Rabu, 04 Maret 2015


Cara Memblokir Trafik VPN Di Mikrotik

1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5.00 out of 5)
Netsi | May 25, 2014 | Mikrotik, Networking
Ayolah di share --->Share on FacebookShare on Google+Tweet about this on TwitterShare on TumblrBuffer this page
Tahukah anda bahwa negara china dan iran adalah salah satu negara yang melakukan pemblokiran terhadap akses VPN ( Virtual Private Network ). Jadi kenapa kita tidak mencoba menjadi “mereka” di jaringan internal kita ? Seringkali user / client mencoba mem-bypass firewall yang kita buat, apakah itu pemblokiran content via proxy, dns redirection melalui VPN. Tentu menjengkelkan bukan apabila firewall yang telah kita buat berhasil di bypass oleh mereka ?
Oke…mari kita coba melakukan pemblokiran untuk seluruh akses VPN yang di lakukan oleh client kita.

Understanding…

Pertama, anda harus memahami bahwa VPN / Tunneling bisa menggunakan berbagai metode seperti PPTP, SSTP, L2TP/IPSec. Setiap metode menggunakan port yang berbeda – beda.
  • Packet filters for Point-to-Point Tunneling Protocol (PPTP)
    • TCP/1723 : Digunakan oleh PPTP Control Path
    GRE : Digunakan oleh PPTP Data Path
  • Packet filters for Layer Two Tunneling Protocol over Internet Protocol security (L2TP/IPSec)
    • UDP/500 : Digunakan oleh IKEv1 / IKEv2 – IPSec Control Path
    UDP/4500 : Digunakan oleh IKEv1 / IKEv2 – IPSec Control Path
    UDP/1701 : Digunakan oleh L2TP Control / Data Path
    ESP/50 : Data Path ( ESP )
  • Secure Socket Tunneling Protocol (SSTP)
    • TCP/443 : Digunakan oleh SSTP Control dan Data Path

Yang Harus Di Blok ?

Kali ini kami mencoba melakukan pemblokiran untuk trafik VPN yang menggunakan PPTP dan L2TP. Caranya jika di mikrotik router adalah seperti di bawah
/ip firewall filter
add chain=forward dst-port=1723 protocol=tcp action=drop comment="DROP PPPT CONNECTION"
add chain=forward protocol=gre action=drop
add chain=forward dst-port=500 protocol=udp action=drop comment="DROP L2TP CONNECTION"
add chain=forward dst-port=4500 protocol=udp action=drop
add chain=forward dst-port=1701 protocol=udp action=drop
add chain=forward protocol=ipsec-esp action=drop
Di atas adalah cara paling sederhana untuk melakukan blok trafik VPN. Tapi bagaimana jika tidak semua IP di jaringan internal anda yang tidak ingin di blok ? scroll kebawah
/ip firewall filter
add chain=forward src-address-list=!exclude-client dst-port=1723 protocol=tcp action=drop comment="DROP PPPT CONNECTION"
add chain=forward src-address-list=!exclude-client protocol=gre action=drop
add chain=forward src-address-list=!exclude-client dst-port=500 protocol=udp action=drop comment="DROP L2TP CONNECTION"
add chain=forward src-address-list=!exclude-client dst-port=4500 protocol=udp action=drop
add chain=forward src-address-list=!exclude-client dst-port=1701 protocol=udp action=drop
add chain=forward src-address-list=!exclude-client protocol=ipsec-esp action=drop
Tulisan yang di bold silahkan anda ganti dengan nama list anda sendiri. Jika anda ingin menerapkannya di kantor anda, dan aplikasi di kantor membutuhkan akses vpn, pastikan anda memodifikasi terlebih dahulu rule di atas agar akses ke VPN server and
http://www.mikrotiksurabaya.com/blog/cara-memblokir-trafik-vpn-di-mikrotik/
Diposting oleh di
Label:

2 komentar:

  1. banditoz7 Desember 2016 pukul 03.53

    klo exclude-clientnya gak diganti ga papa gan? trus klo mau balikin lagi sebelum di blok gimana gan? maklum nubi,,takut bermasalah jaringan kantor ane :D mohon pencerahannya. makasih

    BalasHapus

Langganan: Posting Komentar (Atom)