Перейти до

Перенаправление отключенных в Mikrotik на страницу-заглушку


Рекомендованные сообщения

/ip firewall nat

add action=redirect chain=dstnat dst-address=!192.168.0.0/16 dst-port=80 protocol=tcp \

src-address-list=balance_negative to-ports=8123

/ip proxy

set enabled=yes port=8123

 

Таки правила работают но почему то с задержкой 1-2 мин у клиента. Браузер у клиента крутит 1-2 мин потом редиректит на страницу заглушку в прокси.

В чем причина задержки?

Также не работает с портом 443, когда клиент идет по https. Как решить?

Ссылка на сообщение
Поделиться на других сайтах
  В 02.05.2021 в 13:03, vit75 сказав:

/ip firewall nat

add action=redirect chain=dstnat dst-address=!192.168.0.0/16 dst-port=80 protocol=tcp \

src-address-list=balance_negative to-ports=8123

/ip proxy

set enabled=yes port=8123

 

Таки правила работают но почему то с задержкой 1-2 мин у клиента. Браузер у клиента крутит 1-2 мин потом редиректит на страницу заглушку в прокси.

В чем причина задержки?

Также не работает с портом 443, когда клиент идет по https. Как решить?

/ib/mikrotik_2021.03.04.gif
Expand  

У вас абоненты отключается по нат-у? 

Ссылка на сообщение
Поделиться на других сайтах
  В 02.05.2021 в 15:05, Kiano сказав:

с https никак, только через задницу с генерацией сертификата и подстановкой

Expand  

 

Сертификата будет мало... еще потребуется перехватить DNS-запросы клиента и перекинуть на свой "правильный" DNS.

 

С юридической точки зрения, DNS-спуфинг, к которому прибегает тот же Киевстар и другие провайдеры, подпадает под ст. 361 ККУ. Но мы живем в Украине )))

Ссылка на сообщение
Поделиться на других сайтах
  В 02.05.2021 в 18:56, DVSGROUP сказав:

С юридической точки зрения, DNS-спуфинг, к которому прибегает тот же Киевстар и другие провайдеры, подпадает под ст. 361 ККУ. Но мы живем в Украине )))

Expand  

 

С юридической точки зрения и блокировать (цензура) тоже незаконно, но это мало кого волнует. Украина, сэр! :)

Ссылка на сообщение
Поделиться на других сайтах
  В 02.05.2021 в 18:56, DVSGROUP сказав:

 

Сертификата будет мало... еще потребуется перехватить DNS-запросы клиента и перекинуть на свой "правильный" DNS.

 

С юридической точки зрения, DNS-спуфинг, к которому прибегает тот же Киевстар и другие провайдеры, подпадает под ст. 361 ККУ. Но мы живем в Украине )))

Expand  

днсы - да, всё верно.

это возможно лишь если не используется DoH и ему подобное

Ссылка на сообщение
Поделиться на других сайтах
  В 02.05.2021 в 18:56, DVSGROUP сказав:

Сертификата будет мало... еще потребуется перехватить DNS-запросы клиента и перекинуть на свой "правильный" DNS.

Expand  

Зачем это делать если можно просто на уровне пакета поменять дст-адрес??

 

  В 02.05.2021 в 20:34, Kiano сказав:

это возможно лишь если не используется DoH и ему подобное

Expand  

Хм, так если уже свой сертификат прикручен то разве не получится ответить своим фейковым Днс? 

Ссылка на сообщение
Поделиться на других сайтах
  В 03.05.2021 в 04:20, tkapluk сказав:

Зачем это делать если можно просто на уровне пакета поменять дст-адрес??

Expand  

 

В масштабах провайдера это отнимет немало вычислительных ресурсов железа.

 

  В 03.05.2021 в 04:20, tkapluk сказав:

Хм, так если уже свой сертификат прикручен то разве не получится ответить своим фейковым Днс?

Expand  

 

Пользователь может использовать свои DNS (1.1.1.1, 8.8.8.8), а не провайдерские - тогда работать не будет.

 

Например, Куклостар использует разные DNS - если оплачена услуга - нормальные; если не оплачена - используется DNS, который все запросы пересылает на заглушку.

Ссылка на сообщение
Поделиться на других сайтах
  В 03.05.2021 в 06:53, DVSGROUP сказав:

Например, Куклостар использует разные DNS - если оплачена услуга - нормальные; если не оплачена - используется DNS, который все запросы пересылает на заглушку.

Expand  

Есть пример (адрес) таких ДНС?

Ссылка на сообщение
Поделиться на других сайтах
  В 03.05.2021 в 06:53, DVSGROUP сказав:

В масштабах провайдера это отнимет немало вычислительных ресурсов железа.

Expand  

Обычное правило нат, который и так абсолютное большинство используют... да и трафика станет существенно меньше. 

 

  В 03.05.2021 в 06:53, DVSGROUP сказав:

Пользователь может использовать свои DNS (1.1.1.1, 8.8.8.8), а не провайдерские - тогда работать не будет.

Expand  

Опять таки звернуть весь трафик на 53 порт на свой днс сервер. 

Но вопрос был в другом... Если используется DoH то получится ли с помощью кастомного сертификата обмануть приложение и отправить валидный ответ со своего сервера? 

 

Ссылка на сообщение
Поделиться на других сайтах
  В 03.05.2021 в 12:10, vit75 сказав:

Есть пример (адрес) таких ДНС?

Expand  

не платите за услугу - увидите DNS IP )))

 

  В 04.05.2021 в 07:44, tkapluk сказав:

Опять таки звернуть весь трафик на 53 порт на свой днс сервер. 

Expand  

 

1) при желании абонента - уголовно наказуемо

2) в случае отказа вашего DNS или любых атак - сляжет вся сеть

 

Как обмануть современный браузер, если он использует обновляемую базу корневиков?

 

В случае с DoH, хз .... нужен сертификат, выданный корневым центром сертификации.

 

Ссылка на сообщение
Поделиться на других сайтах
  В 04.05.2021 в 19:29, DVSGROUP сказав:

1) при желании абонента - уголовно наказуемо

Expand  

Есть хоть один прецедент? Сомневаюсь, что удастся натянуть сюда хоть какую небудь статью. 

  В 04.05.2021 в 19:29, DVSGROUP сказав:

2) в случае отказа вашего DNS или любых атак - сляжет вся сеть

Expand  

Сляжет вся сеть для неплательщиков? Да и х... с ним ) 

Відредаговано tkapluk
Ссылка на сообщение
Поделиться на других сайтах
  • 3 weeks later...

Попробовал на не большой сети с микротиком.

1. на микротике поднял свой ДНС, который всем хостам присваивает ір 1.2.3.4

2. на 1.2.3.4 свой веб сервер с http и https на 80 и 443 с заглушкой

3. файрвол перенаправляет днс (53) трафик должников на днс микротика

 

В результате http запросы работают, https плюются.

 

Но как такой прикол работает в Киевстара?

 

Ссылка на сообщение
Поделиться на других сайтах

там DPI стоит, который может глянуть и подменить серт при надобности, там даже можно вставлять фреймы с рекламой...

Но там идет довольно жирная борьба, со всякими плюшками в виде encryp SNI, DoH/DoT

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах
  В 04.05.2021 в 07:44, tkapluk сказав:

Если используется DoH то получится ли с помощью кастомного сертификата обмануть приложение и отправить валидный ответ со своего сервера? 

Expand  

нет, браузер проверит валидность серта и сервера. А как ты собрался снифать зпросы внутри TLS сессии?

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах
  В 21.05.2021 в 10:34, Dimkers сказав:

нет, браузер проверит валидность серта и сервера. А как ты собрался снифать зпросы внутри TLS сессии?

Expand  

Так в том и вопрос, можно ли DoH точно также обмануть с помощью прокси + подмена сертификата. 

Ссылка на сообщение
Поделиться на других сайтах
  В 21.05.2021 в 11:09, tkapluk сказав:

Так в том и вопрос, можно ли DoH точно также обмануть с помощью прокси + подмена сертификата. 

Expand  

нет

  • Like 1
  • Thanks 1
Ссылка на сообщение
Поделиться на других сайтах

Вы хотите осуществить, по сути, классическую MitM атаку

Современные браузеры/приложения максимально возможно стараются этого избежать.

Сделайте уведомление по смс или телеге - это у будет Вам решение.

Ссылка на сообщение
Поделиться на других сайтах
  В 21.05.2021 в 14:27, Kiano сказав:

Сделайте уведомление по смс или телеге - это у будет Вам решение.

Expand  

Очень мало людей у нас юзают телегу.

Не понимаю, откуда к ней такое настороженное отношение.

Зато еб...чий вайбер, который глючит и жрет кучу памяти - у каждой бабки и деда есть.

Ссылка на сообщение
Поделиться на других сайтах
  В 21.05.2021 в 10:27, Dimkers сказав:

Но там идет довольно жирная борьба, со всякими плюшками в виде encryp SNI, DoH/DoT

Expand  

DoH на КС ДИ к слову работает через раз...

Ссылка на сообщение
Поделиться на других сайтах
  В 21.05.2021 в 16:38, Туйон сказав:

Очень мало людей у нас юзают телегу.

Не понимаю, откуда к ней такое настороженное отношение.

Зато еб...чий вайбер, который глючит и жрет кучу памяти - у каждой бабки и деда есть.

Expand  

 

Посылайте в вайбер. :)

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Игорь2025
      Требуется ремонт  внешней точки доступа Mikrotik
      Точка доступа RBwAPG-5HacD2HnD
    • Від fitros
      Вітаю всіх!
      Професійно займаюсь ремонтом зварювальних апаратів, сколювачів, обладнання MikroTik та Ubiquiti. Маю великий досвід і ґрунтовні знання в ремонті та обслуговуванні вказаного обладнання. Звертайтесь із запитаннями — завжди радий допомогти!
       
       
    • Від zababaha
      Всем привет.
      В один прекрасный день отвалился MikroTik RB4011GS+RM. При включении загорается индикация питания и всё. 
      Попытки сбросить до заводских настроек, играться с netisntall в надежде перезалить в него прошивку никак не помогли. Поведение не меняется.
      Пробежался по интернетам в попытках найти авторизованный сервис для диагностики и, если живой, то ремонта - не помогли.
      Несколько лет назад покупал его на ntema, позвонил им, но ребята сказали, что негарантийным ремонтом не занимаются.
       
      Подскажите, плиз, кого-нибудь, кто возьмётся за диагностику и ремонт, если он ремонтопригоден? Цацка не копеечная, сразу в утиль отправлять будет грустно.
       
      З.Ы.: За 15 лет дружбы с тиками у меня этот первый, кто взял - и сдох на ровном месте(
    • Від alexeya
      Контроллер TP-Link OC200 - 2700 грн (є 4 штуки)
      Точка доступа TP-Link EAP245 - 2900 грн
      Mimosa C5x - 5000 грн (є 2 штуки)
      Mikrotik Groove A-52HPn - 1500 грн
       
      Mikrotik Groove A-52HPn вживана без POE-адаптера - 990 грн

    • Від GMelик
      Вітання! Наперед вибачаюсь з тупі питання! Але мені потрібна допомога з вирішенням проблеми роботи wifi. Загалом ситуація наступна: є офіс куди заведений інтернет, роль маршрутизатора виконує Mikrotik hap ac2 з вимкненими wifi інтерфейсами до якого через кабель підключено кілька пк підмережа та до нього ж підключена точка доступу Mikrotik cAP ax (з своїм dhcp) до якої і підключається більшість ноутбуків/телефонів та інших пристроїв з підтримкою wifi. Проблема наступна: регулярно відбуваються збої в роботі інтернету на пристроях які підключені до точки доступу, інколи просто вилітає віддалений робочий стіл (підключений через vpn), а інколи техніка переключається з 5г мережі на 2г. Спроби пінгувати точку показують що є регулярні стрибки пінга від 1-2 мс до 400-500-600+ мс (міряв як через cmd так і pingplotter) на різних пк, через netmonitor видно що стрибає якість сигналу від 40 до 70-80 і назад, при тому що телефон не переміщається і знаходиться за 2-3м від точки. 



      Спочатку думав на налаштування точки - перепробував різні частоти, нічого не змінилось. Переміщав точку в різні місця - результату 0. Вмикав wifi інтерфейс на прихідному тіку, картина та ж що і на точці. 
      І на 2г і на 5г ситуація плюс мінус однакова. 

      Допоможіть зрозуміти, що може спричиняти такі збої та головне як з цим боротись?
×
×
  • Створити нове...