fractal Опубликовано 12 ноября, 2022 · Жалоба Микротик до сих порт не научился маршрутизировать через L7? допустим чтобы через обращение к сайтам facebook / instagram / LinkedIn через mark routing слать в туннель? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 12 ноября, 2022 · Жалоба Кратко: нет Развернуто: и не научится. Потому как в TCP SYN нет никакой информации о домене. Она появится только в TLS SNI, а handshake и routing decision на этом этапе уже сделаны. А с HTTP/2 у нас вообще UDP появляется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 13 ноября, 2022 · Жалоба 8 часов назад, jffulcrum сказал: Кратко: нет Развернуто: и не научится. Потому как в TCP SYN нет никакой информации о домене. Она появится только в TLS SNI, а handshake и routing decision на этом этапе уже сделаны. А с HTTP/2 у нас вообще UDP появляется. Ну ладно, тогда будем юзать прозрачный прокси, списки ip, bgp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 13 ноября, 2022 · Жалоба В 13.11.2022 в 04:10, fractal сказал: будем юзать прозрачный прокси, списки ip, bgp Последнее - самый правильный способ. AS крупняка известны и стабильны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
weedman Опубликовано 13 ноября, 2022 (изменено) · Жалоба Сори за интерес, на сколько мне известно, в микротике есть возможность маркировки L7 и соответственно маршрутизации потом Из ответа jffulcrum я понял, что этому помешает отсутствие информации в первых "контактах" участников соединения, но разве там нет уже информации о адресе отправителя\получателя? Или дело в HTTPS и там просто не видно содержания самой информации? Изменено 13 ноября, 2022 пользователем weedman Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 13 ноября, 2022 · Жалоба @weedman смысл https в этом. Пока нет пакета с SNI - узнать получателя нельзя, только его IP. А этот пакетик будет только третьим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 13 ноября, 2022 · Жалоба В 13.11.2022 в 13:03, weedman сказал: в микротике есть возможность маркировки L7 и соответственно маршрутизации потом Firewall умеет разбирать TLS SNI (атрибут tls-host). Но ввиду озвученных выше соображений, применимо это только для, собственно, firewall. Для маршрутизации надо или домены загонять в address-list, что имеет известные проблемы на больших/нагруженных конфигах, либо BGP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 13 ноября, 2022 · Жалоба 6 часов назад, weedman сказал: HTTPS Ага 1 час назад, jffulcrum сказал: tls-host Кстати такое было вроде во вкладке advanced Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 10 декабря, 2022 · Жалоба Вы же можете узнать адреса ресурсов и отправлять в туннель все запросы по этим IP, зачем нужен L7 фильтр? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 11 декабря, 2022 · Жалоба 8 часов назад, Saab95 сказал: Вы же можете узнать адреса ресурсов и отправлять в туннель все запросы по этим IP, зачем нужен L7 фильтр? затем что это много удобнее, сделал через cisco wsa + c8000v Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 29 декабря, 2022 · Жалоба В 13.11.2022 в 22:18, jffulcrum сказал: Firewall умеет разбирать TLS SNI (атрибут tls-host). Но ввиду озвученных выше соображений, применимо это только для, собственно, firewall. Для маршрутизации надо или домены загонять в address-list, что имеет известные проблемы на больших/нагруженных конфигах, либо BGP Checkpoint это умеет как оказалось и FPR Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 1 января, 2023 · Жалоба Quote Checkpoint это умеет как оказалось и FPR Наверняка там прозрачное проксирование применяется. И есть куча подводных камней. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fractal Опубликовано 1 января, 2023 · Жалоба 7 часов назад, ShyLion сказал: прозрачное проксирование У нас повсеместно wccp с wsa, работает норм, встречали проблемы какие то? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...