Трафик udp как разблокировать
Связь uDP блокируется правилом Windows брандмауэра в WSFC, когда сетевое подключение прерывается, а затем восстанавливается.
В этой статье данная статья позволяет решить проблему, из-за которой связь uDP блокируется правилом брандмауэра Windows WSFC, когда сетевое подключение прерывается, а затем восстанавливается.
Применяется к: Windows Server 2012 R2
Исходный номер КБ: 2701206
Симптомы
В Windows среде Server 2008 R2 входящий UDP-связь может быть заблокирована, когда подключение к сети прерывается, а затем восстанавливается. В этой ситуации также могут быть заблокированы входящие сообщения TCP и ICMP.
Эта проблема возникает, если входящий UDP-связь включена Windows брандмауэра. Одной из служб, на которые может повлиять эта проблема, является кластеризация Windows сервера (WSFC). Хотя связь с сердцебиением (UDP 3343) может быть включена по умолчанию, связь может быть заблокирована. Когда возникает эта проблема, состояние связи в диспетчере кластера failover отображается как «Недостижимое».
Причина
Эта проблема возникает из-за проблемы в брандмауэре Windows брандмауэра. Подключение к сети прерывается, а затем восстанавливается, Windows брандмауэр перезагрузит профиль. В этом случае непреднамеренное правило может заблокировать порт связи, необходимый в кластере.
Разрешение 1. Используйте команду netsh
Запустите следующие netsh команды по повышенной командной подсказке:
Разрешение 2. Использование брандмауэра Windows с помощью надстройки Advanced Security
Запустите надстройку microsoft Management Console Windows брандмауэра с расширенным обеспечением безопасности. Для этого выполните следующие действия:
Разрешение 3. Отключение службы списков сетей
Чтобы отключить службу службы списков сети, выполните следующие действия:
Перед отключением службы списков сети следует учитывать, что это действие вносит следующие изменения:
Изменения, которые происходят после отключения службы списков сети, ограничиваются отображением сетевых сведений. Они не влияют на поведение системы.
Статус
Корпорация Майкрософт подтвердила, что это известная проблема в Windows Брандмауэре.
После установки drweb-900-win-space не работает Kerio VPN
На drweb 7 всё было нормально.
После установки space 9 Kerio VPN Client не может установить соединение:
«Невозможно организовать туннелирование данных (возможно, заблокирован трафик UDP)».
Причём отключение брандмауэра не помогает. Как и установка всех возможных разрешений для Kerio.
Keep yourself alive
Попробовать добавить клиент в исключения SpiderGate. Гейт сейчас перехватывает весь трафик, и непонятный ему просто не пропускает.
Попробовать добавить клиент в исключения SpiderGate. Гейт сейчас перехватывает весь трафик, и непонятный ему просто не пропускает.
Попробовать добавить клиент в исключения SpiderGate. Гейт сейчас перехватывает весь трафик, и непонятный ему просто не пропускает.
Так ведь Вам и не советовали его отключать, Вам советовали добавить клиент в исключения SpiderGate.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
Keep yourself alive
menson, отключение не поможет.
menson, отключение не поможет.
т.е. после отключения компонента он продолжает работать?
menson, отключение не поможет.
т.е. после отключения компонента он продолжает работать?
Терминология компонентов уже устарела и используется разве что по привычке или для удобства изложения.
После отключения «компонента» он перестаёт анализировать проходящий через него трафик, но трафик через него всё равно проходит.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
После отключения «компонента» он перестаёт анализировать проходящий через него трафик, но трафик через него всё равно проходит.
После отключения «компонента» он перестаёт анализировать проходящий через него трафик, но трафик через него всё равно проходит.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
Перечитайте #4 в этой теме.
Keep yourself alive
EvgenWL, трафик через нетфильтр все равно проходит. Потому и не поможет отключение, а только добавление в исключения.
Рекомендую внимательно несколько раз прочитать указанное Вами сообщение.
В нём maxic пишет тоже самое, что и я.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
Keep yourself alive
Особенно круто, когда браузер не может достучаться до соответствующей страницы и приходится добавлять его в исключения.
EvgenWL, трафик через нетфильтр все равно проходит. Потому и не поможет отключение, а только добавление в исключения.
VVS,в своём сообщении я подразумевал, что maxic подтверждает слова ТС о непрохождении трафика в отключеном состоянии гейта, а не Ваши.
Keep yourself alive
EvgenWL, такая архитектура ©
EvgenWL, трафик через нетфильтр все равно проходит. Потому и не поможет отключение, а только добавление в исключения.
VVS,в своём сообщении я подразумевал, что maxic подтверждает слова ТС о непрохождении трафика в отключеном состоянии гейта, а не Ваши.
И я подтверждаю слова о возможности непрохождении трафика в отключеном состоянии гейта.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
Собственно об этом я и говорил в своих сообщениях в этой теме.
Keep yourself alive
Может, хватит? По-моему, уже всё выяснили. Кроме ТС, конечно.
Собственно об этом я и говорил в своих сообщениях в этой теме.
—
меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777
Маскировка UDP трафика в TCP/ICMP при помощи udp2raw
В данной статье речь пойдет про утилиту udp2raw, которая позволяет обходить межсетевые экраны, настроенные на блокировку протокола UDP, используя RAW сокеты, а также туннелировать любые другие протоколы при работе в связке с OpenVPN.
Обзор возможностей
На нем же представлена схема работы утилиты
Их схемы становится ясно, что инструмент состоит из клиента и сервера, причем второй требуется разместить за межсетевым экраном. Другие утилиты для туннелирования трафика, как правило, требуют то же самое, например, reGeorg, работа которой описана в другой моей статье на defcon.ru.
Один сервер может обслуживать одновременно несколько клиентов, а один клиент несколько UDP соединений через один RAW сокет.
Вы можете использовать udp2raw как для Linux (включая Android, OpenWRT, Raspberry PI) с правами root, так и для Windows и MacOS, правда, в довольно специфическом виде — в виде образа виртуальной машины. Но образ виртуальной машины занимает всего 4.4 МБ, так что это вполне применимо.
В базовом виде udp2raw может добавлять фейковые ICMP/TCP заголовки к сетевым пакетам, тем самым заставляя межсетевой экран считать их пакетами соответствующих сетевых протоколов, а не UDP.
В режиме FakeTCP, udp2raw симулируем трехсторонний TCP handshake при установке соединения и затем поддерживает корректную установку SYN/ACK флагов непосредственно при передаче данных.
udp2raw может использоваться и как вспомогательный инструмент для стабилизации соединения, защиты от replay атаки (anti-replay window) или просто для шифрования трафика (AES-128-CBC) в режиме обычного UDP туннеля. В этом случае фейковые ICMP/TCP заголовки к пакетам добавляться не будут.
Так же возможно использование udp2raw в связке с OpenVPN, что позволяет использовать udp2raw для туннелирования не только UDP трафика. Схема работы представлена ниже
Для конкретно этого случая есть отдельная несложная инструкция на гитхабе разработчика.
Практический пример
Для начала работы с udp2raw в Linux скачиваем архив с github
Клиент и сервер представляют из себя одно и то же приложение. Различаться будут только ключи при запуске
Предположим, что в сети есть Windows машина с активированным SNMP сервисом и шлюз, блокирующий UDP пакеты, но разрешающий TCP доступ к Windows машине.
Злоумышленнику удалось получить доступ со своей Kali Linux машины к шлюзу и разместить там udp2raw сервер. Если злоумышленник попытается напрямую подключиться к Windows машине на UDP порт 161, то ничего не выйдет.
Тогда он может воспользоваться udp2raw, чтобы спрятать природу SNMP пакетов от межсетевого экрана, запустив на шлюзе
Теперь злоумышленник может получать доступ к SNMP сервису удаленной машины через зашифрованный туннель так
При этом в Wireshark будет виден только TCP трафик
Если использовать ICMP заголовки, то в Wireshark мы увидим следующее
Если проверить трафик на стороне шлюза, то будет видно, что Windows машине отсылаются самые обыкновенные SNMP UDP пакеты
В заключении
Дополнительно можно ускорить работу туннеля, используя kcptun, а так же ознакомиться с другими инструментами для туннелирования трафика: reGeorg, dnscat2, icmptunnel и другими.
В случае использования udp2raw злоумышленником, подобные аномалии в корпоративной сети могут быть обнаружены при помощи IDS, IPS и DPI систем обеспечения сетевой безопасности.
Трафик udp как разблокировать
Всем привет. У меня за nat куча железа и один ip статика в мир. Подключение через pppoe. В один прекрасный момент домашний роутер перестал справлятся с большим количеством правил типа port forward. CPU под 100% и обрезание скорости на всяких keenetik ultra и mikrotik до 500$.
Завалялся у меня мини сервер 1u по характеристикам производительнее XG-1537 1U. Накатил pfsense, настроил pppoe на первом интерфейсе и цепанул лан на втором а дальше свитч. Все настройки по умолчанию кроме port forward. Софт юзающий tcp работает нормально а вот софт юзающий udp не может сконнектится с другими участниками децентрализованных сетей. Если подменить pfsense другим любым роутером, то софт работающий по udp начинает работать.
Почти весь софт (udp) каждый раз при запуске юзает разные порты и не юзают upnp.
На форумах по софту который должен у меня работать пишут что это блок udp трафика.
Как решить проблему? Может как то можно открыть фаервол только для udp трафика для определенных локальных ip.
@LVSEE
Здр. Покажите правила файрвола на lan и Wan интерфейсах.
И посмотрите журналы, нет ли блокировок udp трафика. Если есть, то можно в журнале посмотреть номер правила, по которому идёт блокировка. И от этого уже отталкиваться.
Попробуйте вкл UPnP и NAT-PM
https://docs.netgate.com/pfsense/en/latest/services/configuring-upnp-and-nat-pmp.html
Попробуйте вкл UPnP и NAT-PM
https://docs.netgate.com/pfsense/en/latest/services/configuring-upnp-and-nat-pmp.html
Это не поможет 100%. На всех роутерах upnp отключен был ручками и все работало даже без port forward. А при включении upnp в логе не было проброса.
UPD Но на всякий случай включил на pfsense. Не помогло.
@LVSEE
Здр. Покажите правила файрвола на lan и Wan интерфейсах.
И посмотрите журналы, нет ли блокировок udp трафика. Если есть, то можно в журнале посмотреть номер правила, по которому идёт блокировка. И от этого уже отталкиваться.
||
||Это я настроил без проблем за 5 минут. Весь софт работающий по tcp работает в том числе и torrent.
На данный момент не работает p2p по udp через pfsense. Через микрот или более дешманские роутеры p2p по udp работает.
Это настройки говнотплинка 
Это софт на хосте после тплинка 
Это софт на том же хосте после pfsense 
Реально ли настроить так же firewall в pfsense как на скриншоте ниже от openwrt? 
Я так понял форум дохлый. Печаль.
@LVSEE
Уверен, что пф не при чем. На 146%. Проблема в настраивающем.
Уверен, что пф не при чем. На 146%. Проблема в настраивающем.
По теме ответы будут? В данном случае настраивать там нечего кроме pppoe и начальных настроек интерфейсов.. Я даже пробросы не делал так как много пробрасывать (больше 400 портов и будет больше). И в пустую делать смысла нет если один из софтов работать не будет через pfsense или opnsense. Тот софт, что требует открытые порты, работает после проброса но он пашет по tcp и как правило порт выставляется в софте раз. А тот софт, что по udp не требует проброса и с простыми роутерами работает. Правила на хосте в брэндмауэре софтина тоже не создает. На включение/отключение upnp не реагирует. В логе upnp сервиса пусто на простых роутерах.
Ещё раз все настройки pfsense по умолчанию. wan +pppoe и lan без dhcp сервера. Сейчас работает все кроме p2p udp софта. Если сменить на любой другой роутер вместо pfsense, то софт p2p (udp) начинает видеть пиры и обмениваться с ними. Пробовал с флэхи стартануть openwrt версию 19 тоже работает как и остальные роутеры. Скрин с настройками firewall openwrt выше. Так же попробовал opnsense результат такой же как с pfsense все работает кроме p2p udp. На хосте c софтом специально посмотрел firewall (Windows), софтина правил не создала. софтины видны «в своей децентрализованной сети- статус онлайн» но к пирам не подключаются и данными не обмениваются. После смены на любой другой роутер, софтины начинают гонять данные.
Напишите название софта
Константин = constans = постоянный )
Например, в любом торрент-клиенте можно\ нужно явно указать udp-порт для обмена.
Считается, что это улучшает работу (отдачу, в частности) с пирами за NAT, коих подавляющее большинство.
Однако uTorrent прекрасно обходится без открытия порта при работе с pfSense. Для загрузки, по крайней мере. И по TCP и по UDP.
Трафик udp как разблокировать
Active sessions displays the current status of NAT active sessions on the DI-604.
Internal
Prot.
External
NAT
Time-out
192.168.1.196:49741 TCP 64.12.165.68:443 59367 3589
192.168.1.196:49743 TCP 64.12.165.68:443 59369 3589
192.168.1.196:62367 UDP 10.0.0.2:53 59443 4
192.168.1.196:49309 UDP 10.0.0.2:53 59447 6
192.168.1.196:60527 UDP 10.0.0.2:53 59453 6
192.168.1.196:59373 UDP 10.0.0.2:53 59463 7
192.168.1.196:64801 UDP 10.0.0.2:53 59467 7
192.168.1.196:57203 UDP 10.0.0.2:53 59471 7
192.168.1.196:59613 UDP 10.0.0.2:53 59475 7
192.168.1.196:59280 UDP 10.0.0.2:53 59477 7
192.168.1.196:58607 UDP 10.0.0.2:53 59487 7
192.168.1.196:51540 UDP 10.0.0.2:53 59495 7
192.168.1.196:50670 UDP 10.0.0.2:53 59497 7
192.168.1.196:59333 UDP 10.0.0.2:53 59509 8
192.168.1.101:1190 UDP 94.79.52.133:4090 59519 36
192.168.1.196:58296 UDP 10.0.0.2:53 59525 54
192.168.1.167:54218 UDP 10.0.0.2:53 59531 66
192.168.1.167:61071 UDP 10.0.0.2:53 59535 68
192.168.1.196:62360 UDP 10.0.0.2:53 59537 69
192.168.1.101:1194 UDP 94.79.52.133:4090 59543 79
View Log displays the activities occurring on the DI-604. Click on Log Settings for advance features.
Page 1/1
________________________________________
WAN Type: Static IP Address ( V3.21b07RU )
Display time: Monday November 16, 2009 10:55:21
Monday November 16, 2009 10:35:19 Syn time: Mon Nov 16 10:35:19 2009
Monday November 16, 2009 10:40:05 Unrecognized attempt blocked from 94.240.207.12:14409 to 10.1.253.238 TCP:445
Monday November 16, 2009 10:40:05 Unrecognized attempt blocked from 94.240.207.12:14410 to 10.1.253.238 TCP:445
Monday November 16, 2009 10:47:03 Unrecognized attempt blocked from 94.79.35.94:53269 to 10.1.253.238 TCP:445
Monday November 16, 2009 10:47:06 Unrecognized attempt blocked from 94.79.35.94:53269 to 10.1.253.238 TCP:445
Monday November 16, 2009 10:47:56 Unrecognized attempt blocked from 190.2.29.193:1043 to 10.1.253.238 UDP:1434
Monday November 16, 2009 10:54:15 Unrecognized attempt blocked from 94.79.18.238:6009 to 10.1.253.238 TCP:445
Monday November 16, 2009 10:54:18 Unrecognized attempt blocked from 94.79.18.238:6009 to 10.1.253.238 TCP:445