« Rev
@mikrotikclub   219
Fwd »


Oleg
Можно ещё корневые сервера днс
Алексей
тогда совсем всё поляжет :)
Vassiliy
Две белых статики – гре + 2 маршрута
О, спасибо, а где про поднятие gre почитать, чтобы не чушь была?
Moneron 🇷🇺
О, спасибо, а где про поднятие gre почитать, чтобы не чушь была?
С двух сторон прописываете remote-адреса – готово. А потом маршруты через эти туннели
Андрей
Если без ипсека
А зачем без апсека?
Андрей
Это же не секурно... ))
Kartograf
Тогда много трафика не гонять, что бы не загнулся
Kartograf
если там софтварный Ipsec
FoxPDLL
В канале Влада Здольникова прочитайте последние 10 сообщений, там подробно. А я попробую очень кратко для неспециалистов. Случилось то, что должно было случиться: владелец одного из ресурсов, попавших под блокировки, воспользовался очевидной ошибкой в самой системе блокировок, и сделал так, чтобы провайдеры, исполняющие решение РКН о блокировке его ресурса, одновременно блокировали еще кучу сайтов, от "Первого канала" до Телеграма, от наг.ру до "СКБ Контур" (чувак, руки прочь от Наг.Ру и от "СКБ Контур"!). При этом РКНу все говорили много раз и много лет, что в их системе блокировок есть такая дыра и проблема, но РКНу же виднее, они там больно умные. Короче, почитайте Влада: он подробно объясняет, в чем проблема. И, более того, как ее можно усугубить. Потому что есть много свободных доменных имен, которые должны быть подвержены блокировке: покупаешь такой домен, прописываешь ему IP-адрес твоего нелюбимого сайта, и ооопс — многие провайдеры по всей стране начинают блокировать твой нелюбимый сайт.
Пропишите первичным днс 8.8.8.8 и вторичным днс вашего прова. И вы забудете о блокировках в РФ. Ну большей части сайтов.
Sergey
Пропишите первичным днс 8.8.8.8 и вторичным днс вашего прова. И вы забудете о блокировках в РФ. Ну большей части сайтов.
Почти везде так делаю. А там где надо все усугубить использую "безопасные днс яндаха"
Sergey
😄 , не, с госами стараюсь не связываться
Дмитрий
По цпу легче
На сколько легче?
Oleg
Блокировка идет не по имени, а по ip
Oleg
Вот как выглядит список IP-адресов (не полный) dymoff.space, который заблокирован РКН.
Vladimir Kudarev
78 адресов
Дмитрий
Да вот и в прошлый раз говорил что ахтунг с Гугл днс не пройдёт, не вижу вообще проблем с блокировкой ip, юзеры давно уже ставят freegate, если не ошибаюсь и сморят свои фильмы и музыку. Видимо у тех кто получает доступ меняя днс на Гугл - нарушают закон, ибо блокировать нужно по IP, иногда в биллинг это встроено.
Дмитрий
А через юсб активный хаб все норм. Проверено. Говорят, что у рб951 вайфай и юсб на одной шине сидят, поэтому такая беда. Питания не хватает юсб свистку
Поэтому и стал кондеры проверять ) а они ещё лет 5 отработают минимум :)) молодцы Микротик ) не стали на них экономить!
Ivan ٩(̾●̮̮̃̾•̃̾)۶
78 адресов
А п IP блочить это разве тру вей?
Ivan ٩(̾●̮̮̃̾•̃̾)۶
Блокировка идет не по имени, а по ip
Сори, точнее вот так, по IP блочить это тру вей?
Evgenii
Сори, точнее вот так, по IP блочить это тру вей?
Выбора нет, учитывая SSL, остается либо по IP, либо через DNS
Дмитрий
Сори, точнее вот так, по IP блочить это тру вей?
Ну вообще, это единственный способ, ибо домен просто так не разделегируют, а особенно Канадские, Сейшельские, Румынские, Тайвань, Эквадор, Панама, Багамы, и тем белее Швейцарские, и абазы хоть от Путина лично, России хоть Украины положат "в урну"
Ivan ٩(̾●̮̮̃̾•̃̾)۶
А как же DPI?
Evgenii
А как же DPI?
DPI уже давно не работает, так как все используют SSL
Дмитрий
А что dpi?
Ivan ٩(̾●̮̮̃̾•̃̾)۶
DPI уже давно не работает, так как все используют SSL
Странно, вчера заупустили DPI для отдельного клиента и все работает...
Evgenii
Странно, вчера заупустили DPI для отдельного клиента и все работает...
Вероятно ваш DPI перехватывал DNS заросы либо внешний ресурс не использовал HTTPS..
Ivan ٩(̾●̮̮̃̾•̃̾)۶
Есть один общий DPI для всех клиентов, для блокировки заблокированных клиентов, по тех заданию для сбербанка строили 2 SSID с блокировкй отдельных сайтов в разных SSID, в вторник будем запускать в продакшен
Дмитрий
Может дело в том что для такого блокирования нужны шлюзы с поддержкой DPI которые нужно будет везде ставить + анализировать и прочий Геморой ... а смысл когда проще IP заблочить, к тому же как мне кажется даже для защиты от Ddos его не используют
Ivan ٩(̾●̮̮̃̾•̃̾)۶
Вероятно ваш DPI перехватывал DNS заросы либо внешний ресурс не использовал HTTPS..
Да скорее всего он DNS запросы и перехватывает, от sandvine DPI софтварный
Evgenii
Клиент подключится к DNS через VPN, и все сайты будут разблокированы)
Дмитрий
Да как бы они в курсе что там много сайтов, как то у алибабы хостинг взял так ip заболочен оказался )
Ivan ٩(̾●̮̮̃̾•̃̾)۶
Клиент подключится к DNS через VPN, и все сайты будут разблокированы)
Да это понятно, вопрос не в том, блкировка по IP считаю в корне не веной
Ivan ٩(̾●̮̮̃̾•̃̾)۶
сорь, клава говняная, буквы порой не пропечатывает
Evgenii
все равно кроме как через перехват DNS вы сайт не заблокируете, DPI бессилен против SSL, Для DPI остается узкая корпоративная ниша, где на каждый компьютер вы можете установить корневой сертификат своего DPI и терминировать SSL через него)
Ivan ٩(̾●̮̮̃̾•̃̾)۶
Да не, достаточно слабенького микротика, который будет DNS запросы на себя заворачивать и давать нужные IP страницы заглушки)
Вот и я о том же, просто мы же тут не сотрудники роскомнадзора, чтобы блочить сайты по IP, правильный пусть все же ДНС запросы анализировать
Moneron 🇷🇺
На сколько легче?
Stateless-туннели сильно легче, если сравнивать их без ипсека. Если с ним – то разницы нет. Без h/w-acceleration – грусть
Oleg
АХАХАХАХАХА! Павел Нагибин (nag.ru): «Саппорт Ростелеком (nag хостился там, сейчас переехал) подтвердил что мы под блокировкой. По срокам исправления ситуации ничего конкретного не обещали.» Т.е. Ростелеком не может быстро исключить ресурс из блокировок. Причём, ладно Ростелеком, а в случае с провайдерами без административного ресурса это еще и чревато штрафом из-за открывшегося заблокированного ресурса!
Moneron 🇷🇺
Мда…
Владислав
Мда....
Kartograf
Добрый вечер, есть задача сделать переадресацию при вводе любого домена в браузере http\https на другой. Возможно ли организовать это на микротике если он выступает в качестве DHCP сервера? Без Hotspot
Dmitry
В чистую не получится. Мы в локальном DNS прописывали адрес локального HTTP сервера, который уже обрабатывал запросы перенаправленные от роутера
Kartograf
С https тоже как я понимаю сработает?
Dmitry
Да, не важно. Важно то как вы будете подменять сертификат
Kartograf
Вот хотелось бы уточнить как это грамотно сделать
Dmitry
Товарищ майор? :)
Kartograf
не очень админ с гостевым wifi (:
Dmitry
Тогда рассказывате задачу полностью, что нужно получить на выходе. Как перенаправить я рассказал.
Kartograf
Хмм ну суть я вроде изложил. В сути уже реализован hotspot, но не микротиком сам микрот выступает в роли DHCP сервера который стыкуется с IP подсетью hotspot без NAT. Клиент должен подключится на точку и при вводе любого сайта без наличии авторизации по cookie, будет переадресовываться на сайт с формой авторизации
Kartograf
в целом все я смог реализовать на http, но с https естественно проблема
Moneron 🇷🇺
А почему без хотспота? Это как раз его прямая задача
Semyon
Неважно, хотспот или нет. С https - все равно проблема, т.к. Есть hsts.
Semyon
Т.е. Сайты гугла и чндекса - например перенаправляться не будут на страницу авторизации.
Semyon
Т.е. Нужно смириться с этим и сделать упор на captive портал. Что бы на всех телефонах и ноутбуках открывалась ваша авторизационная страничка.
Evgenii
Запрос с неавторизованного мака перенаправляется на страницу авторизации
Evgenii
Обычно точки доступа через какой нибудь vlan заводятся в сеть какого нибудь хотспот провайдера
Kartograf
А почему без хотспота? Это как раз его прямая задача
реализую не я, так бы на хотспоте все было бы гораздо проще
Kartograf
А при чем здесь кука? Хотспот же по мак адресу авторизует.. а куки, они для каждого свйта свои
не, там как то на куках завязано, может и с маком. Не могу точно знать
Дмитрий
Почему бы с 443 на 80 не заворачивать ?
Evgenii
это не сработает, дело не в порте, а в протоколе. Если клиент запрашивает HTTPS соединение, то уже ничего не сделать, даже перенаправив на другой порт..
Evgenii
хотспоты как то во время подключения сами умудряются открывать браузеры клиента на старице авторизации, даже если браузер закрыт.. видимо есть какой то стандарт для этого..
Semyon
Почему бы с 443 на 80 не заворачивать ?
Ну попробуйте. :) Не прокатит. Умные люди не для того придумали https. Перенеправить 443 можно, на свой https 443, и если нет опции hsts то просто ругнется на сертификат но страница откроется.
Semyon
хотспоты как то во время подключения сами умудряются открывать браузеры клиента на старице авторизации, даже если браузер закрыт.. видимо есть какой то стандарт для этого..
Поправочка открываются не браузеры у клиента, а именно каптив портал, очень урезанная версия браузера (раньше так было).
Evgenii
" При первой попытке выхода в Интернет из публичной зоны Captive Portal отображает специальную web-страницу, на которой обычно находятся правила пользования, с которыми нужно ознакомиться перед тем, как будет разрешён доступ в сеть. "
Evgenii
"Каптив портал это такая страница куда вас автоматически перекидывает при подключении к бесплатному Wi-Fi скажем в кафе"
Semyon
Да да
Дмитрий
Да, оказывается браузер срабатывает раньше чем происходит редирект
Semyon
Клиенсткое устройство отрывает веб страницу, но в сильном урезоном браузере - который тоже называют иногда каптивои :)
Semyon
Куда пустите трафик там и будет хостится
Semyon
https://habrahabr.ru/sandbox/79059/
Semyon
Браузер важен, если у вас есть требования по рекламе и дизайну.
« Rev
@mikrotikclub   219
Fwd »