Как заблокировать AnyDesk на уровне маршрутизатора?

Question

[okjaeo]

На микротике блокировка TeamViewer, AmmyAdmin, Supremo через регулярное выражение в layer7 и маркировку пакетов работает, а AnyDesk всё равно подключается, хоть сайт и не открывается.
Уже и статические записи DNS для *.net.anydesk.com прописывал, в WireShark на компьютере обнаружил DNS-запросы к api.playanext.com и soflopxl.com, их блокировка тоже не помогает.
Как он обходит ограничения и как его заблокировать?

Answer 1

[Povarinio]

Добрый день, я использовал вот такой варинат {
/ip firewall layer7-protocol
name="anydesk_host" regexp="^.+(anydesk).*\$"
/ip firewall mangle
chain=postrouting action=mark-connection
new-connection-mark=anydesk-conn-mark
passthrough=no layer7-protocol=anydesk_host out-interface-list=WAN log=no
log-prefix=""

chain=prerouting action=mark-routing
new-routing-mark= anydesk-route-mark
passthrough=no connection-mark=anydesk-conn-mart
log=no log-prefix=""
/ip route rule
routing-mark=anydesk-route-mark
action=unreachable

Comments

[erlis]

Ваш метод великолепно работает на RB2011-UiAs-2HnD! Благодарю вас!

Answer 2

[paxlo]

Адреса не нужно блокировать, это глупо т.к. они в любой момент могут поменяться, блокировать нужно хостнеймы целиком со всеми поддоменами. Anydesk блокируется запросто у меня регуляркой что-то типа
"^.*(rl.ammyy.com|www.ammyy.com|anydesk.com|итд).*\$"

И блокировать лучше с предварительными пометками в mangle с обращением на 53 порт tcp/udp - меньше нагрузка, чем проверять все пакеты по L7 прямо в filter. Что ещё важно это залочить использование любых днс кроме IP роутера. Некоторый софт умеет не смотреть в системные DNS а использовать свободные для определения IP нужного хоста.

Comments

[Ziptar]

И блокировать лучше с предварительными пометками в mangle с обращением на 53 порт tcp/udp - меньше нагрузка, чем проверять все пакеты по L7 прямо в filter.

Проще в фильтре выделить запросы на 53-ий порт в отдельную цепочку, и в ней уже проверять l7.

[okjaeo]

Я так и сделал, регулярное выражение и маркировка соединений, потом пакетов на 53 порт.
И все остальные программы отрубились, а anydesk несколько секунд что-то делает и обходит ограничение.
А как лучше заблокировать сторонние днс, какими правилами?

[paxlo]

okjaeo, вот вам пример с моего роутера:

блокировка anydesk. Висит бесконечно в состоянии "Идет соединение с сетью AnyDesk"

/ip firewall layer7-protocol add name=remotes regexp="^.*(anydesk.com).*\$"

/ip firewall mangle
add action=mark-connection chain=prerouting connection-mark=no-mark dst-port=53 layer7-protocol=remotes new-connection-mark=remotes-conn passthrough=yes protocol=udp
add action=mark-packet chain=prerouting connection-mark=remotes-conn new-packet-mark=remotes-packet

/ip firewall filter
add action=reject chain=input packet-mark=remotes-packet reject-with=icmp-host-unreachable place-before=0
add action=reject chain=forward packet-mark=remotes-packet reject-with=icmp-host-unreachable place-before=0

Блокировка сторонних DNS:

/ip firewall address-list add address=<IP роутера> list=allowed-dns
/ip firewall mangle
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-list=!allowed-dns dst-port=53 new-connection-mark=dns-conn passthrough=yes protocol=udp src-address-list=!allowed-dns
add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-list=!allowed-dns dst-port=53 new-connection-mark=dns-conn passthrough=yes protocol=tcp src-address-list=!allowed-dns
add action=mark-packet chain=prerouting connection-mark=dns-conn new-packet-mark=dns-packet

/ip firewall filter
add action=reject chain=input comment="drop other dns" packet-mark=dns-packet reject-with=icmp-host-unreachable place-before=0
add action=reject chain=forward comment="drop other dns" packet-mark=dns-packet reject-with=icmp-host-unreachable place-before=0

Примечание 1: dst-address-list=!allowed-dns и src-address-list=!allowed-dns это для моего частного случая когда DNS серверы находятся внутри локалки но не на роутере.

Примечание 2: L7-rules энидеском не ограничиваются. У меня заблокированы большинство популярных решений включая TW, AmmyAdmin, Supremo итд. Некоторых менее популярные из них действительно используют не только домены но и IP для соединения. В этом случае всё что вам нужно это добавить ещё одно mangle правило вида:

spoiler

add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-list=<СПИСОК ЗАПРЕЩЕННЫХ IP> new-connection-mark=remotes-conn passthrough=yes

Примечание 3: Правила заработают как только вы очистите кеш на роутере (/ip f co rem [f]; /ip dn ca fl) и на клиентах (ipconfig /flushdns)

[CityCat4]

paxlo, Хм... идея интересная, надо посмотреть, как это можно применить у себя, тем более, что сейчас меняем rb2011 на rb4011...

[paxlo]

CityCat4, у клиента это работает на 951 с 40 хостами в сети. Нагрузки почти нет, если грамотно метить и дропать по меткам.

[CityCat4]

paxlo, Я правильно понимаю, что нагрузку создает не создание правила в layer7-protocol, а применение layer7-protocol в правилах (типа вот так:

● /ip firewall filter
add action=drop chain=forward layer7-protocol=facebook
add action=drop chain=forward layer7-protocol=youtube

)?

[paxlo]

CityCat4, Указанные вами правила взяты с мохнатых древних мануалов 10 летней давности и проверяют абсолютно все пакеты на предмет фейсбук/ютуб регулярок. Это и создаёт нагрузку. Дропать нужно только те пакеты которые имеют отношение к соединении до Фейсбука/Ютуба. Как? Ответ - пометить только те соединения, которые обратились к пейсбуку/Ютубу и дропать только их. Нагрузка будет меньше в разы. Это официальная рекомендация микротика по файрволу, которая уже не раз обсуждалась в т.ч. и на Хабре.

[CityCat4]

paxlo, Правильно, я их и привел как пример неправильной реализации, создающей избыточную нагрузку :) Собственно это мне и надо было знать, спасибо

Answer 3

[Роман Кулакович]

Не проще ли заблокировать само приложение через UAC на рабочих станциях? Можно как точечно на конкретном компьютере, так и через групповые политики раскатать на всех

Comments

[okjaeo]

Вопрос был не в этом.

[Евгений Манов]

На linux,unix,android,i0s. Как то не наблюдается форточный uac к тому же глючный.

[Евгений Манов]

okjaeo, /ip firewall filter
add action=drop chain=forward comment=anydesk dst-address-list=anydesk
/ip firewall address-list
add address=relays.net.anydesk.com list=anydesk

[Роман Кулакович]

Евгений Манов,
linux - корректно настраиваем права юзеру
unix - просто так брякнули? или намек на макинтош?
мобилки - для корпоративных устройств делаем MDM, для личных отдельный vlan

Форточный UAC надо уметь готовить, а не страдать херней

[Евгений Манов]

Как не крути его не при готовишь когда у корпоратива софт времен ельцина.

Answer 4

[d-stream]

Корявый вариант: на win компьютере с запущенным anydesk
netstat -a -b -n (ну или netstat -a -b -f для fqdn)
и там видим
[AnyDesk.exe]
TCP 192.168.138.22:6088 52.114.128.74:443 ESTABLISHED

Правда есть большая вероятность что используется больше одного адреса и whois говорит о том что это сетка microsoft(

Comments

[d-stream]

взглянул пристальнее - похоже я строчкой ошибся, вывод с -f пишет relay-85eafb72.net.anydesk.com
скорее всего при блокинге *.net.anydesk.com - он куда-нибудь еще подцепится... и придется еще раз ловить...

[okjaeo]

d-stream, Он явно определяет блокировку и идёт в обход, бывает несколько десятков секунд подключается. Но вот куда и по каким протоколам я не погу понять, опыта не хватает.

[d-stream]

okjaeo, боюсь тут получится нечто в стиле роскомнадзор против телеграмма)

[okjaeo]

d-stream, Хотя бы понять что он делает. Вроде не вирусня и с роскомнадзором не борется, на сайте написано что в firewall разрешать.
TeamViewer вроде в сто раз популярнее, а блокируется тем же методом.

Answer 5

[CityCat4]

Интересно, какая модель микротика. У меня при включении L7 для блокировки TeamViewer rb2011 тут же вставал раком.
teamviewer для таких целей набрал кучу адресов - Вы уверены, что заблокировали их все? :) Он сначала пробует порт, потом начинает перебирать адреса. Я уверен, AnyDesk делает точно так же.
Поставьте клиента на тестовую тачку и сниффите на микротике - вот и будет процесс установки соединения. А потом накидайте скрипт для резолва *.anydesk.com по всему IPv4 пространству - или может уже есть у кого...

Comments

[okjaeo]

hAP ac, поновее, но тоже не монстр. Дома есть rb2011, проверю на днях.
TeamViewer говорит, что нет подключения и предлагает настроить прокси, id и пароля нет. Может мы о разных вещах говорим?
У меня *.anydesk.com и так недоступен, но сам AnyDesk как-то подключается.

[korsar182]

Запись в /ip dns static использует меньше ресурсов.

[okjaeo]

korsar182, Тогда не будет возможности динамидески делать исключения, например разрешить эти программы себе и коллеге.

[CityCat4]

okjaeo, Насколько я помню логику работы TeamViewer - сначала он пробует свой порт на забитый у него гвоздями сервер. Если порт недоступен, он начинает перебирать список серверов, который у него тоже похоже в клиенте вшит. И вот если весь этот список недоступен (а он перебирать его может минут десять) - тогда говорит, что нет подключения. Возможно и anydesk также делает - внутри список серверов и он его перебирает.

Answer 6

[avk013]

обрать адреса от хоста relays.net.anydesk.com
[bash#]host relays.net.anydesk.com
на данный момент их 391 адрес.
https://habr.com/ru/post/514336/

на у дальше скрипто прикрутить к файрволу или blackhole на роутер