Общий вопрос по Policy Base Routing

[denny22]

Всем привет!

Появилась потребность часть интернет трафика ( веб сайты ) открывать через VPN. Ранее для маркировки пакетов я использовал DST address list, в чем собственно и проявлялась боль - список хранится в ip адресах. Дело было во время версии прошивки 6.40.х. у контента ip адреса меняются, и приходилось постоянно проверять и перепроверять этот списочек.

Вопрос(ы):
- при маркировании пакетов в advanced есть поле content. официальный вики, предлагает туда вписывать что-то а-ля "facebook". при этом нет толком объяснения, каким образом работает, микротик смотрит внутрь пакета???
- Ни появилось ли в прошивки микротика чего нового для упрощения такой маршрутизации?
- Возможно есть более правильные способ маршрутизации трафика, что бы маршрутизировал не по IP а по имени сайта? тот же pFsense \ opnSense такое умеют.

- Возможно я не оптимально подошел к решению вопроса с маршрутизацией. если направите на путь истиный и светлый, буду признателен.

Заранее благодарен за ответы!

[Sir_Prikol]

Adress-list поддерживает доменные имена уже туеву кучу релизов

[Chupaka]

Приветствую.

- при маркировании пакетов в advanced есть поле content. официальный вики, предлагает туда вписывать что-то а-ля "facebook". при этом нет толком объяснения, каким образом работает, микротик смотрит внутрь пакета???

Наверное, имеется в виду пользовательская статья в официальной вики (а не раздел "Manual") - там много "нестандартного" может быть. Да, смотрит внутрь пакета. Именно поэтому для маршрутизации TCP не подходит, как и всякие правила Layer 7: в первых трёх пакетах рукопожатия нет никаких "facebook", только IP-адреса и порты. А когда появляется "facebook" - уже поздно перемаршрутизировать, можно только сломать.

- Ни появилось ли в прошивки микротика чего нового для упрощения такой маршрутизации?

Как и написал Sir_Prikol, уже давно появилось.

- Возможно есть более правильные способ маршрутизации трафика, что бы маршрутизировал не по IP а по имени сайта? тот же pFsense \ opnSense такое умеют.

Строго говоря, это в общем случае невозможно Так что можно только подходом с Address-List по домену и убедиться, что клиенты используют роутер в качестве DNS-сервера (чтобы не было такого, что у роутера домен резолвится в один набор IP, а у клиента - в другой).

[denny22]

Adress-list поддерживает доменные имена уже туеву кучу релизов

Вот примерно столько времени я этим и не интересовался, спасибо за хорошую новость!

Приветствую.

- при маркировании пакетов в advanced есть поле content. официальный вики, предлагает туда вписывать что-то а-ля "facebook". при этом нет толком объяснения, каким образом работает, микротик смотрит внутрь пакета???

Наверное, имеется в виду пользовательская статья в официальной вики (а не раздел "Manual") - там много "нестандартного" может быть. Да, смотрит внутрь пакета. Именно поэтому для маршрутизации TCP не подходит, как и всякие правила Layer 7: в первых трёх пакетах рукопожатия нет никаких "facebook", только IP-адреса и порты. А когда появляется "facebook" - уже поздно перемаршрутизировать, можно только сломать.

- Ни появилось ли в прошивки микротика чего нового для упрощения такой маршрутизации?

Как и написал Sir_Prikol, уже давно появилось.

- Возможно есть более правильные способ маршрутизации трафика, что бы маршрутизировал не по IP а по имени сайта? тот же pFsense \ opnSense такое умеют.

Строго говоря, это в общем случае невозможно Так что можно только подходом с Address-List по домену и убедиться, что клиенты используют роутер в качестве DNS-сервера (чтобы не было такого, что у роутера домен резолвится в один набор IP, а у клиента - в другой).

Отдельное спасибо за развернутый ответ про поле content!

спасибо, тему можно закрывать!