Mikrotik u stationu i portforward
- poruka: 145
- |
- čitano: 41.987
- |
- moderatori:
Lazarus Long, pirat, XXX-Man, DrNasty, vincimus
Hvala probat ću kad si sve složim.
Nije mi dao vrag mira. Znači zafrkavam se dva dana bez veze, a windowsi krivi(ustvari ja).
A nisam posumnjao u to jer mi je to sve radilo prije 15tak dana dok sam bio bez mikrotika.
Ajd jedno usputno pitanje. Kako se zaštititi ako me netko stalno pinga, skenira mrežu ili u tom smislu nešta?
Rekoh ti gasi Firewall za probu :)
Default pravila te štite već, al ako hoćeš dodatnu zaštitu od tipa port skenera možeš ovo paste u terminal i stavi kao top rule sve ovim redosljedom.
Automatski čim te netko pokuša skenirati na otvorene portove stavit će ip adresu 2 tjedna na blokadu, s tim da je exclude tvoja interna mreža da ne izblokiraš sam sebi ako skeniraš mrežu zbog nekog razloga.
/ip firewall filter
add action=add-src-to-address-list address-list="port scanners" src-address=!192.168.88.0/24 address-list-timeout=2w chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" src-address=!192.168.88.0/24 address-list-timeout=2w chain=input comment="Port Scanner Detect" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" src-address=!192.168.88.0/24 address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" src-address=!192.168.88.0/24 address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" src-address=!192.168.88.0/24 address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" src-address=!192.168.88.0/24 address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" src-address=!192.168.88.0/24 address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" src-address=!192.168.88.0/24 address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="dropping port scanners" log=yes src-address=!192.168.88.0/24 src-address-list="port scanners"
/ip firewall raw
add action=drop chain=prerouting src-address=!192.168.88.0/24 src-address-list="port scanners"
Ovo meni svako malo hvate neke kineske adrese koji mi skeniraju portove da vide jel mi mogu exploit nešto ne mreži itd..
src-address=!192.168.0.0/16 bi trebo stavit, jer mora uključit i t-com privatni subnet. Pošto već radi double nat
Ovo
https://wiki.mikrotik.com/wiki/Drop_port_scanners
i ovo
https://wiki.mikrotik.com/wiki/Bruteforce_login_prevention
Ovo drugo da koristim ili ne, prvo je što si i ti napisao? A default postavke što su u tiku sam diseblao jer neznam šta koja radi. A već vidim u glogu neke talijanske adrese da mi se pokušavaju logirati.
Ili da stavim samo ovo što si ti napisao?
Default postavke svakako ostavi, jer ti to daje neki osnovni firewall na koji kasnije možeš nadograđivati.
OK. A na rulovima koje želim pratiti samo moram LOG omogućiti da bi vidio šta se događa?
I gdje da stavim fikxnu ip adresu na wlan1, koji je u stationu i kaći se na tcom. Stavio sam na tcomovom routeru da mi za taj mac rezervira ip adresu, ali bih volio isto napraviti i na tiku.
Da, samo logiraj, imas i prefix, tako da znas kaj je dropano, koji su invalid itd...
inace odu na dhcp server pa lease ili registration... i tamo nađi lease od kompa. Mislim da ti je 88.254 adresa.. dupli klik na to i imaš tamo make static gumb ili tak nesto.
Da, samo logiraj, imas i prefix, tako da znas kaj je dropano, koji su invalid itd...
inace odu na dhcp server pa lease ili registration... i tamo nađi lease od kompa. Mislim da ti je 88.254 adresa.. dupli klik na to i imaš tamo make static gumb ili tak nesto.
Ok, to mi je za static od uređaja na mreži. Ali ovo mi je wlan1 kojeg tamo nema, imam ga u DHCP client i IP address list.
Sve sam prebacio na tika sada i sve super radi, portovi, pristupi NAS-u, RPI-u, lokalno, izvana. Super.
Uključio sam i Cloud(mynetname) i moram isključiti ovaj rule u firewallu da bi mi radio mynetname: drop all not coming from LAN.
Da li se tu šta da dodatno napraviti oko zaštite?
DHCP client makneš s tog interface-a i onda staviti manualno u IP->Address List
Dodaš novu adresu na interface wlan1, npr. 192.168.1.2/24
Nakon toga moraš stavit rutu:
IP->Routes
Dodaš novu, dest address ti je 0.0.0.0/0, gateway ti je IP t-com routera... 192.168.1.1/24 ili kaj vec je.
Ali onda moraš dodati i default DNS za router.
IP->DNS
I pod Servers dodaj novi .. npr.. 1.1.1.1 ili 8.8.8.8
Ovo drop all not coming from LAN se odnosi na input, odnosno na konekciju koja ide drito na router (naprimjer Winbox) i to tako treba biti. IP cloud bi trebao raditi i sa tim rule-om ukljucenim. I da, OSTAVI taj rule UKLJUCEN. Sa default firewall-om ukljucenim bi sve trebalo raditi bez problema.
Makar posto si iza NAT-a nisam ni sam siguran kako IP->Cloud radi resolve IP adrese. Ako gleda interface onda naravno da nece raditi, al ak dobije vlastiti IP iz nekog DNS servera trebalo bi raditi bez problema.
DHCP client makneš s tog interface-a i onda staviti manualno u IP->Address List
Dodaš novu adresu na interface wlan1, npr. 192.168.1.2/24
Nakon toga moraš stavit rutu:
IP->Routes
Dodaš novu, dest address ti je 0.0.0.0/0, gateway ti je IP t-com routera... 192.168.1.1/24 ili kaj vec je.
Ali onda moraš dodati i default DNS za router.
IP->DNS
I pod Servers dodaj novi .. npr.. 1.1.1.1 ili 8.8.8.8
Ovo drop all not coming from LAN se odnosi na input, odnosno na konekciju koja ide drito na router (naprimjer Winbox) i to tako treba biti. IP cloud bi trebao raditi i sa tim rule-om ukljucenim. I da, OSTAVI taj rule UKLJUCEN. Sa default firewall-om ukljucenim bi sve trebalo raditi bez problema.
Makar posto si iza NAT-a nisam ni sam siguran kako IP->Cloud radi resolve IP adrese.
Ok za fix ip, probat ću.
A za firewall. Kad uključim taj rule onda nemogu pustiti port 80, i nemogu doći do tika sa cloudom. Čim ga diseblam mogu doći do tika sa cloudom. Možda nije dobar raspored rulova, može to biti problem?
Hm.. a odakle ne možeš pristupiti ticku? S interneta?, jer ako je odgovor da... ne bi ni trebao. Nego si prvo namjestiš VPN pristup kojim se spjiš pa onda pristupaš routeru.
Nemoj ostavljat pristup routeru s javnih adresa. Glavno pravilo kod rulova ti je da ide od broja 0 i prema većem broju, odnosno s vrha liste prema dolje.
Prvo staviš accept, a onda drop. Jer kako on paket uspoređuje sa rulovima može se dogoditi da dropa paket, ako je drop iznac accepta.. makar bi u nekom od sljedećih koraka paket bio prihvaćen preko nekog accept rula.
Hm.. a odakle ne možeš pristupiti ticku? S interneta?, jer ako je odgovor da... ne bi ni trebao. Nego si prvo namjestiš VPN pristup kojim se spjiš pa onda pristupaš routeru.
Nemoj ostavljat pristup routeru s javnih adresa. Glavno pravilo kod rulova ti je da ide od broja 0 i prema većem broju, odnosno s vrha liste prema dolje.
Prvo staviš accept, a onda drop. Jer kako on paket uspoređuje sa rulovima može se dogoditi da dropa paket, ako je drop iznac accepta.. makar bi u nekom od sljedećih koraka paket bio prihvaćen preko nekog accept rula.
Da s interneta bi htio moći pristupiti tiku. Preko noip-a ili mynetname da imam pristup na tik.
Nije mi baš jasno kako da to onda složim a da mi taj rule ostane, možeš detaljnije objasniti?
Nikada ne ostavljaš login na router izvana. Ja to zapravo i radim, al stavim firewall rule da prihvaca samo jednu adresu (static adresa na poslu). Ali i to može bit opasno.
Ono što napraviš je L2TP/IPSEC VPN pristup na router. Onda se spojiš prvo na VPN, pa pristupiš routeru.
/ppp profile
add change-tcp-mss=yes dns-server=192.168.88.1 local-address=192.168.88.1 name=\
VPN_L2TP remote-address=pool-vpn use-encryption=yes use-upnp=no
set *FFFFFFFE use-upnp=no
/interface l2tp-server server
set authentication=mschap1,mschap2 default-profile=VPN_L2TP enabled=yes \
ipsec-secret=xxxx max-mru=1400 max-mtu=1400 use-ipsec=yes
/ppp secret
add name=vanjski password=test profile=VPN_L2TP service=l2tp
/ip firewall filter
add action=accept chain=input connection-state=new protocol=udp src-port=500,1701,4500
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input protocol=ipsec-ah
Samo imaj na umu da imam posebni pool IP adresa za VPN
A cloud nemože doći do tika ako port nije pušten inaće ili samo meni zbog station moda i moje situacija?
Nisam siguran, oćeš reći da tik ne update-a xxxxxx.sn.mynetname.net? Ili samo to da se ne možeš spojiti?
Kad smo već kod tog, imam par tikova u sličnoj situaciji pa idem probat.
EDIT: normalno update radi.
Updeta on to, ali se nemogu spojiti.
Jesi gdje slagao USB 3g-4g backup? To bi si htio složiti, tipa ako ping (8.8.8.8) ne prolazi preko wlan1(kod mene sslučaj) prebaci na 3g usb u trajanju od 60min, nakon toga vrati na wlan1 i proba ping.
To ja sve imam složeno preko dva AP-a, pa mi raspberry gasi AP i pali 3g na određeno vrijeme. Vraća se na AP pinga 8.8.8.8, ako prolazi ostaje ako ne vraća se na 3g sljedećoh 60min.
Poslat ću ti skriptu, nakasnije u pon.
Jbg zauzet sam sada, visim po firmama raznim. Dakle skripta ti radi tako da pinga 8.8.8.8 svaku minutu sa defaultnog WAN-a, ako on faila radi enable rute preko 4g sticka. Kad ping ponovno prođe po defaultnom WAN-u onda on postaje default ruta.
Naravno da se na možeš spojiti zbog ovoga kaj sam ti reko, default firewall ne dopušta spajanje sa WAN-a. I to tak treba biti.
Ako baš hoćeš spajanje izvana koristi VPN. Ili pak VNC ili RDP na komp pa se onda spoji na router. Svi to tako radimo i postoji razlog zašto tako radimo.
Ako se želiš dalje igrati, digni si wlan3, kao wlan za goste. I onda mu stavi sasvim drugi range tipa 192.168.33.0\24, pa onda postavi PCQ na njega sa recimo download 2Mbit i upload 512kbit. nakon toga blokiraj u firewall-u da .33 subnet ne može viditi .88 i obrnuto. Nakon toga možeš staviti da .33 vidi samo t-com router, i niti jedan drugi stroj u t-com subnetu.
Poslat ću ti skriptu, nakasnije u pon.
Jbg zauzet sam sada, visim po firmama raznim. Dakle skripta ti radi tako da pinga 8.8.8.8 svaku minutu sa defaultnog WAN-a, ako on faila radi enable rute preko 4g sticka. Kad ping ponovno prođe po defaultnom WAN-u onda on postaje default ruta.
Naravno da se na možeš spojiti zbog ovoga kaj sam ti reko, default firewall ne dopušta spajanje sa WAN-a. I to tak treba biti.
Ako baš hoćeš spajanje izvana koristi VPN. Ili pak VNC ili RDP na komp pa se onda spoji na router. Svi to tako radimo i postoji razlog zašto tako radimo.
Sve jasno, ovako je dopušteno da mi rade sranja. Spojim se ja na Raspberry pa onda na mikrotik i dobro.
Ok, nije hića za skriptu. Svakako hvala
Ajd utakni 4G stick u mikrotik pa pogledaj kako ti se zove novi interface...
Ajd utakni 4G stick u mikrotik pa pogledaj kako ti se zove novi interface...
Unknown device. Imam Huawei e3131 3g stick, ispravan i uredno radi na tplink ap-u.
Hm
ppp-out1 - pod interfaces, a pod bridge dobijem dva unknowd devicea
EDIT: Aha dobio si ppp
Daj dva puta lupi na taj ppp device i upiši apn i kaj već moraš i pogle hoće li se spojiti.
EDIT: Aha dobio si ppp
Daj dva puta lupi na taj ppp device i upiši apn i kaj već moraš i pogle hoće li se spojiti.
Status connected, s tim da nejde ništa preko njega pa nisam 100% siguran da radi, ali piše tako
Super, sad mi reci imaš li u listi IP adresa public IP adresu od tog ppp?
i ak ti nije bed odi u ip->routing pa lupi copy/paste. zacrni neku specificnu IP adresu ako iams tamo. I nemoj zaboraviti taj ppp staviti pod WAN grupu.
Super, sad mi reci imaš li u listi IP adresa public IP adresu od tog ppp?
i ak ti nije bed odi u ip->routing pa lupi copy/paste. zacrni neku specificnu IP adresu ako iams tamo. I nemoj zaboraviti taj ppp staviti pod WAN grupu.
https://www.dropbox.com/s/2yaxqjmzo8e0dbq/InkedScreenshot%202018-06-01%2018.26.47_LI.jpg?dl=0
btw. Na sticku imam i javnu ip adresu, na tplinku radi otvaranje portova.
Ovo sad radim napamet, al daj dva puta klikni na taj ppp-out1 i pod PPP pogledaj daj ima nešto kao "default route distance"
Ako ima, stavi to na 5 (slovima pet)
Ovo sad radim napamet, al daj dva puta klikni na taj ppp-out1 i pod PPP pogledaj daj ima nešto kao "default route distance"
Ako ima, stavi to na 5 (slovima pet)
Jesam.
Connected
Vidim da još nisi napravio static adresu od mikrotika, pa daj odmah i to sredi.
Isto tak static route kad radiš, stavi komentar na nju (ctrl+m) i napiši "glavna"
ono kaj ćemo sad napraviti, skripticu koja će pingati 8.8.8.8 sa wlan1 interface-a.
I tada će mijenjati distance "glavna" route, ako ping ne prođe distance ide na 10, ako prođe distance ide na 1.
Na taj način će ovaj 4g biti spojen stalno, ali će glavna ruta postati samo kada će wlan1 ping failati.
Mikrotik koristi rutu koja ima manji distance.
Super, samo si stavio "glavna" na IP adresu, a ne na samu rutu
To ti je ona di je destination 0.0.0.0/0 gateway 192.168.1.1 preko wlan1, na nju stavi komentar glavna