fractal Posted November 12, 2022 Posted November 12, 2022 Микротик до сих порт не научился маршрутизировать через L7? допустим чтобы через обращение к сайтам facebook / instagram / LinkedIn через mark routing слать в туннель? Вставить ник Quote
jffulcrum Posted November 12, 2022 Posted November 12, 2022 Кратко: нет Развернуто: и не научится. Потому как в TCP SYN нет никакой информации о домене. Она появится только в TLS SNI, а handshake и routing decision на этом этапе уже сделаны. А с HTTP/2 у нас вообще UDP появляется. Вставить ник Quote
fractal Posted November 13, 2022 Author Posted November 13, 2022 8 часов назад, jffulcrum сказал: Кратко: нет Развернуто: и не научится. Потому как в TCP SYN нет никакой информации о домене. Она появится только в TLS SNI, а handshake и routing decision на этом этапе уже сделаны. А с HTTP/2 у нас вообще UDP появляется. Ну ладно, тогда будем юзать прозрачный прокси, списки ip, bgp Вставить ник Quote
jffulcrum Posted November 13, 2022 Posted November 13, 2022 В 13.11.2022 в 04:10, fractal сказал: будем юзать прозрачный прокси, списки ip, bgp Последнее - самый правильный способ. AS крупняка известны и стабильны. Вставить ник Quote
weedman Posted November 13, 2022 Posted November 13, 2022 (edited) Сори за интерес, на сколько мне известно, в микротике есть возможность маркировки L7 и соответственно маршрутизации потом Из ответа jffulcrum я понял, что этому помешает отсутствие информации в первых "контактах" участников соединения, но разве там нет уже информации о адресе отправителя\получателя? Или дело в HTTPS и там просто не видно содержания самой информации? Edited November 13, 2022 by weedman Вставить ник Quote
vvertexx Posted November 13, 2022 Posted November 13, 2022 @weedman смысл https в этом. Пока нет пакета с SNI - узнать получателя нельзя, только его IP. А этот пакетик будет только третьим. Вставить ник Quote
jffulcrum Posted November 13, 2022 Posted November 13, 2022 В 13.11.2022 в 13:03, weedman сказал: в микротике есть возможность маркировки L7 и соответственно маршрутизации потом Firewall умеет разбирать TLS SNI (атрибут tls-host). Но ввиду озвученных выше соображений, применимо это только для, собственно, firewall. Для маршрутизации надо или домены загонять в address-list, что имеет известные проблемы на больших/нагруженных конфигах, либо BGP Вставить ник Quote
fractal Posted November 13, 2022 Author Posted November 13, 2022 6 часов назад, weedman сказал: HTTPS Ага 1 час назад, jffulcrum сказал: tls-host Кстати такое было вроде во вкладке advanced Вставить ник Quote
Saab95 Posted December 10, 2022 Posted December 10, 2022 Вы же можете узнать адреса ресурсов и отправлять в туннель все запросы по этим IP, зачем нужен L7 фильтр? Вставить ник Quote
fractal Posted December 11, 2022 Author Posted December 11, 2022 8 часов назад, Saab95 сказал: Вы же можете узнать адреса ресурсов и отправлять в туннель все запросы по этим IP, зачем нужен L7 фильтр? затем что это много удобнее, сделал через cisco wsa + c8000v Вставить ник Quote
fractal Posted December 29, 2022 Author Posted December 29, 2022 В 13.11.2022 в 22:18, jffulcrum сказал: Firewall умеет разбирать TLS SNI (атрибут tls-host). Но ввиду озвученных выше соображений, применимо это только для, собственно, firewall. Для маршрутизации надо или домены загонять в address-list, что имеет известные проблемы на больших/нагруженных конфигах, либо BGP Checkpoint это умеет как оказалось и FPR Вставить ник Quote
ShyLion Posted January 1, 2023 Posted January 1, 2023 Quote Checkpoint это умеет как оказалось и FPR Наверняка там прозрачное проксирование применяется. И есть куча подводных камней. Вставить ник Quote
fractal Posted January 1, 2023 Author Posted January 1, 2023 7 часов назад, ShyLion сказал: прозрачное проксирование У нас повсеместно wccp с wsa, работает норм, встречали проблемы какие то? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.