Предельно конкретный вопрос. Отдельно говорю, что вопрос не про то, дерьмо Микротик, или нет. В файерволле в правилах для фильтра и для обработчика пакетов [есть такой параметр](https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter) — `tls-host`, в котором даже «звёздочку на месте чего угодно» разрешается поставить. Возможность сечь SNI — это типа на самом деле очень круто, особенно учитывая то, что **полноценных** динамических Address List, в которые айпишники добавлялись бы по маске или по регулярному выражению, как не было, так и нету. Ещё этот самый `tls-host` скромно сказано, что, если TLS хендшейк фрагментирован, оно работать не будет. Лично у меня на роутере (RouterOS 6.41.2) ситуация была такова, что **оно ни разу не распознало ни одного хоста, ни с маской, ни в фиксированном виде**. Залез [на форум](https://forum.mikrotik.com/viewtopic.php?t=128950), там написано, что в 6.41 оно не работает, а в 6.42 RC сколько-то — работает. Ладно, прошил ему RC. Что-то изменилось? Ни хрена. Есть на Бнваче кто-нибудь с Микротиком, у кого это заработало?