидонов) Хакер - рубщик в переводе, то есть любитель что-то взломать, сломать (в смысле не испортить, а ковырнуть, вскрыть и посмотреть как оно работает). Малой о%ёздол, раскурочивший подаренную машинку, просто чтобы посмотреть на моторчики и проводочки и как оно ваще устроено любопытства ради - тоже хакер, по сути)))) Ну и, собственно, самый эталонный, сферический в вакууме хакер в контексте компьютерных (а и не только - к примеру, социальных) систем - Кевин Митник, он был и останется им навеки, как ни называй))) Ну потому что активно взламывал системы (но больше занимался социальной инженерией - процентов 80 его деятельности) чисто приколу ради. Просто потому что дико интересно, и интерес этот перерос в психическое расстройство еще с малых лет. Причем с официальным диагнозом, что не помешало чиновникам тиранить беднягу по всей строгости за все его косяки, и даже чужих сверху накинуть)
Так что хакер становится аналитиком только тогда, когда начинает предоставлять таковые услуги кому-то)) И становится обратно хакером, когда прекращает эти услуги оказывать. Как в известной комедии:
- Крысы снаружи, мыши внутри.
- Да, но если мышь выйдет наружу, она станет крысой, если крыса вбежит в дом, она мышь.
Судя по всему, проблема всех впнов в том, что они... массовые)) И похожи друг на друга, хотя и можно их разбить по группам. Массовые означает, что паттерны поведения у каждой группы схожие. Примерно как пробка на обочинах и в окрестных дворах из тех, кто объезжает пробку)))
Редкие и старые протоколы и методы не блокируются, просто потому что их использует полтора самсебебуратины на десяток-другой тысяч пользователей, и за ними никто бегать скорее всего пока не станет, ибо отлавливать каждого, когда есть целые кучи других, которых можно грести лопатой, влом. Тьфу 3 раза, но пока единственный встреченный мной абсолютно рабочий метод - взять микротик, арендовать VPS на забугорном сервере, развернуть там RouterOS и соединить микрот с ним по банальному протоколу типа SSTP. В случае с сертификатами у микротика там свое проприетарное исполнение, то есть работает только между двумя роутеросями. Но мое почтение, аптайм 24\7 пока что. Если не считать бытовухи типа обновить систему, провайдер оборвал интернет, и т.п.В этот туннель заворачиваю как раз траффик на запрещенные отсюда туда, и оттуда сюда ресурсы. В основном, ютубы всякие, рутрекеры, деллы, интелы, где требуется качать дрова и документацию. И всё работает прозрачно: зашел дома\на даче\у предков в вайфай, просто открыл ютуб и смотри, никакие отдельные впны ставить не надо на конечные устройства.
Единственный момент - можно поднять на том же сервере еще и IPsec + IKEv2, чтобы, к примеру, цепляться с телефона\ноута вне дома, но IPsec таки тоже не всегда коннектится. В этом случае я просто поднял второй VPS с RouterOS у провайдера на российском сервере, до которого нормально работают любые протоколы, и можно подключиться со смартфона\ПК. Далее, во-первых, соединяю его с забугорным, и заворачиваю траффик до необходимых мне ресурсов через mark-routing в dst-address-list в туннель до забугра, во-вторых, сервер можно использовать как центральный узел, чтобы объединять сетки. Ну и как плюшки - поднять на свободном пространстве, коего дофига, SMB шару, доступную отовсюду, плюс сервер дает белый IP, на который можно выкинуть что требуется, и т.п. Плюс ROS сейчас контейнеры поддерживает, что тоже удобно, можно поднимать всякую мелочь, если не хочется для каждой мелкой задачки городить отдельную железяку с линухом, докером и прочим.
з.ы. от явного firewall address-list отказался, ибо очень часто обновляет адреса и формирует слишком дофига запросов. Да и список огромный получается, ибо отдельно приходится задавать поддомены, коих мульёны. Лучше оказался метод добавлять нужные адреса /ip/dns/static, add name=blablabla.com type=fwd match-subdomain=yes address-list=rkn, а дальше уже заворачивать траффик в /ip/route add 0.0.0.0/0 routeing-table=rkn на туннель. Тогда все запросы от клиента на домен и любые поддомены будут формироваться автоматом и попадать в address-list, и по истечении TTL будут удаляться, если никто из клиентов больше туда не стукается. Вместе с DoH получается вот вообще непробиваемый домик)) Пока что...
Возможно, еще от реализации протокола зависит. Между RouterOS на микротике и на удаленном VPS за бугром WG нивкакую не подключается. Получает в ответ 92 байта и всё) Впрочем, и внутри страны WG между микротами работает через одно место, по крайней мере, когда один из хостов за кучей натов спрятан. IPsec тоже за бугор плохо достукивается. OVPN тоже. Единственный протокол, который у меня уже года 2 работает 24\7\365 - SSTP. В микротиковском исполнении, с сертификатами. Но по нему с винды или андроида не подключиться, только между микротами. Либо без сертификатов - только логопас, но такому не доверяю.
Ну в принципе так к любой батарее можно подключить СЖО)
Ну да, большинство всякого периферийного железа до сих пор на WPA2 и WiFi4 сидит) Датчики, умный дом и куча прочего. Но в целом ничто не мешает использовать какой-нибудь привычный пароль (но уникальный, а не 1234567890 =))), просто набранный 2 раза. Пароли длиной хотя бы 16 символов на WPA2 все еще невозможно быстро взломать брутфорсом в лоб)
Вообще, количество вариантов перебора равно длине используемого алфавита в степени длины пароля))) Увеличение степени намного сильнее усложняет пароль, чем основания, то есть лишний символ в используемом алфавите не особо усложнит пароль, а вот лишний символв длине пароля усложняет его на целый порядок) То есть пароль из 14 одних лишь цифр на порядок более взломостойкий, чем из 8 цифр+маленьких+больших символов) А идиотское требование многих сервисов использовать спецсимволы я вообще не понимаю. Зато запоминать такое куда сложнее, а с точки зрения математики взломостойкость повышает не особо.
Разве что имеет смысл использование отдельных спецсимволов, которых нет на клавиатуре - тут да, определенно не каждый брутфорсер будет вообще всю известную базу символов использовать))) Обычно используют лишь те, которые можно набрать на стандартной клаве))
Это просто соседу слишком плохо надо))) С современными облаками пароль на WPA2 точках где-то до 12-13 символов, в принципе, легко ломается) Но с WPA3 уже не катит)
На километровых расстояниях воздух передачу сигнала будет искажать, во-первых. Причем это еще в прямой видимости на источник. А все что от стен и предметов отражается - может свои помехи давать. Хотя визуально это будет все то же окно с непрерывным светом. Во-вторых, помещения бывают и без окон. Второй факт кардинально отличает световую передачу от радио. От утечек в радиодиапазоне сильно дороже защищаться. Если не считать шифрование. Короче, на мой взгляд доктора диванных наук технология вполне себе полезная, но сильно нишевая)
Ну, кстати, еще прикол в том, что для световой передачи не требуется лицензирование частот)))) Но энергоэффективность, конечно, пока хромает. Радиопередатчик жрет от силы пару ватт. А обычно меньше. А для больмень устойчивой работы на свету, да еще и в помещении, лампочка нужна, судя по всему, ватт на 5-10, не меньше. Хотя повышенная конфиденциальность, разумеется, интересная фича.
Странно, ибо VoWiFi тащит траффик IPsec через интернет до IMS ядра опсоса, IP-адреса у этого ядра фиксированные у каждого оператора, они есть в интернете. Как IP-адреса, так и их полные DNS-имена.
По идее, от региона не должен зависеть. Я на микротике даже список адресов этих создал (там по адресу на каждого), а в Mangle - правило, которое весь траффик, исходящий на эти адреса по портам 500,4500, маркирует голосовой DSCP-меткой. Ну чтобы после моего роутера он хоть на каких-то отрезках по пути до опсоса обрабатывался с высоким приоритетом для небольшого уменьшения задержек.
Хотя от смартфона еще зависит. База операторов и IMS настроек обычно зашивается в радиомодуль производителем. В свое время пытался запустить VoLTE\VoWiFi на японских докомошных Xрeria, но надоело, продал)))
Ну у наших чиновников же свой, особый путь))) Мелкий бизнес сложно контролировать и разрабатывать для него кучу мелких правил, которые опять же надо следить чтобы выполнялись))
А чиновник наш не такой, ему подавай волшебную кнопку "сделать хорошо", чтобы нажал - и оно само все завертелось. В итоге, видимо, в связи с растущими проблемами в стране им оказалось проще все порезать.
Старая. но актуальная статья.
Что-то сам подумал о NAS, но не о готовой коробке. Была лишняя лицензия L4 на RouterOS x86, поднял систему на уже не самой молодой материнке с J5005 камнем и 8 Гб оперативки, чего для нетребовательной системе с огромным запасом. ROS развивается, средств для работы с дисками в ней хватает. Все же операционная система как-никак. Поднял там SMB шару на внутреннюю сеть, туда всё и скидываю теперь. Попутно благодаря поддержке Docker контейнеров запустил там qbittorrent для раздач, при этом там запущен еще и HomeAssistant. В новых версиях ROS можно пробрасывать любое устройство в контейнер, так что подключил к нему Zigbee адаптер, что есть гуд.
А вот с этого диска "бэкаплю" нужные папки с данными уже на оффлайн-диски, просто подключаю к ПК в док-станцию, да сливаю всё. Дисков с работы списано несколько штук, уже с переназначенными секторами, но важных данных у меня не слишком много (едва на полтерабайта наберется), и дублирование на несколько дисков, думаю, спасает. Диски включаются попеременно раз в полмесяца, так что старт-стоп нагрузка на механику тоже не особо сильная.
Интересно, а если узконаправленную антенну помощнее поискать (Удо Яги, к примеру, или Хеликс), поглядеть на 4cells.ru какие станции нужного оператора есть в направлении от военной части, и попробовать подключить LTE свисток с выбором нужной БС вручную? Но надо прям точно направлять, чтобы не ловил ближние приглушенные) Если такой способ проканает - дальше уже можно развести вайфаем по участку, дотащить оптику в другой дом (если далеко, хотя можно и мостом связать) и включить VoWiFi, у нас на даче он прям спасает, ибо связь тоже еле ловит, хотя всего 45 км от Питера)
Так не должОн же вроде он работать тут, не?) Санкции, все дела))) Нас, русский народ, не любят ни наши чиновники, ни зарубежные))
С конца нулевыж послезали, сейчас больше соль))))
Эти рукож*пы половину веба недавно чуть не положили. Куда им искусственного идиота в руки давать, когда они с живым-то разобраться не могут)
Таки от задач зависит. Если корпоративный траффик тоннами гонять - там свои приблуды, требующие аппаратных ускорений. Для мелких задач до нескольких десятков мегабит спасает и экзотика. Я уже года два корпоративные и личные микроты подключаю к импортным VPS на RouterOS по SSTP с сертификатами. Просто SSTP, безо всяких костылей и надстроек.Тьфу 3 раза, но коннект стабильный. Заворачиваю туда то, что закрыто отсюда туда (ютубы, онлайн кинотеатры и прочие воцапы), и оттуда сюда (всякие интелы деллы и прочая тонна сайтов производителей разного оборудования, которая "не разговаривает с мальчиками из вон той песочницы")))
Все стабильно работает, коннект не отваливается. Ютубы бегают, ао крайней мере, 4к поток вывозит, и даже не один. Но для запросов выше 15-18 мбит лучше либо микроты на ARM, либо х86 городить.
Машины едут не потому, что не могут, а потому что главная деталь - прокладка между рулем и сиденьем, за полвека более быстрой реакцией не обросла, не обрастет и через тысячу лет))) Вот как уберут прокладку подальше от руля - тогда и быстрее поедут)))
скорее всего даже не так: доживут самые рациональные, а к тому времени ИИ как действительно полезная технология обрастет обратной связью, вылижутся ошибки, а главное - появится нормально рассчитанное железо, а не нынешние костыли от очкастой куртки мощностью от полукиловатт, сжирающие по планете тераватты впустую)))
Ну так потому что технология сильно опережает железо. Современные железки выглядят вау как круто перед раритетами из 80-х, 90-х и даже нулевых, но по факту это все те же машины на тех же принципах, просто быстрее, выше, сильнее. ИИ же, судя по всему, требует принципиально иной архитектуры, как с точки зрения железа, так и логики. А сегодня даже самый топовый ИИ-ускоритель от зеленых выглядит как большой прожорливый костыль с околонулевым КПД, но мощностью в полкиловатта и более. Костыль, который хотят все, внедряют все, кому ни лень, в итоге имеем высокую капитализацию зеленых и полнейший игнор курткой в очках такого недавно буквально звучащего из каждого утюга вопроса как экология))) Просто тераватты съедаются вникуда. Эй, Грета, родная, ты там как? Не надоело на корабликах вдоль чуркостанов плавать и бармалеев жалеть, может виллу Хуанга навестишь?)))
Да и само событие является концом лишь как локальная переменная, но не глобальная))) Конец света для нас в привычном его виде не значит конец света в общем)) Что-то новое зато возникнет =)
Ну начнем с того, что хакер - это в любом случае любитель-энтузиаст, а по сути - образ жизни. А аналитик - это профессия, должность, профессиональные обязанности)) Исходя из этимологий и прочих лингвистических закидонов) Хакер - рубщик в переводе, то есть любитель что-то взломать, сломать (в смысле не испортить, а ковырнуть, вскрыть и посмотреть как оно работает). Малой о%ёздол, раскурочивший подаренную машинку, просто чтобы посмотреть на моторчики и проводочки и как оно ваще устроено любопытства ради - тоже хакер, по сути)))) Ну и, собственно, самый эталонный, сферический в вакууме хакер в контексте компьютерных (а и не только - к примеру, социальных) систем - Кевин Митник, он был и останется им навеки, как ни называй))) Ну потому что активно взламывал системы (но больше занимался социальной инженерией - процентов 80 его деятельности) чисто приколу ради. Просто потому что дико интересно, и интерес этот перерос в психическое расстройство еще с малых лет. Причем с официальным диагнозом, что не помешало чиновникам тиранить беднягу по всей строгости за все его косяки, и даже чужих сверху накинуть)
Так что хакер становится аналитиком только тогда, когда начинает предоставлять таковые услуги кому-то)) И становится обратно хакером, когда прекращает эти услуги оказывать. Как в известной комедии:
- Крысы снаружи, мыши внутри.
- Да, но если мышь выйдет наружу, она станет крысой, если крыса вбежит в дом, она мышь.
- Я не видел мышей снаружи. Сто пудов!
- Потому что они крысы, кретин!
- Черт! У тебя железная логика! Ты Спиноза!
Судя по всему, проблема всех впнов в том, что они... массовые)) И похожи друг на друга, хотя и можно их разбить по группам. Массовые означает, что паттерны поведения у каждой группы схожие. Примерно как пробка на обочинах и в окрестных дворах из тех, кто объезжает пробку)))
Редкие и старые протоколы и методы не блокируются, просто потому что их использует полтора самсебебуратины на десяток-другой тысяч пользователей, и за ними никто бегать скорее всего пока не станет, ибо отлавливать каждого, когда есть целые кучи других, которых можно грести лопатой, влом. Тьфу 3 раза, но пока единственный встреченный мной абсолютно рабочий метод - взять микротик, арендовать VPS на забугорном сервере, развернуть там RouterOS и соединить микрот с ним по банальному протоколу типа SSTP. В случае с сертификатами у микротика там свое проприетарное исполнение, то есть работает только между двумя роутеросями. Но мое почтение, аптайм 24\7 пока что. Если не считать бытовухи типа обновить систему, провайдер оборвал интернет, и т.п.В этот туннель заворачиваю как раз траффик на запрещенные отсюда туда, и оттуда сюда ресурсы. В основном, ютубы всякие, рутрекеры, деллы, интелы, где требуется качать дрова и документацию. И всё работает прозрачно: зашел дома\на даче\у предков в вайфай, просто открыл ютуб и смотри, никакие отдельные впны ставить не надо на конечные устройства.
Единственный момент - можно поднять на том же сервере еще и IPsec + IKEv2, чтобы, к примеру, цепляться с телефона\ноута вне дома, но IPsec таки тоже не всегда коннектится. В этом случае я просто поднял второй VPS с RouterOS у провайдера на российском сервере, до которого нормально работают любые протоколы, и можно подключиться со смартфона\ПК. Далее, во-первых, соединяю его с забугорным, и заворачиваю траффик до необходимых мне ресурсов через mark-routing в dst-address-list в туннель до забугра, во-вторых, сервер можно использовать как центральный узел, чтобы объединять сетки. Ну и как плюшки - поднять на свободном пространстве, коего дофига, SMB шару, доступную отовсюду, плюс сервер дает белый IP, на который можно выкинуть что требуется, и т.п. Плюс ROS сейчас контейнеры поддерживает, что тоже удобно, можно поднимать всякую мелочь, если не хочется для каждой мелкой задачки городить отдельную железяку с линухом, докером и прочим.
з.ы. от явного firewall address-list отказался, ибо очень часто обновляет адреса и формирует слишком дофига запросов. Да и список огромный получается, ибо отдельно приходится задавать поддомены, коих мульёны. Лучше оказался метод добавлять нужные адреса /ip/dns/static, add name=blablabla.com type=fwd match-subdomain=yes address-list=rkn, а дальше уже заворачивать траффик в /ip/route add 0.0.0.0/0 routeing-table=rkn на туннель. Тогда все запросы от клиента на домен и любые поддомены будут формироваться автоматом и попадать в address-list, и по истечении TTL будут удаляться, если никто из клиентов больше туда не стукается. Вместе с DoH получается вот вообще непробиваемый домик)) Пока что...
Возможно, еще от реализации протокола зависит. Между RouterOS на микротике и на удаленном VPS за бугром WG нивкакую не подключается. Получает в ответ 92 байта и всё) Впрочем, и внутри страны WG между микротами работает через одно место, по крайней мере, когда один из хостов за кучей натов спрятан. IPsec тоже за бугор плохо достукивается. OVPN тоже. Единственный протокол, который у меня уже года 2 работает 24\7\365 - SSTP. В микротиковском исполнении, с сертификатами. Но по нему с винды или андроида не подключиться, только между микротами. Либо без сертификатов - только логопас, но такому не доверяю.