Jump to content

Перенаправление отключенных в Mikrotik на страницу-заглушку


Recommended Posts

/ip firewall nat

add action=redirect chain=dstnat dst-address=!192.168.0.0/16 dst-port=80 protocol=tcp \

src-address-list=balance_negative to-ports=8123

/ip proxy

set enabled=yes port=8123

 

Таки правила работают но почему то с задержкой 1-2 мин у клиента. Браузер у клиента крутит 1-2 мин потом редиректит на страницу заглушку в прокси.

В чем причина задержки?

Также не работает с портом 443, когда клиент идет по https. Как решить?

Link to post
Share on other sites
5 часов назад, vit75 сказал:

/ip firewall nat

add action=redirect chain=dstnat dst-address=!192.168.0.0/16 dst-port=80 protocol=tcp \

src-address-list=balance_negative to-ports=8123

/ip proxy

set enabled=yes port=8123

 

Таки правила работают но почему то с задержкой 1-2 мин у клиента. Браузер у клиента крутит 1-2 мин потом редиректит на страницу заглушку в прокси.

В чем причина задержки?

Также не работает с портом 443, когда клиент идет по https. Как решить?

/ib/mikrotik_2021.03.04.gif

У вас абоненты отключается по нат-у? 

Link to post
Share on other sites
3 часа назад, Kiano сказал:

с https никак, только через задницу с генерацией сертификата и подстановкой

 

Сертификата будет мало... еще потребуется перехватить DNS-запросы клиента и перекинуть на свой "правильный" DNS.

 

С юридической точки зрения, DNS-спуфинг, к которому прибегает тот же Киевстар и другие провайдеры, подпадает под ст. 361 ККУ. Но мы живем в Украине )))

Link to post
Share on other sites
26 minutes ago, DVSGROUP said:

С юридической точки зрения, DNS-спуфинг, к которому прибегает тот же Киевстар и другие провайдеры, подпадает под ст. 361 ККУ. Но мы живем в Украине )))

 

С юридической точки зрения и блокировать (цензура) тоже незаконно, но это мало кого волнует. Украина, сэр! :)

Link to post
Share on other sites
1 час назад, DVSGROUP сказал:

 

Сертификата будет мало... еще потребуется перехватить DNS-запросы клиента и перекинуть на свой "правильный" DNS.

 

С юридической точки зрения, DNS-спуфинг, к которому прибегает тот же Киевстар и другие провайдеры, подпадает под ст. 361 ККУ. Но мы живем в Украине )))

днсы - да, всё верно.

это возможно лишь если не используется DoH и ему подобное

Link to post
Share on other sites
9 часов назад, DVSGROUP сказал:

Сертификата будет мало... еще потребуется перехватить DNS-запросы клиента и перекинуть на свой "правильный" DNS.

Зачем это делать если можно просто на уровне пакета поменять дст-адрес??

 

7 часов назад, Kiano сказал:

это возможно лишь если не используется DoH и ему подобное

Хм, так если уже свой сертификат прикручен то разве не получится ответить своим фейковым Днс? 

Link to post
Share on other sites
2 часа назад, tkapluk сказал:

Зачем это делать если можно просто на уровне пакета поменять дст-адрес??

 

В масштабах провайдера это отнимет немало вычислительных ресурсов железа.

 

2 часа назад, tkapluk сказал:

Хм, так если уже свой сертификат прикручен то разве не получится ответить своим фейковым Днс?

 

Пользователь может использовать свои DNS (1.1.1.1, 8.8.8.8), а не провайдерские - тогда работать не будет.

 

Например, Куклостар использует разные DNS - если оплачена услуга - нормальные; если не оплачена - используется DNS, который все запросы пересылает на заглушку.

Link to post
Share on other sites
5 часов назад, DVSGROUP сказал:

Например, Куклостар использует разные DNS - если оплачена услуга - нормальные; если не оплачена - используется DNS, который все запросы пересылает на заглушку.

Есть пример (адрес) таких ДНС?

Link to post
Share on other sites
В 03.05.2021 в 09:53, DVSGROUP сказал:

В масштабах провайдера это отнимет немало вычислительных ресурсов железа.

Обычное правило нат, который и так абсолютное большинство используют... да и трафика станет существенно меньше. 

 

В 03.05.2021 в 09:53, DVSGROUP сказал:

Пользователь может использовать свои DNS (1.1.1.1, 8.8.8.8), а не провайдерские - тогда работать не будет.

Опять таки звернуть весь трафик на 53 порт на свой днс сервер. 

Но вопрос был в другом... Если используется DoH то получится ли с помощью кастомного сертификата обмануть приложение и отправить валидный ответ со своего сервера? 

 

Link to post
Share on other sites
В 03.05.2021 в 15:10, vit75 сказал:

Есть пример (адрес) таких ДНС?

не платите за услугу - увидите DNS IP )))

 

11 часов назад, tkapluk сказал:

Опять таки звернуть весь трафик на 53 порт на свой днс сервер. 

 

1) при желании абонента - уголовно наказуемо

2) в случае отказа вашего DNS или любых атак - сляжет вся сеть

 

Как обмануть современный браузер, если он использует обновляемую базу корневиков?

 

В случае с DoH, хз .... нужен сертификат, выданный корневым центром сертификации.

 

Link to post
Share on other sites
12 часов назад, DVSGROUP сказал:

1) при желании абонента - уголовно наказуемо

Есть хоть один прецедент? Сомневаюсь, что удастся натянуть сюда хоть какую небудь статью. 

12 часов назад, DVSGROUP сказал:

2) в случае отказа вашего DNS или любых атак - сляжет вся сеть

Сляжет вся сеть для неплательщиков? Да и х... с ним ) 

Edited by tkapluk
Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By FOP_Osypenko
      Маємо VPS сервер на Debian 10 і модем MikroTik LHG LTE6. Задача наступна: налаштувати інтернет через VPN тунель.
       
      На сервер Debian 10 встановив і налаштував WireGuard скриптом: https://github.com/angristan/wireguard-install
      Цим же скриптом згенерував файл налаштувань для клієнта wg0-client-mikrotik.conf:
      [Interface] PrivateKey = yBen7Arcy/jRqB3zqJiPn88IHPCoHYRmRW3wT97D2F0= Address = 10.66.66.2/32,fd42:42:42::2/128 DNS = 94.140.14.14,94.140.15.15 [Peer] PublicKey = 004DOgL44aNB5tWmyoifjiGmi0qBIHdp3Og21EdjUV0= PresharedKey = P8nLh48thuDSvNMJ7XPqMknWp4hpfxE4RUIuf5UBGqQ= Endpoint = 145.239.95.214:53849 AllowedIPs = 0.0.0.0/0,::/0  
      Прошивку на Mikrotik оновив до версії 7.1beta5. В цій версії вже вбудована підтримка WireGuarg.
      В головному меню WinBox обираю пункт WireGuard і відкривається таке вікно:

       
      Створюю новий інтерфейс wiregoard1 з типовими параметрами. Змін ніяких не вношу.

       
      Далі переходжу на вкладку Peers і там створюю новий тунель. Вписую параметри з клієнтського файлу конфігурації.

       
      Далі відкриваю вікно Address List і додаю адресу. Параметри знову беру з клієнтського файлу конфігурації.

       
      Після цих налаштувань нічого не змінюється й інтернет через VPN тунель не йде. Можливо щось не так налаштовую чи не повністю?
    • By vdemon
      Продам абсолютно новый коммутатор CRS354-48G-4S+2Q+RM
      Находится в Киеве. Цена - 11000грн, можно безнал (без НДС)
      о67-4о8-49-6 девять 
    • By eminema_nema
      Всім привіт!
      Є налаштований ubilling+mikrotik+pppoe. Все працювало коли був один NAS Mikrotik, після того як добавив ще один NAS також Mikrotik з'явилась проблема. Коли користувач переходить з стану активний\неактивний чи навпаки в логах мікротіка бачу помилку "could not add address list: already have such entry" хоча дублювання ір-адреси немає.  В статистиці сесій NAS КупаГен помилка - Port-Error. 
      Видалення та створення ідентичного користувача - не дало жодного результату, помилка залишилась.
      В таблиці mlg_reply для користувача дублюються  значення: 'attribute' => 'Framed-IP-Address', 'attribute' => 'Acct-Interim-Interval',  'attribute' => 'Mikrotik-Address-List', 'attribute' => 'Idle-Timeout'.
      Можливо хтось знає як це вирішити, буду вдячний за допомогу.
       
       
    • By Kori
      продам MikroTik CCR1036-8G-2S+
      590$ штука
      в наличии 2шт
       
      viber 0938683542
       
       



    • By Karfax
      Добрый день!
       
      Помогите пожалуйста разобраться как сделать QinQ на CRS-317.
       
      На рисунке схема сети: есть ряд CRS317 в качестве коммутаторов и CCR1072 в качестве маршрутизатора. Задача - из SFP3 порта свича SW2 vlanid 745 обернуть в vlanid 200 и отправить через чужую сеть.
       
      Читал мануалы на вики микротика про Tag stacking - https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Tag_stacking Но там в примере они берут какой-то входящий порт и на него вешают PVID с включенной галочкой Tag stacking, т.е. они оборачивают все входящие вланы с этого порта в влан PVID. Мне же необходимо как-то обернуть только один влан (в перспективе появятся другие вланы).
      VLAN 777 - используется для управления устройствами, проходит через всю сеть тагом, на CRS он создан в /interface vlan и повешан на бридж, в бридже все порты CRSa
      VLAN 745 - это клиентский влан, он также проходит везде тегом, но на CCR на ем висит IP. Этот влан необходимо засунуть в QinQ.
      VLAN 1000 - это, так сказать, влан общий абоненский влан для предоставления интернета. О также проходит везде тегом и терминируется на CCR. Приведен здесь просто "чтобы был", возможно это важно для настройки QinQ.
       
      В SFP3 свича SW2 подключена сторонняя сеть, в которой нам выделен влан 200, с их стороны он отдается нам тагом.
       

×
×
  • Create New...