Mikrotik hap ax2 подключал 2 варианта Vpn:WG и L2tp ipsec
Настроил добавление адресов по TLS host
Но подключение в голосовым RTC-Серверам не работает

Буду рад если подскажете

Я себе добавил 66.22.208.0/20 (AS49544 i3Dnet) в тунель. Там 4-5 пакетов всего пробежит и соединения с комнатами устанавливается.

Немного нуб, Можешь команду для терминала написать или скрин настройки скинуть

Не знаю, микротиками не пользуюсь. Проблема скорее не связана с микротиком.

Скорей всего с вязано с настройками, где-то ошибаюсь с настройкой. Так как если пустить весь трафик. То все работает. А так как я ленивый и хочется упростить добавление и обновление address list
Хочу настроить автоматическое добавление

Наверняка на устройстве есть таблица маршрутов, создайте правило для подсети 66.22.208.0/20 пустив его через тунель.

Это уже сделал. Все равно 0 реакции
Читая о такой проблеме, пишут что RTC-сервер стучится по UDP и как его маршрутизацию сделать не нашел

Можно добавить эти подсети или поймать куда дискорд лезет по udp в Wireshark или других утилитах.

Адреса в адрес лист закидываются? Если в адрес лист то нужно добавить диапазон в адрес лист вручную и тогда будет неважно tcp или udp траффик.

Адреса закидываются.
Пробовал через Laer 7, что-не пошло

Немного не в тему, но можете попробовать мою программу в режиме direct через установщик. Голос должен заработать.

Так, и запрет можно поставить. Хочу разобраться как настроить автоматизацию добавления ip из UDP трафика на MikroTik

А он не к домену подключается? У меня через dns static идет добавление ip адресов. Просто закидываю домены, а микрот сам резолвит и добавляет в адрес лист. Правда я голосовыми в дискорде не пользуюсь, но полагаю работать будет так же. Плюс он так же докидывает и поддомены, если домен в списке и соответственно их ip.

Можешь расписать настройку, попробовал по одной из статей. Что-то не ппошло

Версия ros какая? Маршруты до туннеля есть? Напиши мне в личку, завтра постараюсь помочь.

нет, voice серверы не используют днс и по sni не сниффятся

Вот и ищу как с этим разобраться

Тогда получается следующее, нужно добавить как писали выше 66.22.208.0/20 вручную в адрес лист, пример на скрине, как у меня сделано

image1153×589 36 KB

Добавление ip результата не дает.
BGP надо статик ip оплачивать, плюс писать скрипт для выгрузки в адрес лист.
Пробовал без mangle, только сайт открыл и все дальше не ступор приложение тоже не грузит.

Буду искать инфу, как завернуть UPD трафик в VPN

когда пишут ip диапазоны дискорда то там только голосовые сервера, без адресов сайта и приложения.

А вот тут к концу статьи

Попробуйте

clear
comment="discord"
gateway="antizapret-tcp-gateway"
echo "IPv4 Prefixes | Mikrotik"
echo -e "\u2193"
echo "===================================================================================================="
echo "/ip route remove [find comment=$comment]"
curl -s https://raw.githubusercontent.com/sdnv0x4d/ip-lists/refs/heads/master/discord/discord_cidr_sum.txt | \
awk '!seen[$0]++' | \
grep -E '^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+(/[0-9]+)?$' | \
while read -r cidr; do
    echo "/ip route add comment=$comment dst-address=$cidr gateway=$gateway"
done
echo "/put \"\\n\""
echo "===================================================================================================="

Редактируйте комментарий и название интерфейса

comment="discord"
gateway="antizapret-tcp-gateway"

Источник

GitHub - sdnv0x4d/ip-lists: IP lists of Discord, Steam etc... Network engineers against RKN

Настроить удалость. На WG и то добавив список адресов.
L2tp iPsec где-то не правильно настраиваю.

Но в идеале хочется через такое правило настроить голосовые чаты:

IP / FIREWALL / MANGLE (верх списка)

• создаем первое правило Prerouting, где src - ваша локалка, протокол: tcp, порт: 443;
  вкладка Advanced - поле TLS host: *.instagram.com;
  вкладка Action - add dst to address list; addresslist - viaVPN; таймаут можно поставить 7 дней;

• создаем второе правило Prerouting, где src - ваша локалка, протокол: tcp, порт: 443;
  вкладка Advanced - поле TLS host: *.cdninstagram.com;
  вкладка Action - add dst to address list; addresslist - viaVPN; таймаут можно поставить 7 дней;

IP / FIREWALL / MANGLE (низ списка)

• создаем правило Prerouting, где src - ваша локалка; dst. address list: viaVPN
  вкладка Action - route; Route Dst: IP сервера wireguard, openvpn и т.д.

Ни разу не встретил у себя проблем с l2tp/ipsec

Проблема только с подключением к голосовым чатам Discord
Где-то настройку упускаю

Сам себе…

L2TP/IPSec поднимается канал вообще или нет?

У меня по-другому завернут траффик в vpn, через “mark routing” с использованием “Dst. Address List”.

Попробуйте добавить, по вашему методу, протокол UDP в обработку с диапазоном портов: 50000-65535**

**Динамические порты UDP в диапазоне от 50 000 до 65 535 для голосовой связи.