Здравствуйте Гость [ Вход | Регистрация ] | Форум в сети 6825-й день

Шановні користувачі! Запрошуємо вас до офіційного телеграм-канала 0day Community. Тут ви зможете поспілкуватися одне з одним та дізнатися про останні новини щодо роботи ресурса, поставити запитання до адміністрації, тощо. Перейти до телеграм-канала можна відсканувавши QR-код або натиснувши на посилання: @zeroday_ua

 Mikrotik, отдельная тема по этому оборудованию

mussy
Oct 7 2018, 23:12
  
Пост #1



Репутация:   143  
Постоялец
***

Группа: Пользователи
Сообщений: 1 432
С нами с: 31-January 08


Ранее часто для объединения разных офисов / точек между собой использовал исключительно OPEN VPN. Сейчас начал все больше присматриваться к Mikrotik.

Подскажите, если соединять Mikrotik`овские маршрутизаторы исключительно по EOIP - является ли это достаточным для обеспечения безопасности трафика между офисами? Или нужно еще дополнительно этот туннель шифровать чем-то ?

Сообщение отредактировал Spectral - Jul 15 2020, 22:50
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
23 Страницы  < 1 2 3 4 > »   
Reply to this topicStart new topic
Ответов(20 - 39)
Vitaliy_y
Oct 21 2018, 21:04
  
Пост #21



Репутация:   131  
Cтаршой
**

Группа: Пользователи
Сообщений: 962
С нами с: 3-July 07


Маскарадинг при белом внешнем вреден.

11 ;;; WinBox
chain=input action=accept protocol=tcp in-interface=WAN1
dst-port=8728,8291 log=yes log-prefix=""
убрать или добавить список белых.
нетмап не в тему.
что трассы говорят?
сделайте експорт и выложите сюда, без паролей.

0 ;;; masquerade
chain=srcnat action=masquerade out-interface=WAN1 log=no log-prefix=""
ipsec-policy=out,none

уберите ipsec-policy=out
или
add action=src-nat chain=srcnat out-interface=WAN1 src-address=192.168.1.0/24 to-addresses=whiteip

hairpin nat лучше делать как велит вики
/ip firewall nat
add chain=srcnat src-address=192.168.1.0/24 \
dst-address=192.168.1.2 protocol=tcp dst-port=80 \
out-interface=LAN action=masquerade


Да,и, что бы пукан потом не горел не выставляйте голым задом 3389 наружу, залюбят, ломанут и будет вава,
настройте port knocking как самое простое решение, благо дело можно запускать на любых платформах.

Сообщение отредактировал Vitaliy_y - Oct 21 2018, 21:19
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
tiss
Oct 21 2018, 21:34
  
Пост #22



Репутация:   335  
Старожил
****

Группа: Пользователи
Сообщений: 4 818
С нами с: 21-April 09


(Vitaliy_y @ Oct 21 2018, 21:04) Перейти к цитате

Маскарадинг при белом внешнем вреден.

Зато при динамическом удобен
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Console
Nov 29 2018, 10:19
  
Пост #23



Репутация:   498  
ultra active user
******

Группа: Пользователи
Сообщений: 11 285
С нами с: 23-March 08


Что бы не плодить тем, кто подскажет.. в микротике есть уже правило на проброс порта.., но нужно расширить диапазон вместо одного десять портов подрят. 10 отдельных правил или можно указать дапазон.

p.s. может все таки закрепить тему?

Сообщение отредактировал Console - Nov 29 2018, 10:20
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
lD1PS1l
Nov 29 2018, 11:44
  
Пост #24



Репутация:   12  
Дух


Группа: Пользователи
Сообщений: 172
С нами с: 28-May 10


можно указать диапазон
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Console
Nov 29 2018, 17:09
  
Пост #25



Репутация:   498  
ultra active user
******

Группа: Пользователи
Сообщений: 11 285
С нами с: 23-March 08


(lD1PS1l @ Nov 29 2018, 11:44) Перейти к цитате

можно указать диапазон

банально через - или как? буду благодарен за пример через Winbox, не консольную команду.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Siroga
Nov 29 2018, 17:21
  
Пост #26



Репутация:   39  
Дух


Группа: Пользователи
Сообщений: 112
С нами с: 21-February 07


(Console @ Nov 29 2018, 17:09) Перейти к цитате

банально через - или как? буду благодарен за пример через Winbox, не консольную команду.

в налаштуваннях правила прописати порти через дефіс, наприклад 8000-8100, це на вкладці General і на вкладці Action
http://prntscr.com/lokjlk

на вкладці general відкриваются зовнішні порти, а на вкладці action - переадресовується трафік із зовнішніх на внутрішні (т.е. на комп в локалці чи інший девайс)
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Console
Dec 1 2018, 18:51
  
Пост #27



Репутация:   498  
ultra active user
******

Группа: Пользователи
Сообщений: 11 285
С нами с: 23-March 08


(Siroga @ Nov 29 2018, 17:21) Перейти к цитате

в налаштуваннях правила прописати порти через дефіс, наприклад 8000-8100, це на вкладці General і на вкладці Action
http://prntscr.com/lokjlk

на вкладці general відкриваются зовнішні порти, а на вкладці action - переадресовується трафік із зовнішніх на внутрішні (т.е. на комп в локалці чи інший девайс)

Получилось ок..

Еще вопрос... Нашел в инте такую штку от перебора... вроде ввел в терминале... но потом winbox через пару секунд разорвал соединение... sad1.png

CODE Format
/ip firewall filter
add action=add-src-to-address-list address-list=perebor_portov_drop address-list-timeout=30m chain=input comment=Perebor_portov_add_list dst-port=8291 in-interface=wan log=yes log-prefix=Attack protocol=tcp
add action=drop chain=input comment=Perebor_portov_list_drop in-interface=wan src-address-list=perebor_portov_drop


Название интерфейся я тут сократил для форума..

Сообщение отредактировал Console - Dec 1 2018, 19:03
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
YaAllex
Dec 1 2018, 19:13
  
Пост #28



Репутация:   80  
Постоялец
***

Группа: Пользователи
Сообщений: 1 184
С нами с: 15-November 11


Хотя, похоже, вопрос и был риторическим, но все же побуду капитаном очевидностью:
1-ым правилом вы добавляете всех кто стучится через wan interface на порт винбокса в perebor_portov_drop на 30 минут
2-ым правилом запрещаете всем кто в perebor_portov_drop стучатся на маршрутизатор



Сообщение отредактировал YaAllex - Dec 1 2018, 19:16
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Console
Dec 1 2018, 19:21
  
Пост #29



Репутация:   498  
ultra active user
******

Группа: Пользователи
Сообщений: 11 285
С нами с: 23-March 08


(YaAllex @ Dec 1 2018, 19:13) Перейти к цитате

Хотя, похоже, вопрос и был риторическим, но все же побуду капитаном очевидностью:
1-ым правилом вы добавляете всех кто стучится через wan interface на порт винбокса в perebor_portov_drop на 30 минут
2-ым правилом запрещаете всем кто в perebor_portov_drop стучатся на маршрутизатор

Ну я бы сказал у вас полное право disappointed.png
Идея была, что все кто стучится на winbox при неверном пароле, при первом разе попадали в бан на 30 минут, в 2 случае на всегда..
бралось от сюда..
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
YaAllex
Dec 1 2018, 19:29
  
Пост #30



Репутация:   80  
Постоялец
***

Группа: Пользователи
Сообщений: 1 184
С нами с: 15-November 11


Не стоит бездумно копировать чужие конфиги или хотя бы стоит попытаться понять, что они делают.

Я так понимаю маршрутизатор удален(вы из-вне настраиваете)?

Сообщение отредактировал YaAllex - Dec 1 2018, 19:33
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Console
Dec 1 2018, 19:35
  
Пост #31



Репутация:   498  
ultra active user
******

Группа: Пользователи
Сообщений: 11 285
С нами с: 23-March 08


(YaAllex @ Dec 1 2018, 19:29) Перейти к цитате

Не стоит бездумно копировать чужие конфиги или хотя бы стоит попытаться понять, что они делают. SSH должен работать(если не запрещен)

Справедливо..... SSH отключен. Устройство в офисе, сейчас работает не в боевом режиме.. вот пока смотрю учусь набиваю шишки..
Если не сложно разжевать из ссылочки... как сделать защиту от перебора?

Сообщение отредактировал Console - Dec 1 2018, 19:38
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
YaAllex
Dec 1 2018, 19:48
  
Пост #32



Репутация:   80  
Постоялец
***

Группа: Пользователи
Сообщений: 1 184
С нами с: 15-November 11


Для начала вам лучше реализовать защиту от самоблокирования,имхо. Простейшие :
а) создать правило, которое разрешает коннектится к маршрутизатору с определенных белых ай-пи, поставить это правило выше запрещающих.
б) настроить впн
И только потом думать о защите от перебора.

SSH отключен.

facepalm.png Я не внимателен.
Через 30 минут подключитесь по SSH (если параметр указан верно address-list-timeout=30m) и удалите 1 правило, добавляющее в адрес лист всех стучащих на 8291 порт. После чего можете снова пользоваться винбоксом.

По поводу ссылки "как сделать защиту от перебора" - https://bozza.ru/art-264.html (вроде достаточно подробно разжевано).

Сообщение отредактировал YaAllex - Dec 1 2018, 20:02
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Vitaliy_y
Dec 2 2018, 11:22
  
Пост #33



Репутация:   131  
Cтаршой
**

Группа: Пользователи
Сообщений: 962
С нами с: 3-July 07


Научитесь не использовать пароли для критичных сервисов, создайте пользователя с правами ssh read write и заведите авторизацию по сертификам, нет пароля - нет проблем и пусть себе боты сканят сколько влезет.
Если уж сильно приспилило используйте port-knocking для порта ssh.
почитайте про ssh -L, очень удобно пробрасывать на локальный тазик все нужно с микрота, в том числе и любимый порт winbox.
Белые листы с айпишиниками могут сыграть злую шутку когда у вас будет сеть с микротов и один из них взломают.

Как продолжение мысли и вожможные вопросы, хорошая практивка заводить в системе несколько пользователей, первого для ssh с авторизацией по сертификатам для торчащего 22-го порта наружу и второго для всего остального закрытого от доступа из вне по паролю, не умеет winbox с сертификатами работать.
Пысы, не открывайте сервисы управления для внутресетей, я в послее время скрываю все для всех, постучался, зашел на ssh или пробросил что нужно, поковырялся и закрыл.

Сообщение отредактировал Vitaliy_y - Dec 2 2018, 11:28
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Console
Dec 4 2018, 18:48
  
Пост #34



Репутация:   498  
ultra active user
******

Группа: Пользователи
Сообщений: 11 285
С нами с: 23-March 08


Чудо юдо правило я убрал, пока поставил вайтлист на доступ из мира на 1 адрес, и на 2 адреса из локальной. Сети микротиков пока не предвидется но совет полезный..
Угрозы из локальной у меня нет... специфика такая.. но советы отднозначно полезные.
Нужно учится работать с SSH...
Глянуть возможности VPN..
Очень жалко что в винбоксе нет возможности прикрутить ключ RSA...

В любом случае спасибо.. smile.png

Сообщение отредактировал Console - Dec 4 2018, 18:50
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
YaAllex
Dec 4 2018, 20:10
  
Пост #35



Репутация:   80  
Постоялец
***

Группа: Пользователи
Сообщений: 1 184
С нами с: 15-November 11


В винбоксе есть консоль.
Ключи в System->Users-> обратите внимания на SSH *
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Console
Dec 4 2018, 21:02
  
Пост #36



Репутация:   498  
ultra active user
******

Группа: Пользователи
Сообщений: 11 285
С нами с: 23-March 08


(YaAllex @ Dec 4 2018, 20:10) Перейти к цитате

В винбоксе есть консоль.
Ключи в System->Users-> обратите внимания на SSH *

Но это для ssh, винбокс GUI и не по SSH конектится и туда не прикрутить ключ-сертификат.. или я не правильно понял..

Сообщение отредактировал Console - Dec 4 2018, 21:07
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
YaAllex
Dec 4 2018, 21:19
  
Пост #37



Репутация:   80  
Постоялец
***

Группа: Пользователи
Сообщений: 1 184
С нами с: 15-November 11


Но это для ssh, винбокс GUI и не по SSH конектится и туда не прикрутить ключ-сертификат.. или я не правильно понял..


По поводу перевода Winbox-а на авторизацию по ключу не могу подсказать - не имел такого опыта. sad3.png И это я не правильно понял фразу:
Очень жалко что в винбоксе нет возможности прикрутить ключ RSA...

- подразумевалось "прикрутить ключ к авторизации винбокса"

Сообщение отредактировал YaAllex - Dec 4 2018, 21:19
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Console
May 4 2019, 13:10
  
Пост #38



Репутация:   498  
ultra active user
******

Группа: Пользователи
Сообщений: 11 285
С нами с: 23-March 08


И снова вопросы)

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «


Взял пример с микротик википедии, скрипт добаления ip адресов из .txt в список....опытным путем вижу, что предедущий список удалят... но вместо него новый не создает...подазреваю что скрипт стареньки и возможно что то поменялось в routeOS... такое впечетление что скрипт не может найти ipaddress.txt но он лежит в файлах на микротике..

Проблему я нашел... собствено она была прям на видном месте..
https://wiki.mikrotik.com/wiki/Using_Fetch_...P_Address_Lists

CODE Format
Note: This only works with files under 4096 characters in size due to the variable size limit in v3 hopefully they will re-introduce the LUA system in v4 shortly so we can make this work with any size list.

Как быть если список то больше 4096, перебирать или я снова что то завтыкал.. sad1.png


Сообщение отредактировал Console - May 4 2019, 13:51
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
imenno
May 4 2019, 13:59
  
Пост #39



Репутация:   970  
Мистер Равлик
******

Группа: Пользователи
Сообщений: 16 192
С нами с: 24-March 06


а есть где-то гайд как настроить несколько провайдеров на одновременную работу, микротик 962. Или хотя бы на переподключение, при отвале первого и так по очереди. По лану оба подключены и третий это 4г свисток.

Сообщение отредактировал imenno - May 4 2019, 14:01
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
YaAllex
May 4 2019, 14:13
  
Пост #40



Репутация:   80  
Постоялец
***

Группа: Пользователи
Сообщений: 1 184
С нами с: 15-November 11


» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «


Логично было бы предположить, что, в случае ограничений на 1 файл, можно попробовать как то работать с несколькими файлами.


(imenno @ May 4 2019, 14:59) Перейти к цитате

1. а есть где-то гайд как настроить несколько провайдеров на одновременную работу, микротик 962.
2 Или хотя бы на переподключение, при отвале первого и так по очереди. По лану оба подключены и третий это 4г свисток.


1 называется балансировка каналов - google в помощь(информации прилично).
2 - тут нюансы,т.к. резервных каналов больше 2х, нужно будет править скрипт переключения, но почему бы и нет - гуглите, что то типа "переключение на резервный канал mikrotik"

Сообщение отредактировал YaAllex - May 4 2019, 14:15
User is offlineProfile CardPM
Go to the top of the page
+Quote Post

23 Страницы  < 1 2 3 4 > » 
Reply to this topicStart new topic

 



- Упрощённая версия
Сейчас: 21st November 2024 - 11:06
Сайт не розміщує електронні версії творів, а займається лише колекціонуванням та каталогізацією посилань, що публікуються нашими користувачами. Якщо Ви є правовласником якоїсь частини опублікованого матеріалу та не бажаєте, щоб посилання на нього знаходилось в нашому каталозі, зв’яжіться з нами і ми видалимо його. Файли для обміну надані користувачами сайту і адміністрація не несе відповідальності за їх вміст.