Deteksi & Blokir VPN/Proxy (Psiphon, Shadowsocks, OpenVPN) Menggunakan Firewall MikroTik

Mei 05, 2025 Rufaidah-network No comments




Deskripsi:

Tutorial ini bertujuan untuk membantu Anda sebagai admin jaringan RT/RW Net atau sekolah dalam mencegah penggunaan VPN/Proxy oleh klien. Kita akan menggunakan fitur firewall MikroTik untuk mendeteksi signature TLS abnormal, port yang tidak biasa, dan traffic VPN umum.

1. Tujuan

  • Mencegah akses internet melalui VPN/Proxy seperti Psiphon, Shadowsocks, OpenVPN, dll.

  • Mengamankan bandwidth dan menjaga kontrol konten.

2. Persiapan

  • Router MikroTik dengan versi RouterOS 6.45+ atau 7+

  • Akses Winbox/SSH/WebFig

  • Interface internet dan LAN sudah disetup

3. Deteksi VPN Berdasarkan Port Umum

VPN sering menggunakan port tertentu, seperti:

  • OpenVPN: TCP/UDP 1194

  • Shadowsocks: TCP 8388, 8389

  • Psiphon: TCP 443, 80 dengan TLS/SSH abnormal

Tambahkan rule berikut:

/ip firewall filter
add chain=forward protocol=tcp dst-port=1194 action=drop comment="Block OpenVPN TCP"
add chain=forward protocol=udp dst-port=1194 action=drop comment="Block OpenVPN UDP"
add chain=forward protocol=tcp dst-port=8388-8390 action=drop comment="Block Shadowsocks"
add chain=forward protocol=tcp dst-port=443 content="psiphon" action=drop comment="Block Psiphon TLS Signature"

4. Deteksi Berdasarkan TLS SNI atau Payload (Layer 7)

Buat L7 rule untuk mendeteksi SNI atau hostname VPN:

/ip firewall layer7-protocol
add name=vpn-https regexp="(vpn|psiphon|shadow|openvpn|tunnel|tor|hotspotshield|ultrasurf|secure|anonym)"
/ip firewall filter
add chain=forward protocol=tcp dst-port=443 layer7-protocol=vpn-https action=drop comment="Block VPN HTTPS TLS SNI"

5. Blokir DNS VPN Domain (Optional)

Jika Anda menggunakan DNS MikroTik atau AdGuard:

/ip dns static
add name="psiphon3.com" address=127.0.0.1 ttl=1h comment="Block Psiphon"
add name="openvpn.net" address=127.0.0.1 ttl=1h comment="Block OpenVPN"
add name="shadowsocks.org" address=127.0.0.1 ttl=1h comment="Block Shadowsocks"

6. Tambahkan Logging (Opsional)

Agar bisa menganalisis jika ada upaya VPN:

/ip firewall filter
add chain=forward protocol=tcp dst-port=443 layer7-protocol=vpn-https action=log log-prefix="VPN Attempt: " comment="Log VPN TLS"

7. Blokir Port Abnormal/Random (>50000)

/ip firewall filter
add chain=forward protocol=tcp dst-port=50000-65535 action=drop comment="Block abnormal VPN port"
add chain=forward protocol=udp dst-port=50000-65535 action=drop comment="Block abnormal VPN UDP port"

8. Tambahan untuk Blokir SSH Tunnel

/ip firewall filter
add chain=forward protocol=tcp dst-port=22 action=drop comment="Block SSH Tunnel"

9. Penutup & Tips Tambahan

  • Gunakan AdGuard Home atau Pi-hole untuk memblokir domain DNS VPN

  • Update daftar Layer7 dan domain block secara berkala

  • Gunakan mikrotik-script scheduler untuk otomatisasi pemantauan

Dengan setup ini, Anda dapat secara efektif mencegah pengguna menyembunyikan trafik mereka menggunakan VPN dan proxy, sangat cocok untuk jaringan RT/RW Net, sekolah, warnet, atau kantor yang ingin menjaga kendali atas trafik internet pengguna.

0 Comments:

Posting Komentar

 
Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | coupon codes