Как заблокировать AnyDesk на уровне маршрутизатора?

На микротике блокировка TeamViewer, AmmyAdmin, Supremo через регулярное выражение в layer7 и маркировку пакетов работает, а AnyDesk всё равно подключается, хоть сайт и не открывается.
Уже и статические записи DNS для *.net.anydesk.com прописывал, в WireShark на компьютере обнаружил DNS-запросы к api.playanext.com и soflopxl.com, их блокировка тоже не помогает.
Как он обходит ограничения и как его заблокировать?
  • Вопрос задан
  • 2077 просмотров
Пригласить эксперта
Ответы на вопрос 4
@paxlo
Адреса не нужно блокировать, это глупо т.к. они в любой момент могут поменяться, блокировать нужно хостнеймы целиком со всеми поддоменами. Anydesk блокируется запросто у меня регуляркой что-то типа
"^.*(rl.ammyy.com|www.ammyy.com|anydesk.com|итд).*\$"

И блокировать лучше с предварительными пометками в mangle с обращением на 53 порт tcp/udp - меньше нагрузка, чем проверять все пакеты по L7 прямо в filter. Что ещё важно это залочить использование любых днс кроме IP роутера. Некоторый софт умеет не смотреть в системные DNS а использовать свободные для определения IP нужного хоста.
Ответ написан
Wernisag
@Wernisag
Системный администратор Windows
Не проще ли заблокировать само приложение через UAC на рабочих станциях? Можно как точечно на конкретном компьютере, так и через групповые политики раскатать на всех
Ответ написан
@d-stream
Готовые решения - не подаю, но...
Корявый вариант: на win компьютере с запущенным anydesk
netstat -a -b -n (ну или netstat -a -b -f для fqdn)
и там видим
[AnyDesk.exe]
TCP 192.168.138.22:6088 52.114.128.74:443 ESTABLISHED

Правда есть большая вероятность что используется больше одного адреса и whois говорит о том что это сетка microsoft(
Ответ написан
CityCat4
@CityCat4
Если я чешу в затылке - не беда!
Интересно, какая модель микротика. У меня при включении L7 для блокировки TeamViewer rb2011 тут же вставал раком.
teamviewer для таких целей набрал кучу адресов - Вы уверены, что заблокировали их все? :) Он сначала пробует порт, потом начинает перебирать адреса. Я уверен, AnyDesk делает точно так же.
Поставьте клиента на тестовую тачку и сниффите на микротике - вот и будет процесс установки соединения. А потом накидайте скрипт для резолва *.anydesk.com по всему IPv4 пространству - или может уже есть у кого...
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы