Valentin Barbolin

Advanced-> Dst.Address List: gpt

Ты не можеш заблокировать ресурс который находиться за CDN используя подход блокировки по dst.address.

В твоем случае единственный способ это блокировать по DNS. Чтобы люди не обходили DNS блокировки так же надо заблокировать DOH.

## Включаем DNS на микротике
/ip dns
set allow-remote-requests=yes


## Создаем записи для gpt домена
/ip dns static
add name="openai.com" address=127.0.0.1
add name="chat.openai.com" address=127.0.0.1
add name="platform.openai.com" address=127.0.0.1
add name="auth0.openai.com" address=127.0.0.1
add name="cdn.openai.com" address=127.0.0.1
add name="api.openai.com" address=127.0.0.1
add name="status.openai.com" address=127.0.0.1
add name="auth.openai.com" address=127.0.0.1
add name="help.openai.com" address=127.0.0.1
add name="chatgpt.com" address=127.0.0.1
add name="sora.com" address=127.0.0.1
add name="android.chat.openai.com" address=127.0.0.1
add name="operator.chatgpt.com" address=127.0.0.1
add name="ab.chatgpt.com" address=127.0.0.1


## Перехватываем запросы DNS от клиентов
/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53 comment="Redirect all DNS to MikroTik"
add chain=dstnat protocol=tcp dst-port=53 action=redirect to-ports=53 comment="Redirect TCP DNS to MikroTik"


## Создаем записи для популярных DOH доменов
/ip dns static
add name="dns.google" address=127.0.0.1
add name="cloudflare-dns.com" address=127.0.0.1
add name="mozilla.cloudflare-dns.com" address=127.0.0.1
add name="dns.quad9.net" address=127.0.0.1
add name="doh.opendns.com" address=127.0.0.1
add name="dns.adguard.com" address=127.0.0.1

## Создаем адрес лист с популярными DOH доменами
/ip firewall address-list
add list=doh-block address=1.1.1.1 comment="Cloudflare"
add list=doh-block address=1.0.0.1
add list=doh-block address=8.8.8.8 comment="Google"
add list=doh-block address=8.8.4.4
add list=doh-block address=9.9.9.9 comment="Quad9"
add list=doh-block address=149.112.112.112
add list=doh-block address=94.140.14.14 comment="AdGuard"
add list=doh-block address=94.140.15.15

## Блокируем DOH по dst address
/ip firewall filter
add action=drop chain=forward dst-address-list=doh-block protocol=tcp dst-port=443 comment="Block DoH Providers"

## Блокируем DOH по SNI, не идеально но пуcть будет
/ip firewall layer7-protocol
add name=doh-https pattern="(dns\\.google|cloudflare-dns\\.com|dns\\.adguard\\.com|doh\\.opendns\\.com)"

/ip firewall filter
add action=drop chain=forward layer7-protocol=doh-https protocol=tcp dst-port=443 comment="Drop DoH via L7"

### Настройка MikroTik1

# Создание нового моста
/interface bridge
add name=bridge1 protocol-mode=none

# Добавление портов в новый мост
/interface bridge port
add bridge=bridge1 interface=ether1 # порт интернет
add bridge=bridge1 interface=ether2 # порт ПК

# Настройка VLAN
/interface bridge vlan
add bridge=bridge1 vlan-ids=100 tagged=ether1,bridge1 untagged=ether2

# Активация VLAN фильтрации
/interface bridge
set bridge1 vlan-filtering=yes

# Установка PVID для access порта
/interface bridge port
set [find interface=ether2] pvid=100

### Настройка MikroTik2

# Создание нового моста
/interface bridge
add name=bridge1 protocol-mode=none

# Добавление портов в новый мост
/interface bridge port
add bridge=bridge1 interface=ether1 # порт интернет
add bridge=bridge1 interface=ether2 # порт ПК

# Настройка VLAN
/interface bridge vlan
add bridge=bridge1 vlan-ids=100 tagged=ether1,bridge1 untagged=ether2

# Активация VLAN фильтрации
/interface bridge
set bridge1 vlan-filtering=yes

# Установка PVID для access порта
/interface bridge port
set [find interface=ether2] pvid=100


Так же надо перенести IP адрес интернет подключения с ether1 на bridge1 и добавить bridge1 
в интерфейс список WAN. В моем примере vlan 100, у тебя должен быть другой. 
В процессе у тебя может отвалится интернет, так что буть акуратнее и используй safe mode.

есть в локалке некоторое количество айпишников

Если DHCP то добавить в резервацию что бы адреса не менялись.

Создаем address-list из потерпевших

/ip firewall address-list
add list=allowed_ips address=192.168.1.100
add list=allowed_ips address=192.168.1.101

Добавляем правила в firewall

# Allow access to 1.1.1.1 for addresses in the 'allowed_ips' list
/ip firewall filter
add action=accept chain=forward src-address-list=allowed_ips dst-address=1.1.1.1 protocol=tcp comment="Allow access to 1.1.1.1"

# Block all other internet access for addresses in the 'allowed_ips' list
add action=drop chain=forward src-address-list=allowed_ips comment="Block all other access"

В новых шаблонах для zabbix уже реализована фильтрация в discovery ruls через макросы. Заходим в нужный discovery ruls -> filter и смотрим какие фильтры используются, можем так же выполнить Test этого rule что бы посмотреть какие значения какой переменной соответствуют.

Например на уровне хоста можно переопределить макрос (НЕ НА УРОВНЕ ТЕМПЛЕЙТА!!!!)
{$NET.IF.IFNAME.MATCHES} = ether1

если надо два интерфейсайса
{$NET.IF.IFNAME.MATCHES} = ether1|ether2

дата действия CA 365 дней

знатно промахнулся) лет на 20 стоило выпускать. Как только он заканчивается, то все сертификаты которые он подписал стают не валидны.

По хорошему надо все переделать с нуля.

Если нужен как-то промежуточный этап, то можна сделать кросс подпись. Выпускаем новый сертификат CA со сроком жизни 20 лет, и выпустить новый сертификат для sstp но подписать его зразу двумя сертификатами CA - это кросс подпись. Это даст тебе время обновить CA на клиентах, т.к. этому сертификату sstp будут доверять клиенты и с новим и со старым CA.

Не такой уж он и слабый для NAT, большенство домашних роутеров имеют схожие характеристики. С минимальным набором правил с NAT он справиться, а вот на VPN умрет. Хотя все таки это просчет, банально hap ac2 будет в разы лучше в качестве NAT, при это он стоит копейки. Я бы все таки продавил доп закупку.

Использовать виртуальный роутер это как стрелять себе в ногу, он обязательно в какой-то момент не запустится и удаленно этот вопрос решить не получиться.

Если сотрудников не много (до20). Как бы я сделал
Настроил бы на нем NAT с минимальными правилами и fasttrack, а если мне нужен VPN то поднял бы виртуалку и пробросил на нее нужные порты.

В теории твой роутер могли взломать, но это легко проверить если подключить пк к интернет на прямую минуя роутер. Скорее всего провайдер модифицирует начало tls сессии что бы исключить tls 1.3. Возможно провайдер так блокирует ресурсы которые попали в не милость.

Когда я изнутри сети хочу получить доступ по имени этих веб-ресурсов, то у меня открывается веб-морда микрота.

Потому что DNS на него указывает. Клиент получает белый адрес ресурса, пытает зайти на белый адрес микротика из локальной сети, а по умолчанию микротик так не делает.

Добавлял статические записи в микрот, указывал основным DNS в микроте локальные DNS-сервера, ему пофиг.

Добавляешь статические записи для всех доменов, что бы указывали на внутренний адрес прокси 192.168.1.5. Меняешь настройки DHCP что бы клиенты в локальной сети получали в качестве DNS адрес микротика 192.168.1.1 и только его.

Как адекватно сделать перенаправление https на файлохранилище?

Маршруты
1. У VPN клиента должен быть маршрут в сеть 172.16.0.0/21, или дефол в VPN завернут
2. На микротик 1 должен быть маршрут в сеть 172.16.0.0/21
3. На микротик 2 должен быть маршрут в сеть 10.123.0.10-100 или на микротик 1 МАСКАРАД для сети 10.123.0.10-100 в сторону 172.16.0.0/21

Если в микротик ничего не менялось, то скорее всего ограничение в firewall на стороне windows 10.

Deman1, Как уже написал Артем Кайбагоров, надо:

1. Cоздать еще один бридж (bridge-WAN)
2. Добавить ether1 в этот бридж
/interface/bridge/port/ add bridge=bridge-wan interface=ether1 pvid=10
/interface/bridge/vlan/ add bridge=bridge-wan tagged=ether3 untagged=ether1 vlan-ids=10
3. Переназначить с ether1 ip адрес на bridge-WAN
4. Включить фильтрацию
/interface/bridge/set bridge-wan vlan-filtering=yes

В таком случае трафик входящий в 1 порт будет тегом отдаваться на 3ем порту.
Потом в настройках proxmox -> ВМ -> network interface, указываем использовать 10 vlan.

IPsec может работать в туннельном и транспортном режиме, ты включил туннельный режим. При использовании gre не надо отдельно настраивать IPsec , достаточно в gre поставить галочку IPsec и задать пароль, правила IPsec создадутся динамически.