+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

L7 и YouTube

L7 и YouTube, RouterOS

0ldman

Guest

12.03.2015 01:48:00

У меня есть правило уровня 7 для Youtube с регулярным выражением get /videoplayback[\x09-\x0d -~]* http/[01]\.[019]. Работает отлично, ловит Youtube, я поставил ограничение скорости в 3 Мбит/с, но с более высоким приоритетом, чем у обычных загрузок. Я пытаюсь гарантировать качество стрима. Проблема в том, что этот код уровня 7 также захватывает тесты скорости. Есть ли у кого-то советы по этому поводу? Я могу прописать список серверов, которые нужно игнорировать в записи для Youtube, но это не решает проблему с тем, что уровень 7 ловит неправильные данные. Может, у кого-то есть лучшее правило уровня 7 для Youtube? Ещё одна проблема — если кто-то заходит на Youtube, всё идёт в зашифрованном виде, и тогда его нельзя ограничить, не пометив весь порт 443… Если у кого-то есть какие-то идеи на этот счёт, буду рад услышать.

cicserver

Guest

11.04.2016 08:23:00

Ок, я вытащил все IP из ASN 15169, теперь YouTube маршрутизируется через вторую WAN-ссылку, основная задача выполнена. Но теперь проблема в том, что при этом тянет многие другие сервисы, такие как Gmail, Dropbox, приложения и т.д. Есть ли способ маршрутизировать только YouTube? Как мне найти только список IP-адресов YouTube?

nigslaysa Guest	#3 0 25.11.2016 08:41:00 Попробуй отфильтровать проблему с UDP 443, потому что он ловит даже трафик не с YouTube.

MayestroPW

Guest

20.02.2017 08:11:00

YouTube использует QUIC, который работает по протоколу UDP, а не TCP. У меня этот регулярное выражение работает отлично: videoplayback|video — отлично подходит для YouTube и любого другого онлайн-видео, включая HTTPS, конечно, кроме живых трансляций.

sebus Guest	#5 0 14.05.2017 18:28:00 Резко, но работает. Ничего другого для https YT не удалось запустить, хотя я бы предпочёл что-то более конкретное, только для записей DNS (например, youtube.* и так далее).

pe1chl Guest	#6 0 14.05.2017 18:55:00 Это будет «работать отлично» только если не считать огромное количество ложных срабатываний. Оно среагирует на любой пакет с словом video в нем.

Abbasmcse

Guest

30.12.2015 23:47:00

MT = RouterBoard 750UP
Ether1: 200.200.201.100/29 (WAN)
Ether2: 192.168.1.100 (LAN network)

Хочу, чтобы PC1 с адресом 192.168.1.150/24 получал только 1 Мбит/с при обычном серфинге в интернете, но при запросе YouTube скорость была 10 Мбит/с.

Для этого я использую такой скрипт:
/ip firewall mangle add action=add-dst-to-address-list address-list=Youtube address-list-timeout=10m chain=prerouting comment=youtube content=youtube.com dst-port=80,443 protocol=tcp
/ip firewall mangle add action=mark-packet chain=forward comment=youtube new-packet-mark=Youtube passthrough=no src-address-list=Youtube

Но я не знаю, как создать отдельную родительскую очередь для этого правила.

Спасибо, Abbas

dunga

Guest

29.03.2016 15:04:00

А что насчёт других скриптов, таких как mangle и queue, которые ты использовал для установки лимита или других команд? Похоже, в твоём экспорте что-то пропущено, попробуй опубликовать другие команды, которые идут после этого, чтобы я мог проверить и понять, сработает ли у меня.

0ldman

Guest

29.03.2016 15:35:00

Это именно так, как у меня настроено в протоколе L7. Создайте новый протокол, назовите его Youtube, вставьте этот шаблон в поле. Раньше в MT был список протоколов L7, оформленных как своего рода скрипт для добавления в ROS. Кажется, оттуда я и взял свой. Не уверен, что могу выложить его здесь — он очень, очень длинный. Посмотрите, может, это поможет.

/ip firewall layer7-protocol
add name=netflix regexp="^.*(host|HOST).+(netflix).*\$"

add name=youtube regexp="get /videoplayback[\\x09-\\x0d -~]* http/[01]\\.[019]"

add name="netflix2" regexp="^.*(get|GET) /s.+(wma|wmv|token|random|p=).*\$"

add name=hulu regexp=^\\\\x03.+\\\\x14.+\\\\x02.+\\\\x07.(connect)\\\?.+(app)\\\?

Возможно, это уже не актуально — у них всех с тех пор поменялось сжатие и способ доставки контента.

pe1chl

Guest

#10

29.03.2016 16:25:00

И ещё важнее: все они перешли на https, из-за чего сегодня сделать это стало невозможно. Сторонники https довольны проделанной работой: теперь людям-посредникам невозможно вмешиваться в обработку их трафика. Конечно, это короткозорно, потому что теперь возникают эксплуатационные проблемы в сетях, которым для работы нужна была классификация этого трафика.

cicserver

Guest

#11

03.04.2016 09:23:00

У меня два WAN-канала. L7 работает нормально, очередь тоже справляется с этими помеченными пакетами. Но проблема в том, что когда я пытаюсь направить эти помеченные пакеты на другой WAN-канал, видео не воспроизводится. Маршрутизация на другие сайты работает нормально, только видео на YouTube не запускаются при маршрутизации пакетов. Есть ли какой-то способ направить трафик YouTube-видео через другой WAN-канал?

valent Guest	#12 0 04.04.2016 08:34:00 Нужен ли L7 для YouTube? Интересно, можно ли обойтись списками хостнеймов или IP-адресов серверов YouTube?

normis Guest	#13 0 04.04.2016 08:51:00 Когда пользователь вошёл в систему, YouTube будет использовать HTTPS, а это значит, что L7 не сможет распознать этот трафик. Можно распознавать только незашифрованный HTTP.

sebus

Guest

#14

14.05.2017 19:05:00

Поэтому это радикально. Но это единственный способ, который действительно работает. В интернете полно инструкций «Как заблокировать HTTPS-сайты на роутере Mikrotik» с использованием L7, но ни одну из них я не смог заставить работать (никакой регуляркой для YouTube). sebus

MayestroPW

Guest

#15

15.05.2017 08:09:00

Ложные срабатывания? Когда в пакете есть слово video, в большинстве случаев там действительно видео. Так что для моей очереди это нормально, потому что я хочу, чтобы видео транслировалось с приоритетом. Так что никаких ложных срабатываний вообще нет. По крайней мере, для меня и моей конфигурации.

pe1chl

Guest

#16

15.05.2017 08:29:00

Ты правда думаешь, что в этом обсуждении есть видео и его нужно заблокировать? Слово video там встречается повсюду. Для тебя это не ложное срабатывание? Конечно, когда ты заходишь на сайт по https, в самом содержимом слова video не будет, зато может сработать на любой другой контент, который при шифровании даст "слово" video в зашифрованных данных. В принципе, сканировать весь поток данных — это всегда была плохая идея. Лучше бы сканировать только определённые типы трафика, например, DNS-запросы и исходящие запросы по HTTP(S). Это немного снизит нагрузку и риск ложных срабатываний, но всё равно твоя регулярка будет срабатывать на каждом домене, где есть слово video, например http://www.montevideo.gub.uy/

MayestroPW Guest	#17 0 15.05.2017 08:52:00 Даже если возникает ложное срабатывание и оно отметит поток как стрим, он будет «стримить» всего пару килобайт. Так что это ничто по сравнению с видео в сотни мегабайт. Делать это только на уровне DNS — глупо, ведь не только YouTube стримит видео, и это означало бы приоритет только для YouTube. А как же миллионы других сайтов, которые тоже стримят видео? У меня RB750Gr3, 323 фильтрующих правила, 124 NAT-правила, 243 правила mangle, 79 простых очередей, 17 древовидных очередей, 3 скрипта, запускающихся с интервалом в 15 секунд, и два WAN-канала по 50 Мбит/с и 10 Мбит/с в PCC. В худшем случае загрузка составляет 50–70%.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры