[fractal]

Микротик до сих порт не научился маршрутизировать через L7? допустим чтобы через обращение к сайтам facebook / instagram / LinkedIn через mark routing слать в туннель?

[jffulcrum]

Кратко: нет

Развернуто: и не научится. Потому как в TCP SYN нет никакой информации о домене. Она появится только в TLS SNI, а handshake и routing decision на этом этапе уже сделаны. А с HTTP/2 у нас вообще UDP появляется.

[fractal]

8 часов назад, jffulcrum сказал:

Кратко: нет

Развернуто: и не научится. Потому как в TCP SYN нет никакой информации о домене. Она появится только в TLS SNI, а handshake и routing decision на этом этапе уже сделаны. А с HTTP/2 у нас вообще UDP появляется.

Ну ладно, тогда будем юзать прозрачный прокси, списки ip, bgp

[jffulcrum]

В 13.11.2022 в 04:10, fractal сказал:

будем юзать прозрачный прокси, списки ip, bgp

Последнее - самый правильный способ. AS крупняка известны и стабильны.

[weedman]

Сори за интерес, на сколько мне известно, в микротике есть возможность маркировки L7 и соответственно маршрутизации потом

Из ответа jffulcrum я понял, что этому помешает отсутствие информации в первых "контактах" участников соединения, но разве там нет уже информации о адресе отправителя\получателя? Или дело в HTTPS и там просто не видно содержания самой информации?

Изменено 13 ноября, 2022 пользователем weedman

[vvertexx]

@weedman 

смысл https в этом. Пока нет пакета с SNI - узнать получателя нельзя, только его IP. А этот пакетик будет только третьим.

[jffulcrum]

В 13.11.2022 в 13:03, weedman сказал:

в микротике есть возможность маркировки L7 и соответственно маршрутизации потом

Firewall умеет разбирать TLS SNI (атрибут tls-host). Но ввиду озвученных выше соображений, применимо это только для, собственно, firewall. Для маршрутизации надо или домены загонять в address-list, что имеет известные проблемы на больших/нагруженных конфигах, либо BGP

[fractal]

6 часов назад, weedman сказал:

HTTPS

Ага

 

1 час назад, jffulcrum сказал:

tls-host

Кстати такое было вроде во вкладке advanced 

[Saab95]

Вы же можете узнать адреса ресурсов и отправлять в туннель все запросы по этим IP, зачем нужен L7 фильтр?

[fractal]

8 часов назад, Saab95 сказал:

Вы же можете узнать адреса ресурсов и отправлять в туннель все запросы по этим IP, зачем нужен L7 фильтр?

затем что это много удобнее, сделал через cisco wsa + c8000v

[fractal]

В 13.11.2022 в 22:18, jffulcrum сказал:

Firewall умеет разбирать TLS SNI (атрибут tls-host). Но ввиду озвученных выше соображений, применимо это только для, собственно, firewall. Для маршрутизации надо или домены загонять в address-list, что имеет известные проблемы на больших/нагруженных конфигах, либо BGP

Checkpoint это умеет как оказалось и FPR

[ShyLion]

Quote

Checkpoint это умеет как оказалось и FPR

Наверняка там прозрачное проксирование применяется. И есть куча подводных камней.

 

[fractal]

7 часов назад, ShyLion сказал:

прозрачное проксирование

У нас повсеместно wccp с wsa, работает норм, встречали проблемы какие то?