Общий вопрос по Policy Base Routing

RIP, OSFP, BGP, MPLS/VPLS
denny22
Сообщения: 2
Зарегистрирован: 23 апр 2020, 09:27

Общий вопрос по Policy Base Routing

Сообщение denny22 »

Всем привет!

Появилась потребность часть интернет трафика ( веб сайты ) открывать через VPN. Ранее для маркировки пакетов я использовал DST address list, в чем собственно и проявлялась боль - список хранится в ip адресах. Дело было во время версии прошивки 6.40.х. у контента ip адреса меняются, и приходилось постоянно проверять и перепроверять этот списочек.

Вопрос(ы):
- при маркировании пакетов в advanced есть поле content. официальный вики, предлагает туда вписывать что-то а-ля "facebook". при этом нет толком объяснения, каким образом работает, микротик смотрит внутрь пакета???
- Ни появилось ли в прошивки микротика чего нового для упрощения такой маршрутизации?
- Возможно есть более правильные способ маршрутизации трафика, что бы маршрутизировал не по IP а по имени сайта? тот же pFsense \ opnSense такое умеют.

- Возможно я не оптимально подошел к решению вопроса с маршрутизацией. если направите на путь истиный и светлый, буду признателен.

Заранее благодарен за ответы!

Аватара пользователя
Sir_Prikol
Сообщения: 330
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР

Re: Общий вопрос по Policy Base Routing

Сообщение Sir_Prikol »

Adress-list поддерживает доменные имена уже туеву кучу релизов
Дома: RB4011 (6-ISP(GPON)белый IP)

Аватара пользователя
Chupaka
Сообщения: 2657
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Общий вопрос по Policy Base Routing

Сообщение Chupaka »

Приветствую.
denny22 писал(а):
23 апр 2020, 09:50
- при маркировании пакетов в advanced есть поле content. официальный вики, предлагает туда вписывать что-то а-ля "facebook". при этом нет толком объяснения, каким образом работает, микротик смотрит внутрь пакета???
Наверное, имеется в виду пользовательская статья в официальной вики (а не раздел "Manual") - там много "нестандартного" может быть. Да, смотрит внутрь пакета. Именно поэтому для маршрутизации TCP не подходит, как и всякие правила Layer 7: в первых трёх пакетах рукопожатия нет никаких "facebook", только IP-адреса и порты. А когда появляется "facebook" - уже поздно перемаршрутизировать, можно только сломать.
denny22 писал(а):
23 апр 2020, 09:50
- Ни появилось ли в прошивки микротика чего нового для упрощения такой маршрутизации?
Как и написал Sir_Prikol, уже давно появилось.
denny22 писал(а):
23 апр 2020, 09:50
- Возможно есть более правильные способ маршрутизации трафика, что бы маршрутизировал не по IP а по имени сайта? тот же pFsense \ opnSense такое умеют.
Строго говоря, это в общем случае невозможно :) Так что можно только подходом с Address-List по домену и убедиться, что клиенты используют роутер в качестве DNS-сервера (чтобы не было такого, что у роутера домен резолвится в один набор IP, а у клиента - в другой).

denny22
Сообщения: 2
Зарегистрирован: 23 апр 2020, 09:27

Re: Общий вопрос по Policy Base Routing

Сообщение denny22 »

Adress-list поддерживает доменные имена уже туеву кучу релизов
Вот примерно столько времени я этим и не интересовался, спасибо за хорошую новость!
Chupaka писал(а):
23 апр 2020, 19:19
Приветствую.
denny22 писал(а):
23 апр 2020, 09:50
- при маркировании пакетов в advanced есть поле content. официальный вики, предлагает туда вписывать что-то а-ля "facebook". при этом нет толком объяснения, каким образом работает, микротик смотрит внутрь пакета???
Наверное, имеется в виду пользовательская статья в официальной вики (а не раздел "Manual") - там много "нестандартного" может быть. Да, смотрит внутрь пакета. Именно поэтому для маршрутизации TCP не подходит, как и всякие правила Layer 7: в первых трёх пакетах рукопожатия нет никаких "facebook", только IP-адреса и порты. А когда появляется "facebook" - уже поздно перемаршрутизировать, можно только сломать.
denny22 писал(а):
23 апр 2020, 09:50
- Ни появилось ли в прошивки микротика чего нового для упрощения такой маршрутизации?
Как и написал Sir_Prikol, уже давно появилось.
denny22 писал(а):
23 апр 2020, 09:50
- Возможно есть более правильные способ маршрутизации трафика, что бы маршрутизировал не по IP а по имени сайта? тот же pFsense \ opnSense такое умеют.
Строго говоря, это в общем случае невозможно :) Так что можно только подходом с Address-List по домену и убедиться, что клиенты используют роутер в качестве DNS-сервера (чтобы не было такого, что у роутера домен резолвится в один набор IP, а у клиента - в другой).
Отдельное спасибо за развернутый ответ про поле content!

спасибо, тему можно закрывать!