Mikrotik, отдельная тема по этому оборудованию |
Здравствуйте Гость [ Вход | Регистрация ] | Форум в сети 6810-й день
Шановні користувачі! Запрошуємо вас до офіційного телеграм-канала 0day Community. Тут ви зможете поспілкуватися одне з одним та дізнатися про останні новини щодо роботи ресурса, поставити запитання до адміністрації, тощо. Перейти до телеграм-канала можна відсканувавши QR-код або натиснувши на посилання: @zeroday_ua |
Mikrotik, отдельная тема по этому оборудованию |
mussy |
Oct 7 2018, 23:12
Пост
#1
|
Репутация: 143 Постоялец Группа: Пользователи Сообщений: 1 431 С нами с: 31-January 08 |
Ранее часто для объединения разных офисов / точек между собой использовал исключительно OPEN VPN. Сейчас начал все больше присматриваться к Mikrotik.
Подскажите, если соединять Mikrotik`овские маршрутизаторы исключительно по EOIP - является ли это достаточным для обеспечения безопасности трафика между офисами? Или нужно еще дополнительно этот туннель шифровать чем-то ? Сообщение отредактировал Spectral - Jul 15 2020, 22:50 |
Console |
Oct 8 2018, 6:47
Пост
#2
|
Репутация: 498 ultra active user Группа: Пользователи Сообщений: 11 285 С нами с: 23-March 08 |
Ну тут скорей вопрос уровня паранои..и какая задача стоит Если просто соеденить два удаленых офиса может и хватит EOIP, но там условно есть ограниечение на количество машин.
Если вам нужно не просто соеденить два офиса, а действительно обеспечить еще и защиту логичней наверное IPSec VPN в том же микротике. Или отдельное специализированое оборудывание. |
Vitaliy_y |
Oct 8 2018, 7:04
Пост
#3
|
Репутация: 131 Cтаршой Группа: Пользователи Сообщений: 962 С нами с: 3-July 07 |
eoip, l2tp без шифрования не несут никакой защиты.
Смотря какое оборудование, всякие 2011,951 не жуют ipsec больше 30 мегабит, если нужно гонять ethernet over ip тогда l2tp обернутый ipsec, на нормальных железках качается 100-200 мегабит, если нужны простые туннели можно через ikev2, но там с маршрутизацией поиграться надо. дальше ospf или bgp, анонсишь сети и сидишь в масле У меня филиалы бегают через l2tp/ipsec, roads через ikev2 Сообщение отредактировал Vitaliy_y - Oct 8 2018, 7:07 |
mussy |
Oct 8 2018, 11:23
Пост
#4
|
Репутация: 143 Постоялец Группа: Пользователи Сообщений: 1 431 С нами с: 31-January 08 |
пробовал включать IPsec в свойствах EOIP туннеля, TTL вырастает в два раза =(
|
mussy |
Oct 8 2018, 11:35
Пост
#5
|
Репутация: 143 Постоялец Группа: Пользователи Сообщений: 1 431 С нами с: 31-January 08 |
|
tiss |
Oct 9 2018, 19:25
Пост
#6
|
Репутация: 335 Старожил Группа: Пользователи Сообщений: 4 818 С нами с: 21-April 09 |
|
Tiger |
Oct 17 2018, 12:46
Пост
#7
|
Благодарности: 1756 Репутация: 1227 Праведник Группа: CуперМодеры Сообщений: 13 211 С нами с: 20-October 06 |
|
Smog |
Oct 17 2018, 14:20
Пост
#8
|
Репутация: 21 Дух Группа: Пользователи Сообщений: 136 С нами с: 14-May 06 |
hap ac2 для филиалов самое оно. Идеал по соотношению цена-качество.
|
post_val |
Oct 17 2018, 22:23
Пост
#9
|
Репутация: 87 Активист Группа: Пользователи Сообщений: 425 С нами с: 6-January 10 |
|
tiss |
Oct 18 2018, 6:57
Пост
#10
|
Репутация: 335 Старожил Группа: Пользователи Сообщений: 4 818 С нами с: 21-April 09 |
|
x1shn1k |
Oct 18 2018, 10:20
Пост
#11
|
Репутация: 531 Старожил Группа: Пользователи Сообщений: 2 907 С нами с: 2-April 06 |
|
Tiger |
Oct 18 2018, 11:49
Пост
#12
|
Благодарности: 1756 Репутация: 1227 Праведник Группа: CуперМодеры Сообщений: 13 211 С нами с: 20-October 06 |
|
mussy |
Oct 19 2018, 15:38
Пост
#13
|
Репутация: 143 Постоялец Группа: Пользователи Сообщений: 1 431 С нами с: 31-January 08 |
Ребята, подскажите, в сети у бухгалетов не работает iFobs клиент банки. Что можно сделать? На TP-link все ок =(
NAT » Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... « Firewall » Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... « UPnP включен Сообщение отредактировал mussy - Oct 19 2018, 15:40 |
tiss |
Oct 20 2018, 7:54
Пост
#14
|
Репутация: 335 Старожил Группа: Пользователи Сообщений: 4 818 С нами с: 21-April 09 |
Ребята, подскажите, в сети у бухгалетов не работает iFobs клиент банки. Что можно сделать? На TP-link все ок =( UPnP включен 1. На дефолтном конфиге иФОБС работает без проблем 2. UPnP - это ему не нужно 3. Мне не нравится твое 13 правило 4. иФОБС веб версия или win32 приложение? Сообщение отредактировал tiss - Oct 20 2018, 7:54 |
mussy |
Oct 20 2018, 11:44
Пост
#15
|
Репутация: 143 Постоялец Группа: Пользователи Сообщений: 1 431 С нами с: 31-January 08 |
tiss
Это я пробовал принудительно написать разрешение на forward этих протоколов. Правило не активно Сообщение отредактировал mussy - Oct 20 2018, 12:01 |
YaAllex |
Oct 21 2018, 13:23
Пост
#16
|
Репутация: 80 Постоялец Группа: Пользователи Сообщений: 1 184 С нами с: 15-November 11 |
Попробуйте метод "поочередного отключения запрещающих правил и оценки результата" - может поможет.
ПС. Небольшие замечания » Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... « |
tiss |
Oct 21 2018, 16:56
Пост
#17
|
Репутация: 335 Старожил Группа: Пользователи Сообщений: 4 818 С нами с: 21-April 09 |
а) Зачем нужны правила 2 и 3, если у Вас 1-ым стоит объединяющее их обоих правило(все подпадает под правило 1 и стоит первым)? Не верно. Первое правило отработает если пакет идет в ван-интерфейс. Попробуйте метод "поочередного отключения запрещающих правил и оценки результата" - может поможет. Я обычно делаю три правила - акцепт в цепочках ин, аут и форвард и ставлю их первыми. Если в таком варианте пакет не улетает в мир... А вот потом уже отключаю запретки. |
mussy |
Oct 21 2018, 17:55
Пост
#18
|
Репутация: 143 Постоялец Группа: Пользователи Сообщений: 1 431 С нами с: 31-January 08 |
2 YaAllex
Да, интерфейсы указывал для UPnP. По NAT tiss написал. Без этих правил клиенты из внутренней сети не могут зайти на проброшенный порт сервиса, если обращаются не по внутреннему, а по внешнему адресу. Самое интересное, что на сервере, куда проброшен порт 3389, работает iFobs, а у бухов не работает... Не понимаю =( |
tiss |
Oct 21 2018, 19:22
Пост
#19
|
Репутация: 335 Старожил Группа: Пользователи Сообщений: 4 818 С нами с: 21-April 09 |
Дорвался до конфига, где работает иФОБС - простая как угол дома.
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... « Я вот задумался - внешний айпи белый? И посмотрел, как сделан доступ рдп из мира: add action=dst-nat chain=dstnat dst-address=*внешний айпи* dst-port=3389 in-interface=eth1-WAN protocol=tcp to-addresses=192.168.7.252 to-ports=3389 Сообщение отредактировал tiss - Oct 21 2018, 19:23 |
mussy |
Oct 21 2018, 20:48
Пост
#20
|
Репутация: 143 Постоялец Группа: Пользователи Сообщений: 1 431 С нами с: 31-January 08 |
tiss
да, внешний IP белый. |
Упрощённая версия | Сейчас: 5th November 2024 - 14:28 |
Сайт не розміщує електронні версії творів, а займається лише колекціонуванням та каталогізацією посилань, що публікуються нашими користувачами. Якщо Ви є правовласником якоїсь частини опублікованого матеріалу та не бажаєте, щоб посилання на нього знаходилось в нашому каталозі, зв’яжіться з нами і ми видалимо його. Файли для обміну надані користувачами сайту і адміністрація не несе відповідальності за їх вміст. |