La Fibre
Télécom => Réseau => TCP/IP / Fonctionnement des réseaux => Discussion démarrée par: rocho le 17 septembre 2016 à 11:32:21
-
Bonjour,
Je viens à vous aujourd’hui après avoir longuement cherché sur Internet en vain, ma demande étant (très) spécifique.
En effet, je souhaite avoir sur le port d’écoute 443 un serveur web (HTTPS) et un serveur SSTP
Actuellement je redirige le trafic en fonction de l’IP source (les IP où il y a des clients SSTP sont redirigé vers le serveur en question et les autres vers le serveur web).
(http://img4.hostingpics.net/pics/434446Capturedcran20160917111455.png)
Le problème de cette solution est que ceux qui souhaitent accéder aux sites HTTPS sur une IP qui « accueille » un client SSTP ne le peuvent plus. :'( Il n'est pas non plus possible de différencier le trafic via une modification du TTL (passage préalable du trafic SSTP via un proxy).
Ma question est comment peut-on sur un routeur MikroTik différencier le trafic SSTP du HTTPS (Layer7 ?) pour faire une règle NAT qui redirige sur deux IP privées différentes ou est-il possible de « marquer » le trafic des clients SSTP pour le détecter sur le routeur ?
J'espère avoir été clair, merci d'avance pour votre aide. :)
-
c'est curieux ton truc. tu veux partager un même port pour 2 protocoles (cryptés qui plus est)...
Le routeur ne fait que le NAT si j'ai bien compris ? le serveur HTTPS et le serveur SSTP étant des machines distincts sur le LAN ?
a part SSLH ( http://www.rutschle.net/tech/sslh.shtml ) je ne vois pas comment faire:
sslh accepts connections on specified ports, and forwards them further based on tests performed on the first data packet sent by the remote client.
tu mets ca sur un des serveurs et redirige tout sur lui ?
-
IPv6;
-
/me approuve.
-
ou juste utiliser un autre port pour un des services...
-
NAPT n'est pas possible en fonction d'une analyse DPI.
Par contre, un load balancer devrait pouvoir le faire.
-
Pourquoi ne pas utiliser le port 8443 pour le tunnel SSTP ?
Cela laisse le 443 pour le serveur web https.
-
Les clients SSTP sont utilisés sur des réseaux ultras bridés (proxy qui ne laisse passer que sur le port 80 et 443) qui ne disposent pas de l'IPv6.
Je vais regarder par rapport au load balancer.
-
Le port 80 alors ! (sous réserve que le réseau laisser passer des flux chiffrés sur le port 80)