Mikrotik, отдельная тема по этому оборудованию Опции

[mussy]

Ранее часто для объединения разных офисов / точек между собой использовал исключительно OPEN VPN. Сейчас начал все больше присматриваться к Mikrotik.

Подскажите, если соединять Mikrotik`овские маршрутизаторы исключительно по EOIP - является ли это достаточным для обеспечения безопасности трафика между офисами? Или нужно еще дополнительно этот туннель шифровать чем-то ?

Сообщение отредактировал Spectral - Jul 15 2020, 22:50

[Console]

Ну тут скорей вопрос уровня паранои..и какая задача стоит Если просто соеденить два удаленых офиса может и хватит EOIP, но там условно есть ограниечение на количество машин.
Если вам нужно не просто соеденить два офиса, а действительно обеспечить еще и защиту логичней наверное IPSec VPN в том же микротике. Или отдельное специализированое оборудывание.

[Vitaliy_y]

eoip, l2tp без шифрования не несут никакой защиты.
Смотря какое оборудование, всякие 2011,951 не жуют ipsec больше 30 мегабит, если нужно гонять ethernet over ip тогда l2tp обернутый ipsec, на нормальных железках качается 100-200 мегабит, если нужны простые туннели можно через ikev2, но там с маршрутизацией поиграться надо.
дальше ospf или bgp, анонсишь сети и сидишь в масле
У меня филиалы бегают через l2tp/ipsec,  roads через ikev2

Сообщение отредактировал Vitaliy_y - Oct 8 2018, 7:07

[mussy]

пробовал включать IPsec в свойствах EOIP туннеля, TTL вырастает в два раза =(

[mussy]

Смотря какое оборудование, всякие 2011,951 не жуют ipsec больше 30 мегабит

Сейчас пробую между CHR и 2011. Но планирую между CHR`ами и RB760 (Hex S)

Сообщение отредактировал mussy - Oct 8 2018, 11:41

[tiss]

Сейчас пробую между CHR и 2011. Но планирую между CHR`ами и RB760 (Hex S)

Посмотри hap ac2 - говорят там около 150 Мбит можно выжать.

[Tiger]

Посмотри hap ac2 - говорят там около 150 Мбит можно выжать.

300-400+ стабильно в 5ке.
Дома стоит такой.

[Smog]

hap ac2 для филиалов самое оно. Идеал по соотношению цена-качество.

[post_val]

hap ac2 для филиалов самое оно. Идеал по соотношению цена-качество.

Сколько клиентов? Как по мне, для филиалов маловато. Для дома - очень хорош.

[tiss]

300-400+ стабильно в 5ке.

Вот честно не понял комментария - в какой пятерке?

Сколько клиентов?

А при чем тут клиенты? Я в одиночку загоняю в 40к+ пакетов в секунду на внешнем порту. Все ж от задачи будет зависеть

[x1shn1k]

Вот честно не понял комментария - в какой пятерке?

Частота 5GHz

[Tiger]

Вот честно не понял комментария - в какой пятерке?

Частота 5GHz

[mussy]

Ребята, подскажите, в сети у бухгалетов не работает iFobs клиент банки. Что можно сделать? На TP-link все ок =(
NAT

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

0 ;;; masquerade
chain=srcnat action=masquerade out-interface=WAN1 log=no log-prefix=""
ipsec-policy=out,none

1 chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24
dst-address=192.168.1.110 dst-port=3389 log=no log-prefix=""

2 chain=srcnat action=masquerade protocol=udp src-address=192.168.1.0/24
dst-address=192.168.1.110 dst-port=3389 log=no log-prefix=""

3 ;;; RDP - Server2 - WAN->LAN
chain=dstnat action=netmap to-addresses=192.168.1.110 to-ports=3389
protocol=tcp in-interface=WAN1 dst-port=3389 log=yes log-prefix=""

4 chain=dstnat action=netmap to-addresses=192.168.1.110 to-ports=3389
protocol=udp in-interface=WAN1 dst-port=3389 log=yes log-prefix=""

5 ;;; RDP - Server2 - LAN->WAN
chain=dstnat action=netmap to-addresses=192.168.1.110 to-ports=3389
protocol=tcp src-address=192.168.1.0/24 dst-address=*тут внешний адрес*
dst-port=3389 log=no log-prefix=""
6 chain=dstnat action=netmap to-addresses=192.168.1.110 to-ports=3389
protocol=udp src-address=192.168.1.0/24 dst-address=*тут внешний адрес*
dst-port=3389 log=no log-prefix=""

Firewall

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough

1 ;;; accept established,related,untracked
chain=input action=accept connection-state=established,related,untracked
log=no log-prefix=""

2 ;;; drop invalid
chain=input action=drop connection-state=invalid log=no log-prefix=""

3 ;;; ICMP
chain=input action=drop protocol=icmp in-interface=WAN1 log=no
log-prefix=""

4 X ;;; defconf: drop all not coming from LAN
chain=input action=drop in-interface-list=!LAN log=no log-prefix=""

5 ;;; accept in ipsec policy
chain=forward action=accept log=no log-prefix="" ipsec-policy=in,ipsec

6 ;;; accept out ipsec policy
chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec

7 ;;; fasttrack
chain=forward action=fasttrack-connection
connection-state=established,related log=no log-prefix=""

8 ;;; accept established,related, untracked
chain=forward action=accept
connection-state=established,related,untracked log=no log-prefix=""

9 ;;; drop invalid
chain=forward action=drop connection-state=invalid log=yes log-prefix=""

10 ;;; drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new
connection-nat-state=!dstnat in-interface-list=WAN log=yes log-prefix=""

11 ;;; WinBox
chain=input action=accept protocol=tcp in-interface=WAN1
dst-port=8728,8291 log=yes log-prefix=""

12 chain=input action=accept protocol=udp in-interface=WAN1 dst-port=161
log=no log-prefix=""

13 X ;;; PORTS
chain=forward action=accept protocol=tcp in-interface=WAN1
dst-port=443,7002 log=yes log-prefix=""

14 chain=input action=drop protocol=tcp in-interface=WAN1 dst-port=53 log=no
log-prefix=""

15 chain=input action=drop protocol=udp in-interface=WAN1 dst-port=53 log=no
log-prefix=""

UPnP включен

Сообщение отредактировал mussy - Oct 19 2018, 15:40

[tiss]

Ребята, подскажите, в сети у бухгалетов не работает iFobs клиент банки. Что можно сделать? На TP-link все ок =(

UPnP включен

1. На дефолтном конфиге иФОБС работает без проблем
2. UPnP - это ему не нужно
3. Мне не нравится твое 13 правило
4. иФОБС веб версия или win32 приложение?

Сообщение отредактировал tiss - Oct 20 2018, 7:54

[mussy]

tiss

Это я пробовал принудительно написать разрешение на forward этих протоколов. Правило не активно

Сообщение отредактировал mussy - Oct 20 2018, 12:01

[YaAllex]

Попробуйте метод "поочередного отключения запрещающих правил и оценки результата" - может поможет.

ПС. Небольшие замечания

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

1. Что бы UPnP заработал нужно не только включить, но и настроить(указать внешние/внутренние интерфейсы).
2. У вас включен FastTrack(с ним могут быть неожиданности) -> из документации

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

When FastTrack is enabled, the traffic will bypass queues, firewall and other RouterOS features. When using FastTrack make sure that it is configured properly and does not interfere with other configuration.

Это отличная опция, но почитать "как оно работает" все же стоит.
3. Настройка Nat:
а) Зачем нужны правила 2 и 3, если у Вас 1-ым стоит объединяющее их обоих правило(все подпадает под правило 1 и стоит первым)?
б) Проброс портов осуществляется обычно до маскарадинга.

[tiss]

а) Зачем нужны правила 2 и 3, если у Вас 1-ым стоит объединяющее их обоих правило(все подпадает под правило 1 и стоит первым)?

Не верно. Первое правило отработает если пакет идет в ван-интерфейс.

Попробуйте метод "поочередного отключения запрещающих правил и оценки результата" - может поможет.

Я обычно делаю три правила - акцепт в цепочках ин, аут и форвард и ставлю их первыми. Если в таком варианте пакет не улетает в мир... А вот потом уже отключаю запретки.

[mussy]

2 YaAllex
Да, интерфейсы указывал для UPnP. По NAT tiss написал. Без этих правил клиенты из внутренней сети не могут зайти на проброшенный порт сервиса, если обращаются не по внутреннему, а по внешнему адресу.
Самое интересное, что на сервере, куда проброшен порт 3389, работает iFobs, а у бухов не работает... Не понимаю =(

[tiss]

Дорвался до конфига, где работает иФОБС - простая как угол дома.

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input in-interface=eth1-WAN src-address-list="white list"
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

Я вот задумался - внешний айпи белый? И посмотрел, как сделан доступ рдп из мира:
add action=dst-nat chain=dstnat dst-address=*внешний айпи* dst-port=3389 in-interface=eth1-WAN protocol=tcp to-addresses=192.168.7.252 to-ports=3389

Сообщение отредактировал tiss - Oct 21 2018, 19:23

[mussy]

tiss
да, внешний IP белый.