Jump to content
Калькуляторы

Mikrotik маршрутизация с использованием L7

Reply to this topic

fractal   

fractal
Posted

Микротик до сих порт не научился маршрутизировать через L7? допустим чтобы через обращение к сайтам facebook / instagram / LinkedIn через mark routing слать в туннель?

Share this post

Link to post
Share on other sites

jffulcrum   

jffulcrum
Posted

Кратко: нет

Развернуто: и не научится. Потому как в TCP SYN нет никакой информации о домене. Она появится только в TLS SNI, а handshake и routing decision на этом этапе уже сделаны. А с HTTP/2 у нас вообще UDP появляется.

Share this post

Link to post
Share on other sites

fractal   

fractal
Posted
8 часов назад, jffulcrum сказал:

Кратко: нет

Развернуто: и не научится. Потому как в TCP SYN нет никакой информации о домене. Она появится только в TLS SNI, а handshake и routing decision на этом этапе уже сделаны. А с HTTP/2 у нас вообще UDP появляется.

Ну ладно, тогда будем юзать прозрачный прокси, списки ip, bgp

Share this post

Link to post
Share on other sites

jffulcrum   

jffulcrum
Posted
В 13.11.2022 в 04:10, fractal сказал:

будем юзать прозрачный прокси, списки ip, bgp

Последнее - самый правильный способ. AS крупняка известны и стабильны.

Share this post

Link to post
Share on other sites

weedman   

weedman
Posted (edited)

Сори за интерес, на сколько мне известно, в микротике есть возможность маркировки L7 и соответственно маршрутизации потом

Из ответа jffulcrum я понял, что этому помешает отсутствие информации в первых "контактах" участников соединения, но разве там нет уже информации о адресе отправителя\получателя? Или дело в HTTPS и там просто не видно содержания самой информации?

Edited by weedman

Share this post

Link to post
Share on other sites

vvertexx   

vvertexx
Posted

@weedman 

смысл https в этом. Пока нет пакета с SNI - узнать получателя нельзя, только его IP. А этот пакетик будет только третьим.

Share this post

Link to post
Share on other sites

jffulcrum   

jffulcrum
Posted
В 13.11.2022 в 13:03, weedman сказал:

в микротике есть возможность маркировки L7 и соответственно маршрутизации потом

Firewall умеет разбирать TLS SNI (атрибут tls-host). Но ввиду озвученных выше соображений, применимо это только для, собственно, firewall. Для маршрутизации надо или домены загонять в address-list, что имеет известные проблемы на больших/нагруженных конфигах, либо BGP

Share this post

Link to post
Share on other sites

fractal   

fractal
Posted
8 часов назад, Saab95 сказал:

Вы же можете узнать адреса ресурсов и отправлять в туннель все запросы по этим IP, зачем нужен L7 фильтр?

затем что это много удобнее, сделал через cisco wsa + c8000v

Share this post

Link to post
Share on other sites

fractal   

fractal
Posted
В 13.11.2022 в 22:18, jffulcrum сказал:

Firewall умеет разбирать TLS SNI (атрибут tls-host). Но ввиду озвученных выше соображений, применимо это только для, собственно, firewall. Для маршрутизации надо или домены загонять в address-list, что имеет известные проблемы на больших/нагруженных конфигах, либо BGP

Checkpoint это умеет как оказалось и FPR

Share this post

Link to post
Share on other sites

ShyLion   

ShyLion
Posted
Quote

Checkpoint это умеет как оказалось и FPR

Наверняка там прозрачное проксирование применяется. И есть куча подводных камней.

 

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Mikrotik коммутаторы и маршрутизаторы