Оживляем ресурсы за CloudFlare на Mikrotik

Ruslan · 02.Сентябрь.2025 18:17:03

Перестали открываться сайты за CF, которые РКН ни за что не банил, это можно решить прямо на ролтоне без мам, пап и туннелей. Отключаем модный ECH
/ip firewall filter
add action=drop chain=input comment=ECH_block content=“\00A\00\01” dst-port=53 protocol=udp
add action=drop chain=forward comment=ECH_block content=“\00A\00\01” dst-port=53 protocol=udp
add action=drop chain=output comment=ECH_block content=“\00A\00\01” dst-port=53 protocol=udp
Сбрасываем куки с кешами, сайты начинают открываться.
Радостно(с)
Пример для проверки - lmarena.ai

KRom · 02.Сентябрь.2025 19:20:15

У меня этот сайт и так работает.

Это и все?, судя по всему тут просто блокируется DNS и все, т.е сам микрот тоже не сможет ходить к апстримовским серверам

Ruslan · 02.Сентябрь.2025 19:47:05

Если работает, значит пока не нужно, ТСПУ еще не везде обновили.
Блокируется не DNS, а Encrypted Client Hello. Микрот сможет ходить к апстримам. Если интересно, можете прочесть что это и для чего.

“Внедрение ECH может привести к проблемам с доступом к сайтам, так как РКН (Роскомнадзор) использует анализ SNI для блокировок”

Все действия выше, чтобы не ждать решения со стороны хостера/админа сервиса.

Klaus · 05.Сентябрь.2025 18:01:33

Вы сами эти правила пробовали вставить?

в правилах ошибка, не правильный синтаксис в поле комментарий.
Комментарий ни как не влияет на само правило, а правила гласят что блокировать все запросы на 53 порт, в том числе и от компьютера, тем самым лишив вас DNS

KRom · 05.Сентябрь.2025 19:55:08

Я непробовал, но задал аналогичный вопрос

В моем понимании эти правила сломают DNS в принципе, в том числе самого роутера + ECH работет через TCP же, а мы фильтруем “базовый” UDP трафик

Я не смог нагуглить готовое решение, а gemini в гугле выдает вот такое

Вкладка Advanced (или Extra на старых версиях):

Если доступно, найдите поле, связанное с определением шифрованного трафика или используйте фильтрацию по содержимому пакетов. В большинстве случаев, блокировка ECH требует глубокого анализа пакетов (DPI) или сигнатур, что может быть реализовано через L7-фильтр или NATS (Next-generation Active Traffic Shaping), если они установлены в системе и поддерживают такие функции.

Что l7-фильтр, что NGFW это не про микротик

Пока совет выглядит как вредный

Ruslan · 06.Сентябрь.2025 00:28:42

При копировании “контент” потерялся. Поправил опечатку, спасибо.

Ruslan · 06.Сентябрь.2025 00:37:44

/ip firewall layer7-protocol
add name=ECH regexp=“A\x01$”
/ip firewall filter
add action=drop chain=input comment=ECH_block dst-port=53 layer7-protocol=ECH protocol=udp
add action=drop chain=forward comment=ECH_block dst-port=53 layer7-protocol=ECH protocol=udp
add action=drop chain=output comment=ECH_block dst-port=53 layer7-protocol=ECH protocol=udp

Если так больше нравится