Εδώ μιλάμε για Mikrotik RouterBoard

[xhaos]

Επειδή τρώω πολλά attack στον asterisk θα με καλύψουν τα rules που ποστάρισε ο xhaos ? ή να ρυθμίσω το netfilter στο metarouter ?

το script με τον κατάλληλο firewall rule θα σε προστατέψει απο τις επιθέσεις εξωτερικού. απο Ελλάδα θα μπορούν κανονικά.
τώρα δεν ξέρω τι authentication έχει το asterisk αλλά μπορείς να βάλεις blacklist τα failed login ip

αν δεις για το πορτ 22, αυτό που κάνω είναι:
1. αν η σύνδεση είναι από Ελλάδα, την αφήνω να συνεχίσει
2. αν κάνει 3 failed login attempts τον βάζω σε 10 ημέρες blacklist το ip
3. αν παραβεί τους παραπάνω κανόνες κόβεται.

add chain=tcp comment="Open Port SSH" dst-address=10.xxx.xxxx.x dst-port=22 \
in-interface=forthnet limit=1,5 protocol=tcp src-address-list=GR
add action=drop chain=tcp comment="Drop SSH BruteForce Attack" dst-port=22 \
protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
address-list-timeout=1w3d chain=tcp connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
address-list-timeout=1m chain=tcp connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
address-list-timeout=1m chain=tcp connection-state=new dst-port=22 \
protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
address-list-timeout=1m chain=tcp connection-state=new dst-port=22 \
protocol=tcp
add action=drop chain=tcp comment="Drop remaining TCP"

[gsan]

Α μπαινουν και αλλοι? ε θα κανεις Mikrotik PPTP VPN που ειναι ποιο ευκολο. Ομως θα εχουν προσβαση στο τοπικο σου δικτυο, μετα πρεπει να βαλεις FW rules να τους κοβεις απο αλλα μηχανηματα.
http://www.pittnerovi.com/jiri/hobby/electronics/voip/

Winbox PPTP VPN server με διαφορετικα profiles : http://wiki.mikrotik.com/wiki/PPTP_Server_With_Profile
και ενα video : https://www.youtube.com/watch?v=YRByWKO0kM4

PPTP έχω στημένο και όντως είναι και το πιό απλό στην χρήση του.
Μάλλον θα πάω σε αυτήν την λύση.
Την πρόσβαση στο τοπικό μου δίκτυο θα την προστατέψω με το ανάλογο rule (αν και δεν νομίζω ότι θα χρειαστεί γιατι με τα παιδιά που μοιραζόμαστε το δίκτυο είμαστε πολλά χρόνια φίλοι).

- - - Updated - - -

Και κάτι άλλο που θέλω να ρωτήσω:
Σε μηχάνημα στο οποίο έχω αλλάξει την ssh port πως μπορώ να συνδεθώ μέσω του mikrotik?
Πχ απο pc που τρέχει debian δίνω "ssh -p <port> <user>@<ip_remote_pc>" .
Αυτό πως γινεται στο mikrotik? (αν βέβαια γίνεται) .

[Nikiforos]

Επιμένω στην λυση του VPN, για τον asterisk δεν υπάρχει τίποτα ποιο ασφαλεστερο! οτι και να βαλεις απο firewall, αλλο να βγαινει ο asterisk στο internet και αλλο να υπαρχει μονο στο τοπικο σου δικτυο και στο ιντερνετ να ειναι αορατος. Αυτο με το SSH δεν το ξερω, μηπως το βρισκει αυτοματα? δεν εχω ξανακουσει καποιον να αλλαξει πορτα στο SSH.

[deniSun]

Αν εννοεις στο pc εχω arch linux θελει ψαξιμο, αυτο λες να φταιει? η εννοεις στην eth του 711? παλι δεν καταλαβα...xmmm νομιζω πως στο pc το εχω κανει disable : https://wiki.archlinux.org/index.php/IPv6

Στην eth του ΗΥ σου (στο arch)

[Nikiforos]

καλα καποια στιγμη θα ρωτησω στο αντιστοιχο τοπικ εδω στο site γιατι κατι εχω κανει μανταρα μαλλον! thanks!

@xchaos πολύ ωραία τα κόλπα σου στο firewall! μπράβο
πάντως εγώ και για το ssh/telnet έχω δώσει στο services access μονο απο το ασυρματο δικτυο (awmn) και μπαινω μεσω VPN, ετσι δεν βγαζω στο ιντερνετ telnet και ssh οπως ακριβώς κάνω και με τον asterisk.

@gsan σχετικά με τον asterisk και το VPN server απο Μικροτικ, εγω πχ ας πουμε εχω στο κινητο μου cosmote W.U με πακετο internet τουλαχιστον 500MB τον μηνα που οτι μεινει παει στον επομενο. Εχω 4net 720Λεπτα σε ολα τα κινητα. Απο το κινητο εχω κανει συντομευση VPN Και παταω εκει εχω εσωτερικη ip στο κινητο μου και με το προγραμμα linphone (sip client) εχω παρει εσωτερικο νουμερο απο τον asterisk, οχι μονο μπορω να καλω εσωτερικα σπιτι μου ή στο εξοχικο μου, αλλά και μπορουν να με καλεσουν στο σταθερο και να χτυπησει στο κινητο ή κανω κλησεις μεσω σταθερου μου, ετσι βαζω μονο πακετο Internet αντε και μερικα sms, αλλα ποτε ομιλια στο W.U. Εφοσον ειμαστε σε δικτυο 3G/H/H+ παιζει τελεια, σε GPRS/Edge εχει προβληματα, αλλα ευτυχως η Cosmote οπου κινουμαι πιανει αψογα.
Η χρήση του OVPN server στο MT δεν βολευει για αλλους χρηστες γιατι χρειαζονται αρχεια με κρυπτογραφησεις κτλ και ειναι δυσκολο, εγω το δουλευα παντως και ειναι το ασφαλεστερο αλλα πολυ μανουρα ομως. Επισης εχει μειονεκτηματα και περιορισμους στο ΜΤ δυστυχως, τα οποια ποσες εκδοσεις μετα ακομα δεν το εχουν διορθωσει!!!! Αν το ξαναστηνα θα το εκανα στο nas server (τύπου qnap) να ειναι πληρες αφου εκει ειναι Linux.

Υ.Γ δοκιμή που εκανα OVPN server σε MT δεν επαιξε ποτέ, ενώ Openvpn server openwrt με mikrotik OVPN client επαιζε αψογα για πολυ καιρο.

[xhaos]

υπάρχει καμία προτεινόμενη έκδοση του openwrt για να το περάσω σαν meta router να δω τι μπορεί να κάνει;

έχω δοκιμάσει αυτή: http://www.mikrotik.com/download/met...ips-rootfs.tgz
αλλά δεν με αφήνει μέσα στο meta να κάνω εγκατάσταση τίποτα (αφού δεν υπάρχει το http://downloads.openwrt.org/snapshots/trunk/
mr-mips/packages/Packages.gz)

[Nikiforos]

θα σου πω οταν παω σπιτι εχει μερικα ατομα που εχουν φτιαξει με ετοιμα πακετα. Αυτα που βαζουμε για matarouter mikrotik δεν ειναι τα ιδια με αυτα για pc, rspro, alix κτλ. Εχω κατεβασει ολα τα τροποποιημενα πακετα openwrt για metarouters στο mikrotik. Μονο γραφικο web interface δεν μπορεις να εχεις στο openwrt πχ Luci. Ολα τα αλλα γινονται αν σηκωνει το rb σου. Παντως δοκιμες εδειξαν οτι σε Μικροτικ 5.Χ παιζει ποιο καλα, στο 6.Χ ζοριζει, τουλαχιστον στο 711 δεν δουλευε καν. Ενω με 5.Χ σηκωσε και αστερισκ αλλα οι κλησεις δεν...θες καλο RB για metarouter πληρη λειτουργικο.

[deniSun]

Άλλαξα τον τρόπο login μόνο σε pap.
Πιστεύω ότι τα υπόλοιπα ευθυνόταν για τις αποσυνδέσεις.
Απ ότι είδα ο ΟΤΕ υποστηρίζει pap, chap αλλά προτιμάει στα dslam τις pap συνδέσεις.
Δεν ξέρω με τι τρόπο έκανε login.
Όπως και να είναι το δήλωσα σαν βλάβη και θα το ελέγξουν.

[xhaos]

πέρασα το tor metarouter image, το οποίο δεν δούλευε out of the box σύμφωνα με τις οδηγίες (βλέπεις pwmn έχουμε και εμείς 10. δίκτυο).
το κομμάτι του tor δεν λειτουργεί, αλλά θα το ψάξω αλλά λειτουργεί μετά από ρύθμιση το privoxy, οποτε τέλος οι διαφημίσεις αυτόματα.

[Nikiforos]

Τελικα τωρα που κοιταξα το παλικαρι που τα φτιαχνει το εχει σηκωσει σε awmn site. Εχει μεσα παρα πολλα ετοιμα πακετα οπως asterisk, squid proxy, tor και αλλα. Που ομως να το σηκωσω για να το παρεις;

Ευτυχως εμενα οκ η forthnet με το ppoe client.

[xhaos]

δώσε awmn ip

αλλά καλό θα είναι να τα βγάλει και σε κανένα Online repo

[Nikiforos]

Η τελευταία σελίδα του θέματος είναι εδώ : http://www.awmn.net/showthread.php?t=38664&page=10
εδώ είναι το image : http://metarouter.openrepo.awmn/AA_r39154/mr-mips/ και http://metarouter.openrepo.awmn/open...de_adjustment/
Καλή διασκέδαση!

To Ιpv6 το έφτιαξα τελικά δεν έφταιγε το pc εδώ είναι ενεργό, στο DHCPV6 client δεν είχα τικάρει το use peer dns και add default route, στο άλλο δεν τα έχω τικάρει στο ppoe client γιατί δουλεύω με DNS του awmn, άλλα εδώ δεν έπαιρνα ipv6.

[deniSun]

Σχετικά με τις αποσυνδέσεις που είχα στον λογαριασμό μου διαπίστωσα τα εξής:
Οι αποσυνδέσεις οφείλονται σε ppp not responding.
Δηλαδή για κάποιον λόγο δεν απαντάει από την άλλη πλευρά ο pppoe server.
Αυτό που έκανα ήταν να αυξήσω το keep alive timeout από 60 που ήταν το default σε 900 που είναι και το προρυθμισμένο στο config του TG585.
Είδα ότι πολλοί πρότειναν ακόμα και μείωση στα 10 αλλά τώρα βλέπω ότι ακόμα και τα 60 είναι υπερβολικά.
Δηλαδή κάθε Χ-χρόνο το ρούτερ θα στέλνει ping keep alive packets και αν δεν απαντήσει για οποιοδήποτε λόγο ο server ρίχνει την σύνδεση.
Ευτυχώς στο TG585 μπορείς να πάρεις σε αρχείο text το configuration και να δεις εκεί όλο το σετάρισμα.

[PGouv]

Εχω ενα RB951 σε bridge. Αν κατεβάσω απο torrent μετα μπουκώνει και δε παιζει τιποτα(timeout οι σελιδες πχ). Ενω με πιο απλα router και full να κατεβαζεις τα αλλα απλα πανε λιγο πιο αργα αλλα δουλευουν.Υπάρχει καποια ευκολη ρυθμιση για Qos/Queue κτλ ;

[xhaos]

Εχω ενα RB951 σε bridge. Αν κατεβάσω απο torrent μετα μπουκώνει και δε παιζει τιποτα(timeout οι σελιδες πχ). Ενω με πιο απλα router και full να κατεβαζεις τα αλλα απλα πανε λιγο πιο αργα αλλα δουλευουν.Υπάρχει καποια ευκολη ρυθμιση για Qos/Queue κτλ ;

τι εννοείς ότι το έχεις σε bridge; σαν router πρέπει να το δουλεύεις για να μπορείς να κάνεις τέτοια πράγματα όπως qos. αν απλά έχεις βάλει όλα τα Interface στο bridge, τότε το δουλεύεις σαν switch.
υπάρχει σχετικό άρθρο (http://wiki.mikrotik.com/wiki/Networ...ity_of_Service), αλλά κατά τη γνώμη μου για να δουλεύει το qos θα πρέπει να το υποστηρίζει και ο ISP. διαφορετικά το κάνεις ΜΟΝΟ στο upload.

- - - Updated - - -

υπάρχει και αυτό για να ξεκινήσεις: http://wiki.mikrotik.com/wiki/Voip

σε γενικές γραμμές όμως πιο αποδοτικό για έμενα είναι να καθορίσεις bandwidth limits και connection limit στους clients σου (torrent ειδικά) καθώς και κάποιο bandwidth schedule (δηλαδή να μην είναι unlimited τις ώρες της ημέρας που κάθετε κάποιος σε υπολογιστή).