Может по лайер7 овпн выцепить? Или вообще по контенту?

Может по лайер7 овпн выцепить? Или вообще по контенту?

не выцепишь. оно может быть udp и tcp, можно менять сигнатуры

https://habrahabr.ru/post/216295/

вариант но надо тестить

Разрешаем 80, 443 и что там ещё вам надо. Блочим все остальное. Дхцп работать будет хоть ты весь тсп/юдп заблокируй. /thread

Выше комрад написал, что овпн можно и по 80 пустить

Проморгал. Сорян

Поетому только шмелинком в голову....... можно ещё поставить 2011uias2hnd и нанизать на антенны уши.... на дисплее надпись - он делал ovpn

Не пишутся там надписи

На самом деле можно заморочится и даже vpn over icmp заделать. Устанешь ловить.

Написать.... кровью.......

а нету ли в пакете ovpn чего-то специфичного - который связь устанавливает. Чтобы его по l7 выловить?

Там нету обращения по протоколу http(s) например

Имхо

пакетик бы такой в вайршарк отправить и рассмотреть

Вот и ловить надо если хттп по 80 пусть смотрит, если не хттп пусть ему шмлинк на голову падает

Написать.... кровью.......

Хорошо что ты не злой...

<offtop> Парни, я состарился. У сына первый утренние в садике. С почином меня. Или типа того </offtop>

<offtop> Парни, я состарился. У сына первый утренние в садике. С почином меня. Или типа того </offtop>

👍🏼

👏🏻

🤡

Доброе утро, знатоки! Подскажите, можно ли в скрипте команде find задать дистанс с опр-м адресом и комментарий для данногоадреса, т.е. 2 параметра find - например /ip route set gateway=x.x.x.1 [find dst-address=0.0.0.0/0, find comment="One"];

Доброе утро, знатоки! Подскажите, можно ли в скрипте команде find задать дистанс с опр-м адресом и комментарий для данногоадреса, т.е. 2 параметра find - например /ip route set gateway=x.x.x.1 [find dst-address=0.0.0.0/0, find comment="One"];

/ip route set gateway=x.x.x.1 [find dst-address=0.0.0.0/0 comment="One"]

Спасибо! Заработало!

Доброе утро! вопрос наверное банален, но все же спрошу

експортирую конфиг с одного микротика на другой

вылетают ошибки синтаксиса

не подскажите, что может быть?

железки идентичные разница только в версиях по

конфиг правился в note++ кодировки пробывал разнае результат один и тот же

Имена интерфейсов совпадают?

lf

да

он ругается не на имена

железки идентичные разница только в версиях по

Проблема тут

Разница в версии прошивки

Кстати, по капсману был вопрос от @pictikru : на самом капсмане можно выставить require peer certificate, и тогда новые интерфейсы приниматься не будут. Если не хочется заморачиваться с сертификатами – можно вручную отпровижить точки по макам

Разница в версии прошивки

Я и говорю: проблема тут. Между одинаковыми версиями конфиг нормально перекидывается

Нужно смотреть, где именно ругается. Бывает ругань из-за разных установленных пакетов (например, на одном роутере ipv6 включен, а на другом – нет)

export verbose

както так

import т.е.

import verbose=yes

OpenVPN заблочить можно ! Блокируйте порты для начала, большинство провайдеров их не меняет, затем IP адреса к которым он подключается, все DynamicDNS, кроме CDN, соберите базу IP злоумышленником, а остальные можно со временем выловить используя тот же mipko

Netflow покажет, кто где с…качивал

OpenVPN заблочить можно ! Блокируйте порты для начала, большинство провайдеров их не меняет, затем IP адреса к которым он подключается, все DynamicDNS, кроме CDN, соберите базу IP злоумышленником, а остальные можно со временем выловить используя тот же mipko

проблема в том что человек до своего личного кидал ovpn по нестандартному порту

проблема в том что человек до своего личного кидал ovpn по нестандартному порту

Да какая разница ) ну заблокируй его ip пускай пытается хоть на все портах и протоколах

Внешний естественно !

А не юзера в локалке

вопрос не одного а в принципе блочить OpenVPN

одного да а если 2 появится 3, 4, 5

Только ловить по трафику

вот как его выследить?

Реализаций ovpn много ! По аунтефикации/портам/протоколам и заблочить ovpn врятли кому-то удастся - даже если какую либо разновидность сможете отлавливать в L7 !! есть вероятность что все https сайты менеджеры и мало чего ещё работать так же не будет ! .... либо 99% ovpn все таки будет пролезать

Никак !

В этом его прелесть

Почему упомянул про ddns, так это vpn-gate его использует

вот как его выследить?

Перефразирую ваш вопрос: "Как отличить один сайт от другого по ssl сертификату на роутере ?"

никак

рохн

proxy

только так получается

Фсб не может заблочить ... у нас получится ? Если так то я за !

вот я как раз и интересовался возможно ли как то это и сделать или нет. Я выслушал мнения. И понял что не получится.

Ребята из сорма мне как говорили что блокируют ovpn / socks по IP серверов. Поэтому был уверен что это единственное решение.

Но если кто найдёт другой способ было бы супер супер гуд !

Кстати, по капсману был вопрос от @pictikru : на самом капсмане можно выставить require peer certificate, и тогда новые интерфейсы приниматься не будут. Если не хочется заморачиваться с сертификатами – можно вручную отпровижить точки по макам

Да спасибо, это все реализовано, задал вопрос в sup ...

гыг))) реально гонка вооружений.... одни задаются целью поймать овпн по лайер7... другие задаются целями спрятать овпн от лайер 7 )))))))))))))))

А сстп вообще хрен поймаешь :)

яж говорю... проще шмелинком всё это решить.... берёшь шмелинк и по голове.... по голове................ n раз

яж говорю... проще шмелинком всё это решить.... берёшь шмелинк и по голове.... по голове................ n раз

до такого может дойти если это на удаленном офисе где-то...при чем сила приложения будет зависеть от количества вынужденных приездов :)

приезжать нужно в ожерелье из ушей таких же как он........... чтоб убедительней было

приезжать нужно в ожерелье из ушей таких же как он........... чтоб убедительней было

с красной повязкой на предплечье...значек придумаешь сам :)

вопрос не одного а в принципе блочить OpenVPN

А если в бриджовом фаерволе, по маку..

А если в бриджовом фаерволе, по маку..

Опять же не глобально. Или марать пакеты к нему, с марками пускать куда надо.

https://vk.com/mikrotikrus?w=wall-129481790_146

Состряпал такую Г... add action=drop chain=forward connection-mark=no-mark add action=accept chain=forward connection-state=established,related add action=drop chain=forward connection-state=invalid /ip firewall mangle add action=mark-connection chain=forward dst-address=192.168.80.0/24 \ in-interface=ether1 new-connection-mark=to_b passthrough=yes add action=mark-connection chain=forward new-connection-mark=for_b \ out-interface=ether1 passthrough=yes src-address=192.168.80.0/24 Через впн инет не работает. С компа который поднимает впн сессию ip r default dev ppp0 proto static scope link metric 50 default via 192.168.80.1 dev wlp2s0 proto static metric 600 169.254.0.0/16 dev wlp2s0 scope link metric 1000 172.16.23.1 dev ppp0 proto kernel scope link src 172.16.23.199 metric 50 192.168.80.0/24 dev wlp2s0 proto kernel scope link src 192.168.80.237 metric 600 217.4.3.2 via 192.168.80.1 dev wlp2s0 src 192.168.80.237 Внутри тонеля пинги проходят, до второй стороны. Хз может что-то еще порправить ovpn нет, поднимать лениво...

bukass@bukass-book:~$ ping 172.16.23.1 PING 172.16.23.1 (172.16.23.1) 56(84) bytes of data. 64 bytes from 172.16.23.1: icmp_seq=1 ttl=64 time=3.50 ms 64 bytes from 172.16.23.1: icmp_seq=2 ttl=64 time=2.93 ms ^C —- 172.16.23.1 ping statistics —- 2 packets transmitted, 2 received, 0% packet loss, time 1001ms rtt min/avg/max/mdev = 2.939/3.220/3.502/0.287 ms bukass@bukass-book:~$ ping ya.ru ^C bukass@bukass-book:~$ ping 8.8.8.8 PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data. ^C —- 8.8.8.8 ping statistics —- 2 packets transmitted, 0 received, 100% packet loss, time 1006ms

Фсб не может заблочить ... у нас получится ? Если так то я за !

Ага. сразу появится рабочее место для вас, ребята. Будете в ФСБ работать, товарищу майору помогать!

Кроме OpenVPN есть ещё и socks и ssh и web прокси даже в виде плагинов - если реально ставить цель запретить все - лито отлавливать провайдерские IP, GeoIP других стран и прочее - по принципу нельзя ничего кроме того что можно