Auteur Sujet: Différencier une connexion TCP SSTP et HTTPS sur un routeur MikroTik (Lu 2788 fois)

rocho · « **le:** 17 septembre 2016 à 11:32:21 »

Bonjour,

Je viens à vous aujourd’hui après avoir longuement cherché sur Internet en vain, ma demande étant (très) spécifique.

En effet, je souhaite avoir sur le port d’écoute 443 un serveur web (HTTPS) et un serveur SSTP

Actuellement je redirige le trafic en fonction de l’IP source (les IP où il y a des clients SSTP sont redirigé vers le serveur en question et les autres vers le serveur web).

Le problème de cette solution est que ceux qui souhaitent accéder aux sites HTTPS sur une IP qui « accueille » un client SSTP ne le peuvent plus.

Il n'est pas non plus possible de différencier le trafic via une modification du TTL (passage préalable du trafic SSTP via un proxy).

Ma question est comment peut-on sur un routeur MikroTik différencier le trafic SSTP du HTTPS (Layer7 ?) pour faire une règle NAT qui redirige sur deux IP privées différentes ou est-il possible de « marquer » le trafic des clients SSTP pour le détecter sur le routeur ?

J'espère avoir été clair, merci d'avance pour votre aide.

kgersen · « **Réponse #1 le:** 17 septembre 2016 à 14:01:50 »

c'est curieux ton truc. tu veux partager un même port pour 2 protocoles (cryptés qui plus est)...

Le routeur ne fait que le NAT si j'ai bien compris ? le serveur HTTPS et le serveur SSTP étant des machines distincts sur le LAN ?

a part SSLH ( http://www.rutschle.net/tech/sslh.shtml ) je ne vois pas comment faire:

Citer

sslh accepts connections on specified ports, and forwards them further based on tests performed on the first data packet sent by the remote client.

tu mets ca sur un des serveurs et redirige tout sur lui ?

jack · « **Réponse #2 le:** 18 septembre 2016 à 00:37:39 »

IPv6;

Hugues · « **Réponse #3 le:** 18 septembre 2016 à 00:40:02 »

* Huguesdelamure approuve.

kgersen · « **Réponse #4 le:** 18 septembre 2016 à 01:16:05 »

ou juste utiliser un autre port pour un des services...

thenico · « **Réponse #5 le:** 18 septembre 2016 à 02:14:53 »

NAPT n'est pas possible en fonction d'une analyse DPI.
Par contre, un load balancer devrait pouvoir le faire.

vivien · « **Réponse #6 le:** 18 septembre 2016 à 07:48:39 »

Pourquoi ne pas utiliser le port 8443 pour le tunnel SSTP ?
Cela laisse le 443 pour le serveur web https.

rocho · « **Réponse #7 le:** 18 septembre 2016 à 09:07:13 »

Les clients SSTP sont utilisés sur des réseaux ultras bridés (proxy qui ne laisse passer que sur le port 80 et 443) qui ne disposent pas de l'IPv6.

Je vais regarder par rapport au load balancer.

vivien · « **Réponse #8 le:** 18 septembre 2016 à 09:12:03 »

Le port 80 alors ! (sous réserve que le réseau laisser passer des flux chiffrés sur le port 80)