Blockierung von Operas (ab Version 40) VPN-Dienst auf einem Mikrotik-Router

Ein VPN-Dienst ist natürlich eine gute Sache, manchmal ist dessen Nutzung aber privater Natur, an Orten, wo es nicht erlaubt ist (z.B. an der Arbeitsstelle). Um diesen dort zu blocken müssen nur drei Regeln in den Firewall-Filtern erstellt werden, die den Kontakt zum VPN-Dienst unterbinden.

/ip firewall filter
add action=drop chain=forward dst-address=185.137.18.0/24 log=yes log-prefix=\
    Opera-VPN-geblockt out-interface=ether1 protocol=tcp
add action=drop chain=forward dst-address=185.137.19.0/24 log=yes log-prefix=\
    Opera-VPN-geblockt out-interface=ether1 protocol=tcp
add action=drop chain=forward content=api.surfeasy.com dst-port=80,443 log=\
    yes log-prefix=surfeasy.com out-interface=ether1 protocol=tcp
add action=accept chain=forward dst-address=0.0.0.0/0 out-interface=ether1

Die erste Regel besagt, dass jeder Verbindungsaufbau auf das Zielnetz (=dst-address) verworfen wird und gleichzeitig im Log eine Meldung mit „Opera-VPN-geblockt“ angezeigt wird.
Das ausgehende Interface ist in dieser Teststellung ether1, hier muss dann das entsprechend passende gewählt werden.
Die Regel bezieht sich auf TCP als Protokoll.

Da der Dienst auf zwei IP-Netzen basiert, wurden beide Netze mit den identischen Regel blockiert.

Für den Fall das diese IP-Netze wechseln werden zudem API-Zugriffe auf die VPN-Dienst-Domain mit einem Content-Filter verworfen, egal, ob dies via Port 80 oder Port 443 geschieht.
Im Logfile wird dies dann mit „XXX.com“ kommentiert.
Das ausgehende Interface ist entsprechend ether1 und muss entsprechend angepasst werden.

Da diese Regeln hierarchisch abgearbeitet werden müsste abschließend nicht unbedingt noch angesagt werden, dass der Zugriff in Richtung Internet (0.0.0.0/0) erlaubt ist, wenn die vorher genannten Regeln nicht zutreffen.

English version of the text above – Blocking Opera VPN on your Mikrotik

Since it is not allowed to use a VPN privately e.g. in a company (where it is not allowed) here you will find a method to block this service

The first rule states that any connection to the target network (= dst-address) is discarded. You see this with the following message in your log: „Opera VPN blocked“
Outgoing interface in this test position: Ether1 (here you should choose your outgoing interface
The rule applies to tcp-protocol.

Since the service is based on two IP networks, both networks were blocked with the identical rule.

Switch in the event that these IP networks change, there is also a implementation of api access reject. There is a simple contentfilter. There it is no matter which port they choose (80 or 443)
You will see this in your log with the following message: „surfeasy.com“
Outgoing interface in this test position: Ether1 (here you should choose your outgoing interface

Since these rules have to be processed hierarchically it’s finally not necessary to set the last rule, with an access towards the Internet (0.0.0.0/0) when the rules above doesn`t match.

For the case, that you use the Opera VPN-Service for your own privacy and security, please note the following:

A number of sites and blogs had reported that is e.g. possible that your personal IP will be published although you use the Opera VPN-service to prevent this. This should not be in your interest. Please inform you through the web. Here are a few kewords to search how to`s against it: Opera VPN WebRTC, Opera WebRTC, Opera WebRTC leak prevent, Opera disable WebRTC, Opera prevent

Übersicht über Operas neuen VPN-Dienst – Ab Version 40

Seit dem Release der Version 40 des Opera-Browsers (19.09.2016) verfügt der User über die Möglichkeit sich über einen in den Browser integrierten VPN-Dienst „sicher“ zu surfen. Wenn der Dienst aktiviert wird, baut dieser eine sichere Verbindung zu einem von Operas fünf Server-Lokationen rund um die Welt auf. Mit der Option „Optimaler Standort“ wird der nächstgelegene Server genutzt, ansonsten kann frei zwischen den möglichen Server-Lokationen gewählt werden. Opera verspricht einem mit diesem Dienst ein Plus an Privatsphäre und Sicherheit.

Hinweis: Auf mehreren Websites und Blogs wird darüber berichtet, dass auch bei der Nutzung des Opera-VPN-Dienstes die Möglichkeit besteht, dass Ihre IP bekannt werden kann, die eigentlich verschleiert werden soll. Um hier auch weiterhin Ihre Privatsphäre und Sicherheit zu gewährleisten, erkundigen Sie sich bitte im Netz, ob bei Ihnen ihre IP ermittelbar ist und wenn ja, wie man dies abstellt. Mögliche Stichworte für die diesbezügliche Suche könnten sein: Opera VPN WebRTC, Opera WebRTC, Opera WebRTC leak prevent, Opera disable WebRTC, Opera prevent

Aktivierung des Opera VPN Dienstes im Opera Browser:

Der VPN-Dienst lässt sich wie folgt aktivieren:

Browser aufrufen -> Menü -> Einstellungen -> Datenschutz & Sicherheit -> VPN anklicken.

Aus dem Beitext geht folgendes hervor:

Der VPN-Dienst wird von dem von Opera zugekauften Unternehmen Namens „SurfEasy Inc.“ mit Sitz in Kanada realisiert.

Quellen bzgl. des Opera-Browsers:

• Beitext aus den Einstellungen des Opera Browsers
• Opera Blog (http://www.opera.com/blogs/desktop/2016/09/free-vpn-in-opera-browser-40/)