Привет! Кто-нибудь знает, как заблокировать подключение через VPN-программу «psiphon» на сервере Mikrotik? Буду признателен за помощь!
loveman
Guest
0
05.07.2016 12:20:00
Вверх-вверх
Feklar
Guest
0
05.07.2016 14:46:00
Вы хотите заблокировать все VPN для конечных пользователей или только определённые программы? В зависимости от того, что именно вы хотите сделать, будет выбран соответствующий путь. В любом случае потребуется серьёзная подготовка и тестирование с вашей стороны, чтобы убедиться, что всё работает как нужно и не блокирует нужный трафик.
Если речь про все VPN, вы можете отслеживать известные и задокументированные подключения и блокировать такой трафик в цепочке forward. Например, L2TP, GRE, UDP 500, UDP 4500, IPSec и так далее. Также можно настроить политику в сети, при которой разрешены будут только ограниченные протоколы, а всё остальное — блокироваться. В зависимости от типа вашей сети это может быть неприемлемо. Ещё, скорее всего, будет сложно или невозможно заблокировать, например, SSTP, потому что он туннелирует через HTTPS, и для этого нужны данные о VPN-узлах. SSTP специально создан, чтобы обходить файерволы.
Если речь идёт про конкретные программы, вам нужно изучить, как именно они работают и какие протоколы используют. Это самая сложная часть, потому что вы рискуете заблокировать больше трафика, чем хотите, поэтому придётся искать способы сузить область блокировки. Например, выяснить, какой протокол VPN используется — IPSec, SSTP или другой — и блокировать именно его. Можно также попытаться определить IP-адреса сервисов и блокировать связь с ними. В последней версии RC есть возможность создавать правила файервола, которые динамически разрешают доменное имя и блокируют трафик по нему.
В итоге — простого и быстрого решения нет. Нужно чётко понимать, чего вы хотите добиться, какой будет возможный эффект, как работает VPN, а потом уже разбираться, какие правила вы настраиваете и что они делают. Иначе вы рискуете получить настоящий кошмар с поддержкой.
loveman
Guest
0
05.07.2016 15:00:00
Спасибо за ответ. Мне нужно заблокировать программу VPN под названием «psiphon vpn» во всей сети, потому что я заблокировал социальные сети, например Facebook. Но некоторые пользователи компании используют psiphon vpn и могут заходить на сайты соцсетей. Как заблокировать эту программу? Я пытался использовать Torch и заблокировал более 190 IP-адресов программы, но в итоге программа продолжает работать, несмотря на правила.
Feklar
Guest
0
05.07.2016 15:25:00
Быстрый поиск в Google показывает именно эту информацию о данной программе, вы можете использовать её, чтобы изменить текущие настройки вашего файрвола: Похоже, что она использует разные типы VPN, чтобы обходить обнаружение и пролезать мимо ваших правил, а также множество IP-адресов.
Вы так и не уточнили, в какой именно сети вы находитесь, но поскольку вы упомянули социальные сети, предположу, что это корпоративная среда, и вы хотите ввести политику, чтобы сотрудники не посещали нежелательные страницы. Для этого вам нужно сделать пару вещей.
1.) Ясную политику с HR, в которой будут оговорены последствия для тех, кто нарушит эти правила. Это, вообще-то, самый важный момент, потому что пытаться заблокировать всё, что не нравится, — это нескончаемая игра в кошки-мышки. Но если сотрудник знает о правилах и его поймают на нарушении — тогда можно применять дисциплинарные меры.
2.) Ввести сетевую политику, ограничивающую, к чему имеют доступ пользователи. Как я сказал, это будет постоянная игра в кошки-мышки, потому что они найдут способы обходить ограничения. Но у вас может быть что-то вроде такого порядка правил файрвола:
ИСПОЛЬЗУЙТЕ ЭТИ ПРАВИЛА ТОЛЬКО, ЕСЛИ ВЫ ТОЧНО ЗНАЕТЕ, ЧТО ДЕЛАЕТЕ. а) Разрешить связанные и установленные соединения б) Блокировать недействительные соединения в) Разрешить TCP 53, 80, 443 с LAN г) Разрешить UDP 53 с LAN д) Блокировать всё остальное
Такой настрой позволяет пользователям LAN только DNS, HTTP и HTTPS трафик. Я не знаю достаточной информации о вашей ситуации и настройках, чтобы помочь вам с полностью работающей конфигурацией файрвола под ваши нужды. Вам придётся самостоятельно разбираться и чётко определить, что вы хотите разрешить, а что — нет. Всё, что хотите разрешить, просто добавляйте правилом до «блокировать всё остальное».
Но учтите, что подобные настройки вызовут кучу звонков в поддержку и проблем, потому что многие программы перестанут работать, и всем придётся нелегко привыкать к новой системе.
pe1chl
Guest
0
06.07.2016 08:25:00
Он уже задавал этот вопрос в разделе для новичков и получил такой же ответ довольно давно. Но когда ответ его не устраивает, он просто пытается снова… Ещё одна его привычка — писать в темах «Нет ответа» или «Поднимите». С такими людьми лучше не связываться…
triciabellasario
Guest
0
25.08.2016 18:53:00
Я считаю, что очень важно использовать быстрый VPN, который не теряет соединение так легко.
pe1chl
Guest
0
17.03.2017 13:28:00
Его проблема не в том, чтобы найти быстрый VPN, а в том, что он хочет помешать своим пользователям это сделать. Он хочет блокировать определённые сайты, а эти VPN дают его пользователям возможность обойти эти блокировки.
