Mikrotik, отдельная тема по этому оборудованию Опции

[mussy]

Ранее часто для объединения разных офисов / точек между собой использовал исключительно OPEN VPN. Сейчас начал все больше присматриваться к Mikrotik.

Подскажите, если соединять Mikrotik`овские маршрутизаторы исключительно по EOIP - является ли это достаточным для обеспечения безопасности трафика между офисами? Или нужно еще дополнительно этот туннель шифровать чем-то ?

Сообщение отредактировал Spectral - Jul 15 2020, 22:50

[Vitaliy_y]

Маскарадинг при белом внешнем вреден.

11 ;;; WinBox
chain=input action=accept protocol=tcp in-interface=WAN1
dst-port=8728,8291 log=yes log-prefix="" убрать или добавить список белых.
нетмап не в тему.
что трассы говорят?
сделайте експорт и выложите сюда, без паролей.

0 ;;; masquerade
chain=srcnat action=masquerade out-interface=WAN1 log=no log-prefix=""
ipsec-policy=out,none
уберите ipsec-policy=out
или
add action=src-nat chain=srcnat out-interface=WAN1 src-address=192.168.1.0/24 to-addresses=whiteip

hairpin nat лучше делать как велит вики
/ip firewall nat
add chain=srcnat src-address=192.168.1.0/24 \
dst-address=192.168.1.2 protocol=tcp dst-port=80 \
out-interface=LAN action=masquerade

Да,и, что бы пукан потом не горел не выставляйте голым задом 3389 наружу, залюбят, ломанут и будет вава,
настройте port knocking как самое простое решение, благо дело можно запускать на любых платформах.

Сообщение отредактировал Vitaliy_y - Oct 21 2018, 21:19

[tiss]

Маскарадинг при белом внешнем вреден.

Зато при динамическом удобен

[Console]

Что бы не плодить тем, кто подскажет.. в микротике есть уже правило на проброс порта.., но нужно расширить диапазон вместо одного десять портов подрят. 10 отдельных правил или можно указать дапазон.

p.s. может все таки закрепить тему?

Сообщение отредактировал Console - Nov 29 2018, 10:20

[lD1PS1l]

можно указать диапазон

[Console]

можно указать диапазон

банально через - или как? буду благодарен за пример через Winbox, не консольную команду.

[Siroga]

банально через - или как? буду благодарен за пример через Winbox, не консольную команду.

в налаштуваннях правила прописати порти через дефіс, наприклад 8000-8100, це на вкладці General і на вкладці Action
http://prntscr.com/lokjlk

на вкладці general відкриваются зовнішні порти, а на вкладці action - переадресовується трафік із зовнішніх на внутрішні (т.е. на комп в локалці чи інший девайс)

[Console]

в налаштуваннях правила прописати порти через дефіс, наприклад 8000-8100, це на вкладці General і на вкладці Action
http://prntscr.com/lokjlk

на вкладці general відкриваются зовнішні порти, а на вкладці action - переадресовується трафік із зовнішніх на внутрішні (т.е. на комп в локалці чи інший девайс)

Получилось ок..

Еще вопрос... Нашел в инте такую штку от перебора... вроде ввел в терминале... но потом winbox через пару секунд разорвал соединение...

CODE Format

/ip firewall filter
add action=add-src-to-address-list address-list=perebor_portov_drop address-list-timeout=30m chain=input comment=Perebor_portov_add_list dst-port=8291 in-interface=wan log=yes log-prefix=Attack protocol=tcp
add action=drop chain=input comment=Perebor_portov_list_drop in-interface=wan src-address-list=perebor_portov_drop

Название интерфейся я тут сократил для форума..

Сообщение отредактировал Console - Dec 1 2018, 19:03

[YaAllex]

Хотя, похоже, вопрос и был риторическим, но все же побуду капитаном очевидностью:
1-ым правилом вы добавляете всех кто стучится через wan interface на порт винбокса в perebor_portov_drop на 30 минут
2-ым правилом запрещаете всем кто в perebor_portov_drop стучатся на маршрутизатор



Сообщение отредактировал YaAllex - Dec 1 2018, 19:16

[Console]

Хотя, похоже, вопрос и был риторическим, но все же побуду капитаном очевидностью:
1-ым правилом вы добавляете всех кто стучится через wan interface на порт винбокса в perebor_portov_drop на 30 минут
2-ым правилом запрещаете всем кто в perebor_portov_drop стучатся на маршрутизатор

Ну я бы сказал у вас полное право
Идея была, что все кто стучится на winbox при неверном пароле, при первом разе попадали в бан на 30 минут, в 2 случае на всегда..
бралось от сюда..

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

http://mikrotik-ukraine.blogspot.com/2016/08/wan-mikrotik.html

[YaAllex]

Не стоит бездумно копировать чужие конфиги или хотя бы стоит попытаться понять, что они делают.

Я так понимаю маршрутизатор удален(вы из-вне настраиваете)?

Сообщение отредактировал YaAllex - Dec 1 2018, 19:33

[Console]

Не стоит бездумно копировать чужие конфиги или хотя бы стоит попытаться понять, что они делают. SSH должен работать(если не запрещен)

Справедливо..... SSH отключен. Устройство в офисе, сейчас работает не в боевом режиме.. вот пока смотрю учусь набиваю шишки..
Если не сложно разжевать из ссылочки... как сделать защиту от перебора?

Сообщение отредактировал Console - Dec 1 2018, 19:38

[YaAllex]

Для начала вам лучше реализовать защиту от самоблокирования,имхо. Простейшие :
а) создать правило, которое разрешает коннектится к маршрутизатору с определенных белых ай-пи, поставить это правило выше запрещающих.
б) настроить впн
И только потом думать о защите от перебора.

SSH отключен.

Я не внимателен.
Через 30 минут подключитесь по SSH (если параметр указан верно address-list-timeout=30m) и удалите 1 правило, добавляющее в адрес лист всех стучащих на 8291 порт. После чего можете снова пользоваться винбоксом.

По поводу ссылки "как сделать защиту от перебора" - https://bozza.ru/art-264.html (вроде достаточно подробно разжевано).

Сообщение отредактировал YaAllex - Dec 1 2018, 20:02

[Vitaliy_y]

Научитесь не использовать пароли для критичных сервисов, создайте пользователя с правами ssh read write и заведите авторизацию по сертификам, нет пароля - нет проблем и пусть себе боты сканят сколько влезет.
Если уж сильно приспилило используйте port-knocking для порта ssh.
почитайте про ssh -L, очень удобно пробрасывать на локальный тазик все нужно с микрота, в том числе и любимый порт winbox.
Белые листы с айпишиниками могут сыграть злую шутку когда у вас будет сеть с микротов и один из них взломают.

Как продолжение мысли и вожможные вопросы, хорошая практивка заводить в системе несколько пользователей, первого для ssh с авторизацией по сертификатам для торчащего 22-го порта наружу и второго для всего остального закрытого от доступа из вне по паролю, не умеет winbox с сертификатами работать.
Пысы, не открывайте сервисы управления для внутресетей, я в послее время скрываю все для всех, постучался, зашел на ssh или пробросил что нужно, поковырялся и закрыл.

Сообщение отредактировал Vitaliy_y - Dec 2 2018, 11:28

[Console]

Чудо юдо правило я убрал, пока поставил вайтлист на доступ из мира на 1 адрес, и на 2 адреса из локальной. Сети микротиков пока не предвидется но совет полезный..
Угрозы из локальной у меня нет... специфика такая.. но советы отднозначно полезные.
Нужно учится работать с SSH...
Глянуть возможности VPN..
Очень жалко что в винбоксе нет возможности прикрутить ключ RSA...

В любом случае спасибо..

Сообщение отредактировал Console - Dec 4 2018, 18:50

[YaAllex]

В винбоксе есть консоль.
Ключи в System->Users-> обратите внимания на SSH *

[Console]

В винбоксе есть консоль.
Ключи в System->Users-> обратите внимания на SSH *

Но это для ssh, винбокс GUI и не по SSH конектится и туда не прикрутить ключ-сертификат.. или я не правильно понял..

Сообщение отредактировал Console - Dec 4 2018, 21:07

[YaAllex]

Но это для ssh, винбокс GUI и не по SSH конектится и туда не прикрутить ключ-сертификат.. или я не правильно понял..

По поводу перевода Winbox-а на авторизацию по ключу не могу подсказать - не имел такого опыта. И это я не правильно понял фразу:

Очень жалко что в винбоксе нет возможности прикрутить ключ RSA...

- подразумевалось "прикрутить ключ к авторизации винбокса"

Сообщение отредактировал YaAllex - Dec 4 2018, 21:19

[Console]

И снова вопросы)

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

CODE Format

## Generic IP address list input
   ## Based on a script written by Sam Norris, ChangeIP.com 2008
   ## Edited by Andrew Cox, AccessPlus.com.au 2008
   :if ( [/file get [/file find name=ipaddress.txt] size] > 0 ) do={
   # Remove exisiting addresses from the current Address list
   /ip firewall address-list remove [/ip firewall address-list find list=online_block]
  
   :global content [/file get [/file find name=ipaddress.txt] contents];
   :global contentLen [ :len $content ];
  
   :global lineEnd 0;
   :global line "";
   :global lastEnd 0;
  
   :do {
         :set lineEnd [:find $content "\n" $lastEnd ];
         :set line [:pick $content $lastEnd $lineEnd];
         :set lastEnd ( $lineEnd + 1 );
         #If the line doesn't start with a hash then process and add to the list
         :if ( [:pick $line 0 1] != "#" ) do={
  
        :local entry [:pick $line 0 $lineEnd ]
        :if ( [:len $entry ] > 0 ) do={
           /ip firewall address-list add list=online_block address=$entry
        }
      }
   } while ($lineEnd < $contentLen)
   }

Взял пример с микротик википедии, скрипт добаления ip адресов из .txt в список....опытным путем вижу, что предедущий список удалят... но вместо него новый не создает...подазреваю что скрипт стареньки и возможно что то поменялось в routeOS... такое впечетление что скрипт не может найти ipaddress.txt но он лежит в файлах на микротике..

Проблему я нашел... собствено она была прям на видном месте..
https://wiki.mikrotik.com/wiki/Using_Fetch_...P_Address_Lists

CODE Format

Note: This only works with files under 4096 characters in size due to the variable size limit in v3 hopefully they will re-introduce the LUA system in v4 shortly so we can make this work with any size list.

Как быть если список то больше 4096, перебирать или я снова что то завтыкал..


Сообщение отредактировал Console - May 4 2019, 13:51

[imenno]

а есть где-то гайд как настроить несколько провайдеров на одновременную работу, микротик 962. Или хотя бы на переподключение, при отвале первого и так по очереди. По лану оба подключены и третий это 4г свисток.

Сообщение отредактировал imenno - May 4 2019, 14:01

[YaAllex]

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

И снова вопросы)

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

CODE Format

## Generic IP address list input
   ## Based on a script written by Sam Norris, ChangeIP.com 2008
   ## Edited by Andrew Cox, AccessPlus.com.au 2008
   :if ( [/file get [/file find name=ipaddress.txt] size] > 0 ) do={
   # Remove exisiting addresses from the current Address list
   /ip firewall address-list remove [/ip firewall address-list find list=online_block]
  
   :global content [/file get [/file find name=ipaddress.txt] contents];
   :global contentLen [ :len $content ];
  
   :global lineEnd 0;
   :global line "";
   :global lastEnd 0;
  
   :do {
         :set lineEnd [:find $content "\n" $lastEnd ];
         :set line [:pick $content $lastEnd $lineEnd];
         :set lastEnd ( $lineEnd + 1 );
         #If the line doesn't start with a hash then process and add to the list
         :if ( [:pick $line 0 1] != "#" ) do={
  
        :local entry [:pick $line 0 $lineEnd ]
        :if ( [:len $entry ] > 0 ) do={
           /ip firewall address-list add list=online_block address=$entry
        }
      }
   } while ($lineEnd < $contentLen)
   }

Взял пример с микротик википедии, скрипт добаления ip адресов из .txt в список....опытным путем вижу, что предедущий список удалят... но вместо него новый не создает...подазреваю что скрипт стареньки и возможно что то поменялось в routeOS... такое впечетление что скрипт не может найти ipaddress.txt но он лежит в файлах на микротике..

Проблему я нашел... собствено она была прям на видном месте..
https://wiki.mikrotik.com/wiki/Using_Fetch_...P_Address_Lists

CODE Format

Note: This only works with files under 4096 characters in size due to the variable size limit in v3 hopefully they will re-introduce the LUA system in v4 shortly so we can make this work with any size list.

Как быть если список то больше 4096, перебирать или я снова что то завтыкал..

Логично было бы предположить, что, в случае ограничений на 1 файл, можно попробовать как то работать с несколькими файлами.

1. а есть где-то гайд как настроить несколько провайдеров на одновременную работу, микротик 962.
2 Или хотя бы на переподключение, при отвале первого и так по очереди. По лану оба подключены и третий это 4г свисток.

1 называется балансировка каналов - google в помощь(информации прилично).
2 - тут нюансы,т.к. резервных каналов больше 2х, нужно будет править скрипт переключения, но почему бы и нет - гуглите, что то типа "переключение на резервный канал mikrotik"

Сообщение отредактировал YaAllex - May 4 2019, 14:15