Обход блокировки YouTube и некоторых сайтов на MikroTik за 5 минут

Если команда /system/device-mode print показывает container: yes , то все ок, если нет, то для включения режима контейнеров на устройстве нужно выполнить следующую команду и следовать инструкциям в консоли(перезагрузить или нажать кнопку на роутере):

/system/device-mode/update container=yes 

/tool fetch https://upgrade.mikrotik.com/routeros/7.17rc7/container-7.17rc7-arm64.npk
# или в зависимости от проца
/tool fetch https://upgrade.mikrotik.com/routeros/7.17rc7/container-7.17rc7-arm.npk
# и ребут для установки
/system/reboot


/ip smb set enabled=no
#необязательно, если не будет использоваться флешка, но таки рекомендуется, чтобы не изнашивать встроенную память
/disk settings set auto-smb-sharing=no auto-media-sharing=no
/disk format-drive usb1 file-system=wipe duration=10s
/disk add type=partition parent=usb1 partition-size=8G 
#основной раздел, поменяйте размеры по необходимости в зависимости от размера флешки
/disk add type=partition parent=usb1 partition-size=512M
#подкачка
/disk format-drive usb1-part1 file-system=ext4
/disk set swap=yes usb1-part2

/ip dns set servers=1.1.1.2,1.0.0.2
# задает опорные plaindns с фильтрацией от вредоносных доменов
/tool fetch https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
# дождаться скачивания сертификата и затем можно копировать все команды целиком
/certificate import file-name=DigiCertGlobalRootG2.crt.pem passphrase=""

/ip dns set use-doh-server=https://security.cloudflare-dns.com/dns-query verify-doh-cert=yes
# задает dns over https с фильтрацией от вредоносных доменов

/interface/bridge add name=Bridge-Docker port-cost-mode=short
# создание интерфейсов для контейнера
/ip/address add address=192.168.254.1/24 interface=Bridge-Docker network=192.168.254.0
/interface/veth add address=192.168.254.2/24 gateway=192.168.254.1 name=BYEDPI-TUN
/interface/bridge/port add bridge=Bridge-Docker interface=BYEDPI-TUN

/container/config set registry-url=https://registry-1.docker.io tmpdir=/usb1-part1/docker/pull
#настройка адреса для получения контейнеров
/container/add remote-image=wiktorbgu/byedpi-hev-socks5-tunnel:mikro interface=BYEDPI-TUN cmd="-K u -a 5 --auto=none -Kt,h -d1 -s0+s -d3+s -s6+s -d9+s -s12+s -d15+s -s20+s -d25+s -s30+s -d35+s -An -Ku -a1 -An --debug 1" root-dir=/usb1-part1/docker/byedpi-hev-socks5-tunnel logging=yes start-on-boot=yes
#скачивает контейнер и задает аргументы для byedpi, впишите свои в cmd="если не работают эти"

# set to default
/ip/dns set address-list-extra-time=0s
#внесение в список сайтов и доменов, которые нужно гонять через контейнер 
/ip dns static
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=cloudflare-ech.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=googlevideo.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=googleapis.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=youtube.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=ytimg.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=youtu.be ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=ggpht.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=rutracker.org ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=rutracker.cc ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=medium.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=facebook.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=fbcdn.net ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=fbcdn.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=x.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=twitter.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=linkedin.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=prntscr.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=prnt.sc ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=t.co ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=protonvpn.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=nnmclub.to ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=ntc.party ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=discord.gg ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=discord.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=discord.co ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=dis.gd ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=discordstatus.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=discord.gift ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=discord.new ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=discord.dev ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=discordcdn.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=discord.media ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=discord.app ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=discordapp.net ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=discordapp.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=instagram.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=cdninstagram.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=deviantart.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=parastorage.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=wixstatic.com ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=e621.net ttl=1d type=FWD
add address-list=za_dpi_FWD disabled=no forward-to=localhost match-subdomain=\
    yes name=dragonfru.it ttl=1d type=FWD	
	
/routing/table add disabled=no fib name=dpi_mark
#настройка таблицы для обработки контейнером byedpi

/ip/route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.254.2%Bridge-Docker pref-src="" routing-table=dpi_mark scope=30 suppress-hw-offload=no target-scope=10

/ip firewall mangle add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-list=za_dpi_FWD in-interface-list=LAN new-connection-mark=to_dpi passthrough=yes
#прописывание правил маркировки трафика в контейнер
/ip firewall mangle add action=mark-routing chain=prerouting comment="To DPI" connection-mark=to_dpi in-interface-list=LAN new-routing-mark=dpi_mark passthrough=no routing-mark=!dpi_mark

/ip firewall filter set [find action=fasttrack-connection] packet-mark=no-mark connection-mark=no-mark

/ip/firewall/address-list/ add address=10.0.0.0/8 list=local
#указываем адреса локальных подсетей
/ip/firewall/address-list/ add address=172.16.0.0/12 list=local
/ip/firewall/address-list/ add address=192.168.0.0/16 list=local

/ip firewall nat add action=redirect chain=dstnat dst-address-list=!local dst-port=53,1253,5353 in-interface-list=LAN protocol=udp
/ip firewall nat add action=redirect chain=dstnat dst-address-list=!local dst-port=53,1253,5353 in-interface-list=LAN protocol=tcp

:delay 20s
#задержка на 20 секунд перед стартом, чтобы успел контейнер скачаться и развернуться

/container start [find interface=BYEDPI-TUN]
#запускаем byedpi и можно проверять как открываются сайты из списка выше

для настройки обхода с discord:
1. на компе в powershell от админа (работать будет только на Windows, глючнекс и макака с ведроидом требуют аналогичной маркировки трафика, а без нее только статичный контент)
New-NetQosPolicy -name "discord" -NetworkProfile All -DSCPAction 34 -AppPathName discord.exe -IPProtocol Both
2. добавить маркировку на роутере и правило поднять выше ранее созданных в Mangle
/ip firewall mangle add action=mark-connection chain=prerouting comment="34 - to_dpi" connection-mark=no-mark dscp=34 in-interface-list=LAN new-connection-mark=to_dpi