Здравствуйте Гость [ Вход | Регистрация ] | Форум в сети 5674-й день

 Mikrotik, отдельная тема по этому оборудованию

mussy
Oct 7 2018, 23:12
  
Пост #1



Репутация:   124  
Постоялец
***

Группа: Пользователи
Сообщений: 1 259
С нами с: 31-January 08


Ранее часто для объединения разных офисов / точек между собой использовал исключительно OPEN VPN. Сейчас начал все больше присматриваться к Mikrotik.

Подскажите, если соединять Mikrotik`овские маршрутизаторы исключительно по EOIP - является ли это достаточным для обеспечения безопасности трафика между офисами? Или нужно еще дополнительно этот туннель шифровать чем-то ?

Сообщение отредактировал Spectral - Jul 15 2020, 22:50
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
13 Страницы  « < 11 12 13  
Reply to this topicStart new topic
Ответов(240 - 254)
artem.ultra
May 19 2021, 18:25
  
Пост #241



Репутация:   104  
Постоялец
***

Группа: Пользователи
Сообщений: 1 442
С нами с: 18-March 09


Всех приветствую!
Ломаю голову как сделать... Вводные
Есть сеть 10.20.2.0/23
Есть Микротик 10.20.3.253
Есть Фортигейт 10.20.3.252
На микротике есть куча сетей, для которых он дефолт. Для сети 10.20.2.0/23 этот микротик тоже дефолт.

Придумал я себе такое, что все должно остаться без изменений, микротик должен быть дефолтом для всех. НО интернет должен выходить через Фортик 10.20.3.252

Что сделал.
на микротике добавил роут 0.0.0.0 на ip фортика 10.20.3.252 и промаркировал роут через mangle
На фортике разрешил нат и все поехало.
НО. Очень странно ведет себя sip, то звука нет в одну сторону нет. то появляется спустя 5-10 сек...
Периодично в логе вижу следующее:

prerouting: in:26T out:(unknown 0), src-mac хх:хх:хх:хх:хх:хх, proto UDP, 10.20.0.164:5060->184.84.249.37:5060, NAT (10.20.0.164:5060->122.122.94.34:5060)->184.84.249.37:5060, len 32

Стронно в этом логе то, что ip 122.122.94.34 принадлежит микротику, через который выходят все остальные сети которые натятся на микротике

Может у кого-то есть более интересная идея как реализовать задачу?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
tiss
May 19 2021, 20:45
  
Пост #242



Репутация:   335  
Старожил
****

Группа: Пользователи
Сообщений: 4 808
С нами с: 21-April 09


(artem.ultra @ May 19 2021, 18:25) Перейти к цитате

На фортике разрешил нат и все поехало.

sip на фортике пропишите в правилах - без него фортик жестко глючит
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
artem.ultra
May 19 2021, 21:36
  
Пост #243



Репутация:   104  
Постоялец
***

Группа: Пользователи
Сообщений: 1 442
С нами с: 18-March 09


(tiss @ May 19 2021, 21:45) Перейти к цитате

sip на фортике пропишите в правилах - без него фортик жестко глючит

отдельным правилом разрешить sip?

у меня сейчас вот так
Open in new window
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Alekssander
Jul 16 2021, 16:19
  
Пост #244



Репутация:   299  
WALKER
****

Группа: Пользователи
Сообщений: 2 017
С нами с: 8-October 07


Подскажите мне как художник художнику. )))
Поставил два MIKROTIK RB4011IGS+RM
Настроил ВПН. На сервере пришлось отключить все правила Файервола, потому как ВПН не хотел соединяться.
Я так понимаю нужно прописать вверху разрешающие правила для ВПНовских портов.
1701,500,4500? Если можно конкретнее. Просто input - protocol - (tcp) - dst.port - 1701 - in.interface - ether1(интернет) - action - accept ?
Правильно?
Ну и потом ниже запрещающие правила.

Сообщение отредактировал Alekssander - Jul 16 2021, 16:23
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Alekssander
Jul 23 2021, 13:04
  
Пост #245



Репутация:   299  
WALKER
****

Группа: Пользователи
Сообщений: 2 017
С нами с: 8-October 07


(Alekssander @ Jul 16 2021, 17:19) Перейти к цитате

Подскажите мне как художник художнику. )))
Поставил два MIKROTIK RB4011IGS+RM
Настроил ВПН. На сервере пришлось отключить все правила Файервола, потому как ВПН не хотел соединяться.
Я так понимаю нужно прописать вверху разрешающие правила для ВПНовских портов.
1701,500,4500? Если можно конкретнее. Просто input - protocol - (tcp) - dst.port - 1701 - in.interface - ether1(интернет) - action - accept ?
Правильно?
Ну и потом ниже запрещающие правила.


Пока такой вариант. Но ещё не проверял.
/ip firewall filter
add chain=input action=accept protocol=udp port=1701,500,4500
add chain=input action=accept protocol=ipsec-esp
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Fanta
Aug 4 2021, 15:34
  
Пост #246



Репутация:   66  
Постоялец
***

Группа: Пользователи
Сообщений: 1 315
С нами с: 31-March 06


Hi ALL
Шось затихла тема ....
Просте питання: мікротік як РоЕ-шний свіч для телефонів - це ок чи не ок ?

Наприклад такий девайс - Mikrotik CSS326-24G-2S+RM (24xPOE, 2xSFP), з врахуванням того що зателефоном буде ноут/ПК то хочеться 1гбіт

Хто що думає?

Сообщение отредактировал Fanta - Aug 4 2021, 15:35
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Emissions
Aug 4 2021, 18:39
  
Пост #247



Репутация:   701  
In Bass We Trust
******

Группа: Пользователи
Сообщений: 12 347
С нами с: 5-January 10


(Fanta @ Aug 4 2021, 16:34) Перейти к цитате

Hi ALL
Шось затихла тема ....
Просте питання: мікротік як РоЕ-шний свіч для телефонів - це ок чи не ок ?

Наприклад такий девайс - Mikrotik CSS326-24G-2S+RM (24xPOE, 2xSFP), з врахуванням того що зателефоном буде ноут/ПК то хочеться 1гбіт

Хто що думає?

а почему не ок? или в чем вопрос


по вольтажу подходит?

и да, у телефона линки гигабитные?

Сообщение отредактировал Emissions - Aug 4 2021, 18:41
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Fanta
Aug 4 2021, 20:48
  
Пост #248



Репутация:   66  
Постоялец
***

Группа: Пользователи
Сообщений: 1 315
С нами с: 31-March 06


лінки - да
телефони: Grandstream GPX 2612p
але походу Mikrotik CSS326-24G-2S+RM це девайс з PoE-IN а не OUT )
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Koka-ftp
Aug 4 2021, 23:22
  
Пост #249



Репутация:   896  
Старожил
****

Группа: Пользователи
Сообщений: 3 240
С нами с: 10-April 08


(Fanta @ Aug 4 2021, 21:48) Перейти к цитате

але походу Mikrotik CSS326-24G-2S+RM це девайс з PoE-IN а не OUT )

смотрите линейку CRS
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Fanta
Aug 10 2021, 15:13
  
Пост #250



Репутация:   66  
Постоялец
***

Группа: Пользователи
Сообщений: 1 315
С нами с: 31-March 06


(Koka-ftp @ Aug 5 2021, 0:22) Перейти к цитате

смотрите линейку CRS

https://lanmarket.ua/mikrotik/cloud-router-...s354-48g-4s-2q/
шось аля такого ??
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Koka-ftp
Aug 16 2021, 9:10
  
Пост #251



Репутация:   896  
Старожил
****

Группа: Пользователи
Сообщений: 3 240
С нами с: 10-April 08


(Fanta @ Aug 10 2021, 16:13) Перейти к цитате

там описание от другой модели)
вот, что надо
https://mikrotik.com/product/crs354_48p_4s_2q_rm
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
AWEA
Aug 28 2021, 17:16
  
Пост #252

Благодарности: 106043

Репутация:   2080  
Edward Blake
*****

Группа: VIP
Сообщений: 6 967
С нами с: 16-January 08


Комрады, прощу помочь.
Готов рассмотреть ситуацию с подключением и настройкой по TeamViewer за вознагрождаждение.

Ситуация:

мне форумчанин помог настроить и обьеденить две локальные сети в одну https://forum.0day.kiev.ua/index.php?showtopic=583582
Но сейчас с ним нет связи, к сожалению. Надеюсь с ним все хорошо.


Если коротко

Есть два "офиса". На одном белый IP и юсб модем Киевстара как резерв, на втором - серый. Два микрика, которые соединены между собой в тоннель L2TP с единственной сетью DHCP (192.168.1.10 и дальше ). Это все было настроено.

192.168.1.2 Шлюз (серый)
192.168.1.1 Шлюз (белый)

Так договорились, что
150+ серый ручками прописываю где возможно
101-145 -динамика серый
10-100 белый


по умолчанию автоматика шла вся через шлюз 192.168.1.1. если он по каким техническим причинам не имеет доступа к интернету, то офис с серым ИП автоматически должен был автоматически переключался на шлюз 2, а офис, там где белый IP - на юсб модем от КС (понятно, что тоннель в это время работать не будет)


я хотел добавить возможность чтобы был еще дополнительно VPN сервер на белом адресе (например когда открытые WIFI сети весь трафик зашифровано гнать через себя), то в настройках нажал непонятно что и ....


автоматика и в ручную если прописывать шлюз 192.168.1.1 (белый адрес ) - не пускает к сети интернет
в ручную прописывать шлюз 192.168.1.2 - пускает под "серым" внешним ИП.

Проблема в том, что есть ряд IoT, которые только на автоматику и получается остались без доступа в сеть интернет и управления.


Задача: 1) пофиксить как было 2) помочь с VPN
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Vitaliy_y
Aug 28 2021, 19:56
  
Пост #253



Репутация:   121  
Cтаршой
**

Группа: Пользователи
Сообщений: 916
С нами с: 3-July 07


Вынос мозга, разделить сети на отдельные не пересекающиеся подсети, нормально настроить маршрутизацию сетей между туннелям, дальше поднять vpn, сейчас это все похоже на какой-то изврат
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
KoNoRIMCI
Sep 11 2021, 21:30
  
Пост #254



Репутация:   569  
Member
***

Группа: Пользователи
Сообщений: 1 555
С нами с: 10-February 09


Представители Mikrotik опубликовали официальное заявление, относительно ботнета Mēris:

«Многие из вас спрашивают, что это за ботнет Mēris, о котором сейчас говорят новостные издания, и есть ли какая-то новая уязвимость в RouterOS.

Насколько нам известно, в этих атаках используются те же маршрутизаторы, которые были взломаны еще в 2018 году, когда в MikroTik RouterOS была найдена уязвимость, которая была быстро исправлена.

К сожалению, исправление уязвимости не сразу защитило маршрутизаторы. Если кто-то узнал ваш пароль в 2018 году, то простое обновление не поможет. Вы также должны сменить пароль, перепроверить свой брандмауэр, чтобы он не разрешал удаленный доступ неизвестным лицам, и поискать скрипты, которых вы не создавали.

Мы пытались связаться со всеми пользователями RouterOS по этому поводу, но многие из них не вышли на связь с MikroTik и не следят за своими устройствами. Сейчас мы ищем другие решения.

Насколько нам известно, на данный момент в этих устройствах нет новых уязвимостей. Недавно RouterOS прошла независимый аудит, которые провели нескольких сторонних подрядчиков.

Если вы обнаружите устройство RouterOS с вредоносными скриптами или конфигурацией SOCKS, созданной не вами, особенно если эта конфигурация появилась только что, недавно, при работе с новой версией RouterOS: пожалуйста, немедленно свяжитесь с нами.

Если точнее, мы предлагаем отключить SOCKS и заглянуть в System -> Scheduler. Отключите все правила, которые вы не сумеете узнать. По умолчанию, в планировщике не должно быть правил, а SOCKS должен быть выключен».
Ботнет Mēris: расследуем крупнейшую DDoS-атаку в истории интернета
Ботнет Mēris атаковал Хабр
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Console
Sep 11 2021, 22:55
  
Пост #255



Репутация:   444  
Ветеран
*****

Группа: Пользователи
Сообщений: 8 169
С нами с: 23-March 08


(KoNoRIMCI @ Sep 11 2021, 22:30) Перейти к цитате

Компрометация креденшелов в чистом виде...
User is online!Profile CardPM
Go to the top of the page
+Quote Post

13 Страницы  « < 11 12 13
Reply to this topicStart new topic

 



- Упрощённая версия
Сейчас: 26th September 2021 - 15:38
Сайт не предоставляет электронные версии произведений, а занимается лишь коллекционированием и каталогизацией ссылок, присылаемых и публикуемых на форуме нашими читателями. Если вы являетесь правообладателем какого-либо представленного материала и не желаете чтобы ссылка на него находилась в нашем каталоге, свяжитесь с нами и мы удалим её. Файлы для обмена предоставлены пользователями сайта.