Трафик udp как разблокировать

Связь uDP блокируется правилом Windows брандмауэра в WSFC, когда сетевое подключение прерывается, а затем восстанавливается.

В этой статье данная статья позволяет решить проблему, из-за которой связь uDP блокируется правилом брандмауэра Windows WSFC, когда сетевое подключение прерывается, а затем восстанавливается.

Применяется к: Windows Server 2012 R2
Исходный номер КБ: 2701206

Симптомы

В Windows среде Server 2008 R2 входящий UDP-связь может быть заблокирована, когда подключение к сети прерывается, а затем восстанавливается. В этой ситуации также могут быть заблокированы входящие сообщения TCP и ICMP.

Эта проблема возникает, если входящий UDP-связь включена Windows брандмауэра. Одной из служб, на которые может повлиять эта проблема, является кластеризация Windows сервера (WSFC). Хотя связь с сердцебиением (UDP 3343) может быть включена по умолчанию, связь может быть заблокирована. Когда возникает эта проблема, состояние связи в диспетчере кластера failover отображается как «Недостижимое».

Причина

Эта проблема возникает из-за проблемы в брандмауэре Windows брандмауэра. Подключение к сети прерывается, а затем восстанавливается, Windows брандмауэр перезагрузит профиль. В этом случае непреднамеренное правило может заблокировать порт связи, необходимый в кластере.

Разрешение 1. Используйте команду netsh

Запустите следующие netsh команды по повышенной командной подсказке:

Разрешение 2. Использование брандмауэра Windows с помощью надстройки Advanced Security

Запустите надстройку microsoft Management Console Windows брандмауэра с расширенным обеспечением безопасности. Для этого выполните следующие действия:

Разрешение 3. Отключение службы списков сетей

Чтобы отключить службу службы списков сети, выполните следующие действия:

Перед отключением службы списков сети следует учитывать, что это действие вносит следующие изменения:

Изменения, которые происходят после отключения службы списков сети, ограничиваются отображением сетевых сведений. Они не влияют на поведение системы.

Статус

Корпорация Майкрософт подтвердила, что это известная проблема в Windows Брандмауэре.

Источник

После установки drweb-900-win-space не работает Kerio VPN

На drweb 7 всё было нормально.

После установки space 9 Kerio VPN Client не может установить соединение:

«Невозможно организовать туннелирование данных (возможно, заблокирован трафик UDP)».

Причём отключение брандмауэра не помогает. Как и установка всех возможных разрешений для Kerio.

Keep yourself alive

Попробовать добавить клиент в исключения SpiderGate. Гейт сейчас перехватывает весь трафик, и непонятный ему просто не пропускает.

Попробовать добавить клиент в исключения SpiderGate. Гейт сейчас перехватывает весь трафик, и непонятный ему просто не пропускает.

Попробовать добавить клиент в исключения SpiderGate. Гейт сейчас перехватывает весь трафик, и непонятный ему просто не пропускает.

Так ведь Вам и не советовали его отключать, Вам советовали добавить клиент в исключения SpiderGate.


меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777

Keep yourself alive

menson, отключение не поможет.

menson, отключение не поможет.

т.е. после отключения компонента он продолжает работать?

menson, отключение не поможет.

т.е. после отключения компонента он продолжает работать?

Терминология компонентов уже устарела и используется разве что по привычке или для удобства изложения.

После отключения «компонента» он перестаёт анализировать проходящий через него трафик, но трафик через него всё равно проходит.


меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777

После отключения «компонента» он перестаёт анализировать проходящий через него трафик, но трафик через него всё равно проходит.

После отключения «компонента» он перестаёт анализировать проходящий через него трафик, но трафик через него всё равно проходит.


меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777

Перечитайте #4 в этой теме.

Keep yourself alive

EvgenWL, трафик через нетфильтр все равно проходит. Потому и не поможет отключение, а только добавление в исключения.

Рекомендую внимательно несколько раз прочитать указанное Вами сообщение.

В нём maxic пишет тоже самое, что и я.


меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777

Keep yourself alive

Особенно круто, когда браузер не может достучаться до соответствующей страницы и приходится добавлять его в исключения.

EvgenWL, трафик через нетфильтр все равно проходит. Потому и не поможет отключение, а только добавление в исключения.

VVS,в своём сообщении я подразумевал, что maxic подтверждает слова ТС о непрохождении трафика в отключеном состоянии гейта, а не Ваши.

Keep yourself alive

EvgenWL, такая архитектура ©

EvgenWL, трафик через нетфильтр все равно проходит. Потому и не поможет отключение, а только добавление в исключения.

VVS,в своём сообщении я подразумевал, что maxic подтверждает слова ТС о непрохождении трафика в отключеном состоянии гейта, а не Ваши.

И я подтверждаю слова о возможности непрохождении трафика в отключеном состоянии гейта.


меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777

Собственно об этом я и говорил в своих сообщениях в этой теме.

Keep yourself alive

Может, хватит? По-моему, уже всё выяснили. Кроме ТС, конечно.

Собственно об этом я и говорил в своих сообщениях в этой теме.


меня вот что возмутило. что даже не начинают толком диалог сразу дампы. © alehas777

Источник

Маскировка UDP трафика в TCP/ICMP при помощи udp2raw

Трафик udp как разблокировать. Смотреть фото Трафик udp как разблокировать. Смотреть картинку Трафик udp как разблокировать. Картинка про Трафик udp как разблокировать. Фото Трафик udp как разблокировать

В данной статье речь пойдет про утилиту udp2raw, которая позволяет обходить межсетевые экраны, настроенные на блокировку протокола UDP, используя RAW сокеты, а также туннелировать любые другие протоколы при работе в связке с OpenVPN.

Обзор возможностей

На нем же представлена схема работы утилиты

Трафик udp как разблокировать. Смотреть фото Трафик udp как разблокировать. Смотреть картинку Трафик udp как разблокировать. Картинка про Трафик udp как разблокировать. Фото Трафик udp как разблокировать

Их схемы становится ясно, что инструмент состоит из клиента и сервера, причем второй требуется разместить за межсетевым экраном. Другие утилиты для туннелирования трафика, как правило, требуют то же самое, например, reGeorg, работа которой описана в другой моей статье на defcon.ru.

Один сервер может обслуживать одновременно несколько клиентов, а один клиент несколько UDP соединений через один RAW сокет.

Вы можете использовать udp2raw как для Linux (включая Android, OpenWRT, Raspberry PI) с правами root, так и для Windows и MacOS, правда, в довольно специфическом виде — в виде образа виртуальной машины. Но образ виртуальной машины занимает всего 4.4 МБ, так что это вполне применимо.

В базовом виде udp2raw может добавлять фейковые ICMP/TCP заголовки к сетевым пакетам, тем самым заставляя межсетевой экран считать их пакетами соответствующих сетевых протоколов, а не UDP.

В режиме FakeTCP, udp2raw симулируем трехсторонний TCP handshake при установке соединения и затем поддерживает корректную установку SYN/ACK флагов непосредственно при передаче данных.

udp2raw может использоваться и как вспомогательный инструмент для стабилизации соединения, защиты от replay атаки (anti-replay window) или просто для шифрования трафика (AES-128-CBC) в режиме обычного UDP туннеля. В этом случае фейковые ICMP/TCP заголовки к пакетам добавляться не будут.

Так же возможно использование udp2raw в связке с OpenVPN, что позволяет использовать udp2raw для туннелирования не только UDP трафика. Схема работы представлена ниже

Трафик udp как разблокировать. Смотреть фото Трафик udp как разблокировать. Смотреть картинку Трафик udp как разблокировать. Картинка про Трафик udp как разблокировать. Фото Трафик udp как разблокировать

Для конкретно этого случая есть отдельная несложная инструкция на гитхабе разработчика.

Практический пример

Для начала работы с udp2raw в Linux скачиваем архив с github

Клиент и сервер представляют из себя одно и то же приложение. Различаться будут только ключи при запуске

Предположим, что в сети есть Windows машина с активированным SNMP сервисом и шлюз, блокирующий UDP пакеты, но разрешающий TCP доступ к Windows машине.

Злоумышленнику удалось получить доступ со своей Kali Linux машины к шлюзу и разместить там udp2raw сервер. Если злоумышленник попытается напрямую подключиться к Windows машине на UDP порт 161, то ничего не выйдет.

Трафик udp как разблокировать. Смотреть фото Трафик udp как разблокировать. Смотреть картинку Трафик udp как разблокировать. Картинка про Трафик udp как разблокировать. Фото Трафик udp как разблокировать

Тогда он может воспользоваться udp2raw, чтобы спрятать природу SNMP пакетов от межсетевого экрана, запустив на шлюзе

Трафик udp как разблокировать. Смотреть фото Трафик udp как разблокировать. Смотреть картинку Трафик udp как разблокировать. Картинка про Трафик udp как разблокировать. Фото Трафик udp как разблокировать

Трафик udp как разблокировать. Смотреть фото Трафик udp как разблокировать. Смотреть картинку Трафик udp как разблокировать. Картинка про Трафик udp как разблокировать. Фото Трафик udp как разблокировать

Теперь злоумышленник может получать доступ к SNMP сервису удаленной машины через зашифрованный туннель так

Трафик udp как разблокировать. Смотреть фото Трафик udp как разблокировать. Смотреть картинку Трафик udp как разблокировать. Картинка про Трафик udp как разблокировать. Фото Трафик udp как разблокировать

При этом в Wireshark будет виден только TCP трафик

Трафик udp как разблокировать. Смотреть фото Трафик udp как разблокировать. Смотреть картинку Трафик udp как разблокировать. Картинка про Трафик udp как разблокировать. Фото Трафик udp как разблокировать

Если использовать ICMP заголовки, то в Wireshark мы увидим следующее

Трафик udp как разблокировать. Смотреть фото Трафик udp как разблокировать. Смотреть картинку Трафик udp как разблокировать. Картинка про Трафик udp как разблокировать. Фото Трафик udp как разблокировать

Если проверить трафик на стороне шлюза, то будет видно, что Windows машине отсылаются самые обыкновенные SNMP UDP пакеты

Трафик udp как разблокировать. Смотреть фото Трафик udp как разблокировать. Смотреть картинку Трафик udp как разблокировать. Картинка про Трафик udp как разблокировать. Фото Трафик udp как разблокировать

В заключении

Дополнительно можно ускорить работу туннеля, используя kcptun, а так же ознакомиться с другими инструментами для туннелирования трафика: reGeorg, dnscat2, icmptunnel и другими.

В случае использования udp2raw злоумышленником, подобные аномалии в корпоративной сети могут быть обнаружены при помощи IDS, IPS и DPI систем обеспечения сетевой безопасности.

Источник

Трафик udp как разблокировать

Всем привет. У меня за nat куча железа и один ip статика в мир. Подключение через pppoe. В один прекрасный момент домашний роутер перестал справлятся с большим количеством правил типа port forward. CPU под 100% и обрезание скорости на всяких keenetik ultra и mikrotik до 500$.
Завалялся у меня мини сервер 1u по характеристикам производительнее XG-1537 1U. Накатил pfsense, настроил pppoe на первом интерфейсе и цепанул лан на втором а дальше свитч. Все настройки по умолчанию кроме port forward. Софт юзающий tcp работает нормально а вот софт юзающий udp не может сконнектится с другими участниками децентрализованных сетей. Если подменить pfsense другим любым роутером, то софт работающий по udp начинает работать.
Почти весь софт (udp) каждый раз при запуске юзает разные порты и не юзают upnp.
На форумах по софту который должен у меня работать пишут что это блок udp трафика.
Как решить проблему? Может как то можно открыть фаервол только для udp трафика для определенных локальных ip.

@LVSEE
Здр. Покажите правила файрвола на lan и Wan интерфейсах.
И посмотрите журналы, нет ли блокировок udp трафика. Если есть, то можно в журнале посмотреть номер правила, по которому идёт блокировка. И от этого уже отталкиваться.

Трафик udp как разблокировать. Смотреть фото Трафик udp как разблокировать. Смотреть картинку Трафик udp как разблокировать. Картинка про Трафик udp как разблокировать. Фото Трафик udp как разблокировать

Попробуйте вкл UPnP и NAT-PM
https://docs.netgate.com/pfsense/en/latest/services/configuring-upnp-and-nat-pmp.html

Попробуйте вкл UPnP и NAT-PM
https://docs.netgate.com/pfsense/en/latest/services/configuring-upnp-and-nat-pmp.html

Это не поможет 100%. На всех роутерах upnp отключен был ручками и все работало даже без port forward. А при включении upnp в логе не было проброса.
UPD Но на всякий случай включил на pfsense. Не помогло.

@LVSEE
Здр. Покажите правила файрвола на lan и Wan интерфейсах.
И посмотрите журналы, нет ли блокировок udp трафика. Если есть, то можно в журнале посмотреть номер правила, по которому идёт блокировка. И от этого уже отталкиваться.
||Трафик udp как разблокировать. Смотреть фото Трафик udp как разблокировать. Смотреть картинку Трафик udp как разблокировать. Картинка про Трафик udp как разблокировать. Фото Трафик udp как разблокировать
Трафик udp как разблокировать. Смотреть фото Трафик udp как разблокировать. Смотреть картинку Трафик udp как разблокировать. Картинка про Трафик udp как разблокировать. Фото Трафик udp как разблокировать||

Это я настроил без проблем за 5 минут. Весь софт работающий по tcp работает в том числе и torrent.
На данный момент не работает p2p по udp через pfsense. Через микрот или более дешманские роутеры p2p по udp работает.

Это настройки говнотплинка
Трафик udp как разблокировать. Смотреть фото Трафик udp как разблокировать. Смотреть картинку Трафик udp как разблокировать. Картинка про Трафик udp как разблокировать. Фото Трафик udp как разблокировать
Трафик udp как разблокировать. Смотреть фото Трафик udp как разблокировать. Смотреть картинку Трафик udp как разблокировать. Картинка про Трафик udp как разблокировать. Фото Трафик udp как разблокировать
Это софт на хосте после тплинка
Трафик udp как разблокировать. Смотреть фото Трафик udp как разблокировать. Смотреть картинку Трафик udp как разблокировать. Картинка про Трафик udp как разблокировать. Фото Трафик udp как разблокировать
Это софт на том же хосте после pfsense
Трафик udp как разблокировать. Смотреть фото Трафик udp как разблокировать. Смотреть картинку Трафик udp как разблокировать. Картинка про Трафик udp как разблокировать. Фото Трафик udp как разблокировать

Реально ли настроить так же firewall в pfsense как на скриншоте ниже от openwrt?
Трафик udp как разблокировать. Смотреть фото Трафик udp как разблокировать. Смотреть картинку Трафик udp как разблокировать. Картинка про Трафик udp как разблокировать. Фото Трафик udp как разблокировать

Я так понял форум дохлый. Печаль.

Трафик udp как разблокировать. Смотреть фото Трафик udp как разблокировать. Смотреть картинку Трафик udp как разблокировать. Картинка про Трафик udp как разблокировать. Фото Трафик udp как разблокировать

@LVSEE
Уверен, что пф не при чем. На 146%. Проблема в настраивающем.

Уверен, что пф не при чем. На 146%. Проблема в настраивающем.

По теме ответы будут? В данном случае настраивать там нечего кроме pppoe и начальных настроек интерфейсов.. Я даже пробросы не делал так как много пробрасывать (больше 400 портов и будет больше). И в пустую делать смысла нет если один из софтов работать не будет через pfsense или opnsense. Тот софт, что требует открытые порты, работает после проброса но он пашет по tcp и как правило порт выставляется в софте раз. А тот софт, что по udp не требует проброса и с простыми роутерами работает. Правила на хосте в брэндмауэре софтина тоже не создает. На включение/отключение upnp не реагирует. В логе upnp сервиса пусто на простых роутерах.

Ещё раз все настройки pfsense по умолчанию. wan +pppoe и lan без dhcp сервера. Сейчас работает все кроме p2p udp софта. Если сменить на любой другой роутер вместо pfsense, то софт p2p (udp) начинает видеть пиры и обмениваться с ними. Пробовал с флэхи стартануть openwrt версию 19 тоже работает как и остальные роутеры. Скрин с настройками firewall openwrt выше. Так же попробовал opnsense результат такой же как с pfsense все работает кроме p2p udp. На хосте c софтом специально посмотрел firewall (Windows), софтина правил не создала. софтины видны «в своей децентрализованной сети- статус онлайн» но к пирам не подключаются и данными не обмениваются. После смены на любой другой роутер, софтины начинают гонять данные.

Напишите название софта

Трафик udp как разблокировать. Смотреть фото Трафик udp как разблокировать. Смотреть картинку Трафик udp как разблокировать. Картинка про Трафик udp как разблокировать. Фото Трафик udp как разблокировать

Константин = constans = постоянный )

Например, в любом торрент-клиенте можно\ нужно явно указать udp-порт для обмена.

Считается, что это улучшает работу (отдачу, в частности) с пирами за NAT, коих подавляющее большинство.
Однако uTorrent прекрасно обходится без открытия порта при работе с pfSense. Для загрузки, по крайней мере. И по TCP и по UDP.

Источник

Трафик udp как разблокировать

Active sessions displays the current status of NAT active sessions on the DI-604.
Internal
Prot.
External
NAT
Time-out

192.168.1.196:49741 TCP 64.12.165.68:443 59367 3589
192.168.1.196:49743 TCP 64.12.165.68:443 59369 3589
192.168.1.196:62367 UDP 10.0.0.2:53 59443 4
192.168.1.196:49309 UDP 10.0.0.2:53 59447 6
192.168.1.196:60527 UDP 10.0.0.2:53 59453 6
192.168.1.196:59373 UDP 10.0.0.2:53 59463 7
192.168.1.196:64801 UDP 10.0.0.2:53 59467 7
192.168.1.196:57203 UDP 10.0.0.2:53 59471 7
192.168.1.196:59613 UDP 10.0.0.2:53 59475 7
192.168.1.196:59280 UDP 10.0.0.2:53 59477 7
192.168.1.196:58607 UDP 10.0.0.2:53 59487 7
192.168.1.196:51540 UDP 10.0.0.2:53 59495 7
192.168.1.196:50670 UDP 10.0.0.2:53 59497 7
192.168.1.196:59333 UDP 10.0.0.2:53 59509 8
192.168.1.101:1190 UDP 94.79.52.133:4090 59519 36
192.168.1.196:58296 UDP 10.0.0.2:53 59525 54
192.168.1.167:54218 UDP 10.0.0.2:53 59531 66
192.168.1.167:61071 UDP 10.0.0.2:53 59535 68
192.168.1.196:62360 UDP 10.0.0.2:53 59537 69
192.168.1.101:1194 UDP 94.79.52.133:4090 59543 79

View Log displays the activities occurring on the DI-604. Click on Log Settings for advance features.
Page 1/1
________________________________________
WAN Type: Static IP Address ( V3.21b07RU )
Display time: Monday November 16, 2009 10:55:21
Monday November 16, 2009 10:35:19 Syn time: Mon Nov 16 10:35:19 2009
Monday November 16, 2009 10:40:05 Unrecognized attempt blocked from 94.240.207.12:14409 to 10.1.253.238 TCP:445
Monday November 16, 2009 10:40:05 Unrecognized attempt blocked from 94.240.207.12:14410 to 10.1.253.238 TCP:445
Monday November 16, 2009 10:47:03 Unrecognized attempt blocked from 94.79.35.94:53269 to 10.1.253.238 TCP:445
Monday November 16, 2009 10:47:06 Unrecognized attempt blocked from 94.79.35.94:53269 to 10.1.253.238 TCP:445
Monday November 16, 2009 10:47:56 Unrecognized attempt blocked from 190.2.29.193:1043 to 10.1.253.238 UDP:1434
Monday November 16, 2009 10:54:15 Unrecognized attempt blocked from 94.79.18.238:6009 to 10.1.253.238 TCP:445
Monday November 16, 2009 10:54:18 Unrecognized attempt blocked from 94.79.18.238:6009 to 10.1.253.238 TCP:445

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *