Mikrotik IPv4/IPv6 firewall

[deniSun]

Μιλαμε ουτε τo subnet που παιζω δε βρηκανε........... και μετα τους ειπα οτι εχω 4 subnets. Συμφωνω με Deni, οχι οτι ο γκρινιαρης εχει αδικο. Απλα δε πραγματοποιουνται ολα αυτα.

Για αυτο σας λεω μην ασχολειστε τοσο υποχονδρια και ipsec σε 2 λεπτα.

Το openvpn το έχω γιατί πολύ απλά πιστεύω ότι ακόμα και στην έκδοση που τρέχει στα ΜΤ είναι περισσότερο ασφαλές από όλα τα υπόλοιπα.
Έχει μεγαλύτερη φασαρία να στηθεί.
Θα μπορούσα να παίξω άνετα με L2TP/IPsec.
Δεν το θεωρώ εύκολο να το παραβιάσει κάποιος με τις προϋποθέσεις που έθεσα παραπάνω.
Απλά πιστεύω ότι η ΜΤ κάποια στιγμή θα προσφέρει πλήρης υποστήριξη σε openvpn.
Οπότε γιατί να ξηλώνω και να στήνω από την αρχή.
Αυτό είναι το σκεπτικό μου.

[Nikiforos]

καλημερα, η mikrotik ΠΟΤΕ δεν θα θα υποστηριξει ολα, η ιδια προτεινε το SSTP τα ειχαμε ξαναπει αυτα και αλλου και με τα αναλογα επισημα links.
Αν ηταν να το κανει θα το ειχε κανει, το OVPN εχει μπει στην ROS απο την εκδοση 3.20!!!!! μιλαμε για απειρα χρονια πισω!
απλα ΔΕΝ την ενδιαφερει....

[jkoukos]

Και θα περάσουν άλλα τόσα για να σκεφθεί αν θα υποστηρίξει το Wireguard και μερικά ακόμη για την υλοποίηση.
Ώρες-ώρες μοιάζει με δυσκίνητο καράβι, ακολουθώντας τις εξελίξεις πολύ αργά.

[xhaos]

καλημερα, η mikrotik ΠΟΤΕ δεν θα θα υποστηριξει ολα, η ιδια προτεινε το SSTP τα ειχαμε ξαναπει αυτα και αλλου και με τα αναλογα επισημα links.
Αν ηταν να το κανει θα το ειχε κανει, το OVPN εχει μπει στην ROS απο την εκδοση 3.20!!!!! μιλαμε για απειρα χρονια πισω!
απλα ΔΕΝ την ενδιαφερει....

Πραγματικά ήθελα να ήξερα με πιο λογική καλή τη πίστη ο κόσμος υιοθέτησε ένα κλειστό πρωτόκολλο που δεν έχει γίνει ποτέ audit. Επειδή η ms κλείσει ότι είναι ασφαλές? Γελοία πράγματα. Και άντε για home use να πεις δε γαμ@#%^%... Αλλά αν είναι σε επαγγελματικό περιβάλλον... στη εταιρία που είμαι απλά θα με είχαν απολύσει με συνοπτικές διαδικασίες κλωτσηδων

[Nikiforos]

Πραγματικά ήθελα να ήξερα με πιο λογική καλή τη πίστη ο κόσμος υιοθέτησε ένα κλειστό πρωτόκολλο που δεν έχει γίνει ποτέ audit. Επειδή η ms κλείσει ότι είναι ασφαλές? Γελοία πράγματα. Και άντε για home use να πεις δε γαμ@#%^%... Αλλά αν είναι σε επαγγελματικό περιβάλλον... στη εταιρία που είμαι απλά θα με είχαν απολύσει με συνοπτικές διαδικασίες κλωτσηδων

Ειχα κανει και εγω με ενα φιλο απο το AWΜΝ για να μου δινει ιντερνετ με SSTP το πεταξαμε μπαμ μπαμ...

συμφωνω μαζι σου την ιδια απορια εχω και εγω. Tα ειχαμε πει και εδω τα σχετικα https://www.adslgr.com/forum/threads...ik-SSTP-server

[esma]

Οπότε μετά από όλα αυτά ποιο θεωρείτε το καλύτερο VPN για mikrotik; ¨Η να ρωτήσω διαφορετικά ποιο είναι το πιο ασφαλές και ποιο είναι το πιο γρήγορα αλλά σχετικά ασφαλές (για mikrotik παντα); Μήπως το IKEV2/IPSEC?

[BillyVan]

Οπότε μετά από όλα αυτά ποιο θεωρείτε το καλύτερο VPN για mikrotik; ¨Η να ρωτήσω διαφορετικά ποιο είναι το πιο ασφαλές και ποιο είναι το πιο γρήγορα αλλά σχετικά ασφαλές (για mikrotik παντα); Μήπως το IKEV2/IPSEC?

Καλύτερο είναι αυτό που ξέρεις να ρυθμίζεις σωστά.

Αν δεν ξέρεις τώρα και έχεις χρόνο να ασχοληθείς ξεκίνα με το L2TP / ipsec και προχώρα.

Είμαι κι εγω σε αυτη τη φάση και αρκετά ικανοποιημένος.

Με PPTP μην ασχοληθείς.

Και για το SSTP καλά λόγια διαβάζω απ την ιδια τη Μικροτικ αλλά μη φοβάσαι και τόσο....σε μένα και να μπούνε τι θα κάνουν?

Σιγα τα κρατικά μυστικά που έχω

Η ασφάλεια είναι σχετική...

Καλύτερα να έχεις σαν αρχή το backup για το ενδεχόμενο ζημιάς και τους δυνατούς κωδικούς.

Καλή επιτυχία να έχεις.

[esma]

Δεν ρωτάω για οικιακή χρήση.

Συμφωνώ με όλα αυτά που γράφεις.

Αναρωτιέμαι ποιο είναι το καλύτερο για επιχειρησιακό περιβάλλον. Σε μεγάλους οργανισμούς , με CISCO Routers βέβαια, βλέπω ότι προτείνουν IKEV2/IPSEC

IKEv2
• Encryption: AES with 256-bit keys in GCM mode
• Diffie-Hellman group: DH-group 20 (ECP-384 bits)
• Perfect Forward Secrecy (PFS): DH-group 20 (ECP-384 bits)
• SA Lifetime: 86400 seconds
• Dead Peer Detection: keepalive-packets shall be sent periodically with 10 seconds interval. If a peer doesn’t respond
to a keepalive-packet, retransmission shall occur 5 times with 10 seconds interval.
IPSec
• Protocol: ESP, tunnel mode
• ESP encryption: AES with 256-bit keys in GCM mode
• SA Lifetime: 28800 seconds

[BillyVan]

Δεν ρωτάω για οικιακή χρήση.

Συμφωνώ με όλα αυτά που γράφεις.

Αναρωτιέμαι ποιο είναι το καλύτερο για επιχειρησιακό περιβάλλον. Σε μεγάλους οργανισμούς , με CISCO Routers βέβαια, βλέπω ότι προτείνουν IKEV2/IPSEC

IKEv2
• Encryption: AES with 256-bit keys in GCM mode
• Diffie-Hellman group: DH-group 20 (ECP-384 bits)
• Perfect Forward Secrecy (PFS): DH-group 20 (ECP-384 bits)
• SA Lifetime: 86400 seconds
• Dead Peer Detection: keepalive-packets shall be sent periodically with 10 seconds interval. If a peer doesn’t respond
to a keepalive-packet, retransmission shall occur 5 times with 10 seconds interval.
IPSec
• Protocol: ESP, tunnel mode
• ESP encryption: AES with 256-bit keys in GCM mode
• SA Lifetime: 28800 seconds

Νομίζω θα πρέπει να απευθυνθείς σε επαγγελματίες βέβαια κι εδω μέσα υπάρχουν άτομα που μπορείς να ακούσεις τη γνώμη τους.

[xhaos]

Δεν ρωτάω για οικιακή χρήση.

Συμφωνώ με όλα αυτά που γράφεις.

Αναρωτιέμαι ποιο είναι το καλύτερο για επιχειρησιακό περιβάλλον. Σε μεγάλους οργανισμούς , με CISCO Routers βέβαια, βλέπω ότι προτείνουν IKEV2/IPSEC

IKEv2
• Encryption: AES with 256-bit keys in GCM mode
• Diffie-Hellman group: DH-group 20 (ECP-384 bits)
• Perfect Forward Secrecy (PFS): DH-group 20 (ECP-384 bits)
• SA Lifetime: 86400 seconds
• Dead Peer Detection: keepalive-packets shall be sent periodically with 10 seconds interval. If a peer doesn’t respond
to a keepalive-packet, retransmission shall occur 5 times with 10 seconds interval.
IPSec
• Protocol: ESP, tunnel mode
• ESP encryption: AES with 256-bit keys in GCM mode
• SA Lifetime: 28800 seconds

Είναι πολύ καλό επίπεδο αυτό που προτείνει η Cisco. Αν δεν μπορείς να το πιάσεις με μτικ τότε δεν σου κάνουν τα μτικ.
και για να το κλείσουμε κάπου εδω το off topic (υπάρχει thread για vpn αν θέλουμε), το θέμα δεν είναι τι μπορεί να κάνει ένα mtik, αλλά τι απαιτήσεις υπάρχουν. αν το mtik/cisco/wrt/pfsence/what ever δεν μπορεί να καλύψει τα requirements δεν μας κάνει το συγκεκριμένο προϊόν. είναι λάθος και επικίνδυνο ειδικά σε επαγγελματικό περιβάλλον να ρίχνουμε τις απαιτήσεις γιατί δεν μας καλύπτει το brand που έχουμε διαλέξει. είναι σαν να λέει κάποιος οτι έχω ενα σκύλο που κατουράει μέσα στο σπίτι, αλλά τι να κάνω έτσι είναι ο σκύλος, κυκλοφορώ με τη σφουγγαρίστρα και όλα καλά. τώρα αν η κουβέντα ειναι σε ερασιτεχνικό επίπεδο, μια χαρά.
τα μτικ γενικά είναι πολύ καλά και φθηνά για να υποστηρίξουν δίκτυα τύπου awmn, που ειδικά εκει έχουν την καλύτερη στόχευση που υπάρχει στην αγορά. όμως ΔΕΝ κάνουν για internet gateways, και αν τα χρησιμοποιείς έτσι τοτε θέλουν άλλο εξοπλισμό να τα υποστηρίζει εκεί που δεν μπορούν.

[puntomania]

καλημέρα στην παρέα.... δουλευοντας script για το φβ και youtube... ώστε να μαζευω τις διευθύνσεις τους και να τις δρομολογό απο συγκεκριμένη ip.... προσπαθώ να κάνω το ίδιο και με το radio πχ live24.gr.... τι να αλλάξω για να μαζευει και τις ip's απ τους σταθμούς που παιζουν???

:foreach i in=[/ip dns cache all find where (name~"live24.gr" || name~"live24") && (type="A") ] do={
:local tmpAddress [/ip dns cache get $i address];
delay delay-time=500ms
#prevent script from using all cpu time
:if ( [/ip firewall address-list find where address=$tmpAddress] = "") do={
:local cacheName [/ip dns cache get $i name];
#:log info "added entry: $cacheName $tmpAddress";
/ip firewall address-list add address=$tmpAddress list=radio timeout=2d23:59:59 comment=$cacheName;
}
};

[deniSun]

καλημέρα στην παρέα.... δουλευοντας script για το φβ και youtube... ώστε να μαζευω τις διευθύνσεις τους και να τις δρομολογό απο συγκεκριμένη ip.... προσπαθώ να κάνω το ίδιο και με το radio πχ live24.gr.... τι να αλλάξω για να μαζευει και τις ip's απ τους σταθμούς που παιζουν???

:foreach i in=[/ip dns cache all find where (name~"live24.gr" || name~"live24") && (type="A") ] do={
:local tmpAddress [/ip dns cache get $i address];
delay delay-time=500ms
#prevent script from using all cpu time
:if ( [/ip firewall address-list find where address=$tmpAddress] = "") do={
:local cacheName [/ip dns cache get $i name];
#:log info "added entry: $cacheName $tmpAddress";
/ip firewall address-list add address=$tmpAddress list=radio timeout=2d23:59:59 comment=$cacheName;
}
};

Το παραπάνω δεν νομίζω ότι δουλεύει σε ν6.

[puntomania]

Το παραπάνω δεν νομίζω ότι δουλεύει σε ν6.

..δε με βοηθας...

[deniSun]

..δε με βοηθας...

Πες ότι αφήνουμε στην άκρη το θέμα του ν6...
Θα πρέπει να προσθέσεις όλα τα domain όλων των σταθμών εκπομπής.
Από που εκπέμπει δηλαδή κάθε σταθμός.
Όχι το domain του live24.

[puntomania]

Πες ότι αφήνουμε στην άκρη το θέμα του ν6...
Θα πρέπει να προσθέσεις όλα τα domain όλων των σταθμών εκπομπής.
Από που εκπέμπει δηλαδή κάθε σταθμός.
Όχι το domain του live24.

έμ έτσι δουλειά δεν γίνετε... άλλος τρόπος δεν παίζει...?