Здравствуйте Гость [ Вход | Регистрация ] | Форум в сети 6810-й день

Шановні користувачі! Запрошуємо вас до офіційного телеграм-канала 0day Community. Тут ви зможете поспілкуватися одне з одним та дізнатися про останні новини щодо роботи ресурса, поставити запитання до адміністрації, тощо. Перейти до телеграм-канала можна відсканувавши QR-код або натиснувши на посилання: @zeroday_ua

 Mikrotik, отдельная тема по этому оборудованию

mussy
Oct 7 2018, 23:12
  
Пост #1



Репутация:   143  
Постоялец
***

Группа: Пользователи
Сообщений: 1 431
С нами с: 31-January 08


Ранее часто для объединения разных офисов / точек между собой использовал исключительно OPEN VPN. Сейчас начал все больше присматриваться к Mikrotik.

Подскажите, если соединять Mikrotik`овские маршрутизаторы исключительно по EOIP - является ли это достаточным для обеспечения безопасности трафика между офисами? Или нужно еще дополнительно этот туннель шифровать чем-то ?

Сообщение отредактировал Spectral - Jul 15 2020, 22:50
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
23 Страницы   1 2 3 > »   
Reply to this topicStart new topic
Ответов(1 - 19)
Console
Oct 8 2018, 6:47
  
Пост #2



Репутация:   498  
ultra active user
******

Группа: Пользователи
Сообщений: 11 285
С нами с: 23-March 08


Ну тут скорей вопрос уровня паранои..и какая задача стоит Если просто соеденить два удаленых офиса может и хватит EOIP, но там условно есть ограниечение на количество машин.
Если вам нужно не просто соеденить два офиса, а действительно обеспечить еще и защиту логичней наверное IPSec VPN в том же микротике. Или отдельное специализированое оборудывание.



User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Vitaliy_y
Oct 8 2018, 7:04
  
Пост #3



Репутация:   131  
Cтаршой
**

Группа: Пользователи
Сообщений: 962
С нами с: 3-July 07


eoip, l2tp без шифрования не несут никакой защиты.
Смотря какое оборудование, всякие 2011,951 не жуют ipsec больше 30 мегабит, если нужно гонять ethernet over ip тогда l2tp обернутый ipsec, на нормальных железках качается 100-200 мегабит, если нужны простые туннели можно через ikev2, но там с маршрутизацией поиграться надо.
дальше ospf или bgp, анонсишь сети и сидишь в масле smile.gif
У меня филиалы бегают через l2tp/ipsec,  roads через ikev2

Сообщение отредактировал Vitaliy_y - Oct 8 2018, 7:07
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
mussy
Oct 8 2018, 11:23
  
Пост #4



Репутация:   143  
Постоялец
***

Группа: Пользователи
Сообщений: 1 431
С нами с: 31-January 08


пробовал включать IPsec в свойствах EOIP туннеля, TTL вырастает в два раза =(
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
mussy
Oct 8 2018, 11:35
  
Пост #5



Репутация:   143  
Постоялец
***

Группа: Пользователи
Сообщений: 1 431
С нами с: 31-January 08


(Vitaliy_y @ Oct 8 2018, 8:04) Перейти к цитате

Смотря какое оборудование, всякие 2011,951 не жуют ipsec больше 30 мегабит

Сейчас пробую между CHR и 2011. Но планирую между CHR`ами и RB760 (Hex S)

Сообщение отредактировал mussy - Oct 8 2018, 11:41
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
tiss
Oct 9 2018, 19:25
  
Пост #6



Репутация:   335  
Старожил
****

Группа: Пользователи
Сообщений: 4 818
С нами с: 21-April 09


(mussy @ Oct 8 2018, 11:35) Перейти к цитате

Сейчас пробую между CHR и 2011. Но планирую между CHR`ами и RB760 (Hex S)


Посмотри hap ac2 - говорят там около 150 Мбит можно выжать.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Tiger
Oct 17 2018, 12:46
  
Пост #7

Благодарности: 1756

Репутация:   1227  
Праведник
******

Группа: CуперМодеры
Сообщений: 13 211
С нами с: 20-October 06


(tiss @ Oct 9 2018, 20:25) Перейти к цитате

Посмотри hap ac2 - говорят там около 150 Мбит можно выжать.

300-400+ стабильно в 5ке.
Дома стоит такой.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Smog
Oct 17 2018, 14:20
  
Пост #8



Репутация:   21  
Дух


Группа: Пользователи
Сообщений: 136
С нами с: 14-May 06


hap ac2 для филиалов самое оно. Идеал по соотношению цена-качество.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
post_val
Oct 17 2018, 22:23
  
Пост #9



Репутация:   87  
Активист
*

Группа: Пользователи
Сообщений: 425
С нами с: 6-January 10


(Smog @ Oct 17 2018, 15:20) Перейти к цитате

hap ac2 для филиалов самое оно. Идеал по соотношению цена-качество.

Сколько клиентов? Как по мне, для филиалов маловато. Для дома - очень хорош.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
tiss
Oct 18 2018, 6:57
  
Пост #10



Репутация:   335  
Старожил
****

Группа: Пользователи
Сообщений: 4 818
С нами с: 21-April 09


(Tiger @ Oct 17 2018, 12:46) Перейти к цитате

300-400+ стабильно в 5ке.


Вот честно не понял комментария - в какой пятерке?

(post_val @ Oct 17 2018, 22:23) Перейти к цитате

Сколько клиентов?

А при чем тут клиенты? Я в одиночку загоняю в 40к+ пакетов в секунду на внешнем порту. Все ж от задачи будет зависеть
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
x1shn1k
Oct 18 2018, 10:20
  
Пост #11



Репутация:   531  
Старожил
****

Группа: Пользователи
Сообщений: 2 907
С нами с: 2-April 06


(tiss @ Oct 18 2018, 7:57) Перейти к цитате

Вот честно не понял комментария - в какой пятерке?

Частота 5GHz
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Tiger
Oct 18 2018, 11:49
  
Пост #12

Благодарности: 1756

Репутация:   1227  
Праведник
******

Группа: CуперМодеры
Сообщений: 13 211
С нами с: 20-October 06


(tiss @ Oct 18 2018, 7:57) Перейти к цитате

Вот честно не понял комментария - в какой пятерке?

Частота 5GHz
yes.gif
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
mussy
Oct 19 2018, 15:38
  
Пост #13



Репутация:   143  
Постоялец
***

Группа: Пользователи
Сообщений: 1 431
С нами с: 31-January 08


Ребята, подскажите, в сети у бухгалетов не работает iFobs клиент банки. Что можно сделать? На TP-link все ок =(
NAT
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Firewall
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

UPnP включен

Сообщение отредактировал mussy - Oct 19 2018, 15:40
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
tiss
Oct 20 2018, 7:54
  
Пост #14



Репутация:   335  
Старожил
****

Группа: Пользователи
Сообщений: 4 818
С нами с: 21-April 09


(mussy @ Oct 19 2018, 15:38) Перейти к цитате

Ребята, подскажите, в сети у бухгалетов не работает iFobs клиент банки. Что можно сделать? На TP-link все ок =(

UPnP включен


1. На дефолтном конфиге иФОБС работает без проблем
2. UPnP - это ему не нужно
3. Мне не нравится твое 13 правило
4. иФОБС веб версия или win32 приложение?

Сообщение отредактировал tiss - Oct 20 2018, 7:54
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
mussy
Oct 20 2018, 11:44
  
Пост #15



Репутация:   143  
Постоялец
***

Группа: Пользователи
Сообщений: 1 431
С нами с: 31-January 08


tiss

Это я пробовал принудительно написать разрешение на forward этих протоколов. Правило не активно

Сообщение отредактировал mussy - Oct 20 2018, 12:01
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
YaAllex
Oct 21 2018, 13:23
  
Пост #16



Репутация:   80  
Постоялец
***

Группа: Пользователи
Сообщений: 1 184
С нами с: 15-November 11


Попробуйте метод "поочередного отключения запрещающих правил и оценки результата" - может поможет.

ПС. Небольшие замечания
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
tiss
Oct 21 2018, 16:56
  
Пост #17



Репутация:   335  
Старожил
****

Группа: Пользователи
Сообщений: 4 818
С нами с: 21-April 09


(YaAllex @ Oct 21 2018, 13:23) Перейти к цитате

а) Зачем нужны правила 2 и 3, если у Вас 1-ым стоит объединяющее их обоих правило(все подпадает под правило 1 и стоит первым)?


Не верно. Первое правило отработает если пакет идет в ван-интерфейс.

(YaAllex @ Oct 21 2018, 13:23) Перейти к цитате

Попробуйте метод "поочередного отключения запрещающих правил и оценки результата" - может поможет.

Я обычно делаю три правила - акцепт в цепочках ин, аут и форвард и ставлю их первыми. Если в таком варианте пакет не улетает в мир... А вот потом уже отключаю запретки.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
mussy
Oct 21 2018, 17:55
  
Пост #18



Репутация:   143  
Постоялец
***

Группа: Пользователи
Сообщений: 1 431
С нами с: 31-January 08


2 YaAllex
Да, интерфейсы указывал для UPnP. По NAT tiss написал. Без этих правил клиенты из внутренней сети не могут зайти на проброшенный порт сервиса, если обращаются не по внутреннему, а по внешнему адресу.
Самое интересное, что на сервере, куда проброшен порт 3389, работает iFobs, а у бухов не работает... Не понимаю =(
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
tiss
Oct 21 2018, 19:22
  
Пост #19



Репутация:   335  
Старожил
****

Группа: Пользователи
Сообщений: 4 818
С нами с: 21-April 09


Дорвался до конфига, где работает иФОБС - простая как угол дома.
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Я вот задумался - внешний айпи белый? И посмотрел, как сделан доступ рдп из мира:
add action=dst-nat chain=dstnat dst-address=*внешний айпи* dst-port=3389 in-interface=eth1-WAN protocol=tcp to-addresses=192.168.7.252 to-ports=3389

Сообщение отредактировал tiss - Oct 21 2018, 19:23
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
mussy
Oct 21 2018, 20:48
  
Пост #20



Репутация:   143  
Постоялец
***

Группа: Пользователи
Сообщений: 1 431
С нами с: 31-January 08


tiss
да, внешний IP белый.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post

23 Страницы   1 2 3 > » 
Reply to this topicStart new topic

 



- Упрощённая версия
Сейчас: 5th November 2024 - 14:28
Сайт не розміщує електронні версії творів, а займається лише колекціонуванням та каталогізацією посилань, що публікуються нашими користувачами. Якщо Ви є правовласником якоїсь частини опублікованого матеріалу та не бажаєте, щоб посилання на нього знаходилось в нашому каталозі, зв’яжіться з нами і ми видалимо його. Файли для обміну надані користувачами сайту і адміністрація не несе відповідальності за їх вміст.