* Vì không rõ bác nói rõ là cast đường nào, nên em cứ coi là không phải kiểu điện thoại và thiết bị smart TV cùng đang login vào một tài khoản YouTube, và dùng điện thoại điều khiển qua tài khoản nhé. Vì nếu vậy thì bác login tài khoản YouTube khác trên TV đi đã.
* Với cũng không phải là dùng wireless display qua Wi-Fi Direct. Nếu là cái này thì bác tắt hỗ trợ Wi-Fi Direct trên TV đi ạ. Nếu buộc cần dùng Wi-Fi Direct với các thiết bị khác thì bác chuyển tới phần block toàn bộ YouTube trên điện thoại bên dưới.
* Tóm lại là bác dùng biện pháp cast mà yêu cầu các thiết bị và TV nằm cùng trong LAN, kiểu Google Cast/AirPlay/Content Cast, và bác không muốn tắt toàn bộ tính năng cast này trên thiết lập của TV (vì có thiết bị cần dùng nó), hoặc do TV không cho tắt (thí dụ TV của em nó chỉ cho tắt AirPlay, không tắt được Google Cast). Còn nếu TV cho tắt và bác không cần dùng tính năng này trên thiết bị nào thì tắt luôn trên TV cho nhanh và gọn nhẹ -> done.
Hiệu quả nhất là bác tách được các thiết bị muốn chặn khỏi smart TV (và các thiết bị được quyền truy cập vào TV).
- Biện pháp đơn giản có thể thử là xem cái đống access point của bác nó có cho thiết lập guest SSID/Network không. Nếu có thì bật lên cho các thiết bị cần chặn vào đó. Các access point ở chế độ này thường sẽ chặn broadcast cũng như các packet có địa chỉ đích trong subnet của mạng LAN mà không phải địa chỉ của router -> done.
- Nếu AP không có cấu hình guest, nhưng lại cho phép tạo nhiều SSID ứng với các VLAN khác nhau, thường là với các dòng access point dính đến business kiểu Aruba, UniFi, TP-Link EAP, v.v... thì bác thiết lập VLAN riêng biệt trên router MikroTik, thêm rule firewall chặn từ VLAN này sang LAN chính, thiết lập SSID sử dụng VLAN này trên AP, cho thiết bị cần chặn vào -> done.
- Nếu AP không có mạng Guest lẫn hỗ trợ VLAN, mà bác có dư vài trăm K và vị trị router/đường dây thuận tiện, thì bác có thể xét phương án mua thêm 1 AP rẻ tiền về, cắm vào 1 cổng của router đã thiết lập là access port của 1 VLAN riêng (được chặn bằng firewall như ở trên). AP rẻ tiền này sẽ phát sóng cho cái VLAN guest mà bác tạo kia, và bác cho các thiết bị cần chặn dùng nó.
* Nếu tất cả các biện pháp trên đều không khả thi với bác, tức là bác không thể ngăn các thiết bị cần chặn nằm trong cùng mạng LAN với TV và nói chuyện trực tiếp được với TV, thì đành phải dùng giải pháp chắp vá là block hẳn YouTube trên các thiết bị này. Nói chung giải pháp này sẽ không đảm bảo hoạt động 100% vì nhiều lý do. Trên router bác sẽ chọn, hoặc là có danh sách các thiết bị được vào YouTube (bác cho vào address list YTDevices chẳng hạn), hoặc là có danh sách các thiết bị không được vào YouTube (bác cho vào list NoYTDevices như thí dụ bác post ở trên). Rồi sau đó tùy bác chọn whitelist hay blacklist mà trong các rules sẽ sử dụng
src-address-list=
xxx hay
src-address-list=
!xxx nhé.
Về vấn đền nhận dạng kết nối đến các site nhất định để block hay chuyển hướng chúng sang đường WAN khác em cũng có đề cập đến mấy ngày trước:
CGGX_ANNX Bác cho em hỏi có cách nào để setup khi mình truy cập vào web nào thì sẽ đi theo đường wan hay vpn không bác. Như kiểu vô facebook.com thì nó tự động chuyển sang đi qua line wireguard á bác Cái vấn đề này thực ra trong topic này các bác đã post nhiều lần rồi, hình như trong trang đầu...
voz.vn
Ở đó em có nói lý do vì sao nó không hiệu quả 100% (do DoH, DoT, ECH, HTTP/3, YouTube có sử dụng HTTP/3 ạ). Bài đó nói về việc đưa kết nối qua đường VPN nhưng bản chất vẫn vậy thôi ạ, khi có cái address list chứa các servers của YouTube thì bác drop forward với điều kiện
dst-address-list=YT src-address-list=NoYTDevices (hoặc
src-address-list=!YTDevices nếu là whitelist).
Ứng với các mục ở post đó thì giải pháp của bác
@wuhoatu ở post
thảo luận - Cộng đồng người dùng MikroTik Router (https://voz.vn/t/cong-dong-nguoi-dung-mikrotik-router.50804/post-31126653) là sử dụng danh sách các dải địa chỉ biết trước của YouTube cũng như thêm một số rule để lọc bằng cách đọc SNI lúc bắt đầu kết nối TLS. Ở post trước em có đề cập nếu áp dụng bác phải chú ý cập nhật danh sách dải IP thường xuyên cho nó up to date. Với vì YouTube giờ dùng HTTP/3 nên các lọc theo
tls-host=xxx sẽ mất tác dụng nếu client sử dụng HTTP/3. Nếu danh sách địa chỉ IP cập nhật kịp thời và chính xác thì cách này sẽ hoạt động cả khi client sử dụng DNS qua DoH và DoT. Nếu có dùng IPv6 thì bác phải kiếm thêm danh sách server IPv6 hoặc tắt IPv6 nữa mới block được hết.
Giải pháp ở cái hình bác post ở trên là theo dõi các kết nối UDP và TCP tới cổng 53 (tức là theo dõi các kết nối query DNS không mã hóa, không DoT hay DoH) rồi nếu các query chứa các cụm từ như ở dòng thứ 2 thì chặn luôn. Nói cách khác là giải pháp đó block trả lời khi các thiết bị thuộc danh sách NoTYDevices thử tìm địa chỉ cho các tên miền chứa các cụm từ kia, như vậy nó cũng sẽ chỉ hoạt động nếu thiết bị client không sử dụng DoH và DoT bác nhé. Ngoài ra cái rule filter Layer 7 nó đọc đến 10 packets/2KB để xem có cụm từ nào trong các cụm liệt xuất hiện không, nên chưa hẳn đã đúng chính xác là cái domain cần chặn nhé bác. Thí dụ domain howtoblockyoutube.net cũng sẽ bị dính. Scan Layer 7 cũng khá ngốn CPU, tuy nhiên ở đây thì đã giới hạn cổng đích TCP/UDP 53 và src-address-list nên không bị ảnh hưởng đến tốc độ.
Nếu bác muốn chặn dynamic theo domain chính xác thì em vẫn thiên về việc add các domain vào list DNS static với FWD như ở post trước em viết hơn. Và thêm 2 rule srcnat action=redirect để ép các thiết bị sử dụng router làm DNS server. Tất nhiên cái này bó tay với DoH và DoT.