Mikrotik IPv4/IPv6 firewall

[deniSun]

Ενημερωτικά# ειδα Στα log ότι κάποιος από Κορέα επιτυχώς έκανε σύνδεση στο pptp!!!!!
Δεδομένου μάλιστα ότι έχω κανονικό μοναδικό rand password 12char!!!!
Άρα υπάρχει μεγάλο πρόβλημα με το pptp, κάτι που το ξέραμε.
Μαθήματα:
1. Αν έχουμε pptp κλπ υποχρεωτικά σε DMZ.
2. Αν δεν ταξιδεύουμε firewall rule που επιτρέπει σύνδεση μόνο από ελληνικά ip. . (http://www.ipdeny.com/ipblocks/)
3. Κόβουμε χαζά logs τύπου dhcp συνδέσεις κλπ ώστε να δούμε τα ουσιαστικά log entries.

openvpn;

[xhaos]

Είχα το pptp σαν backup σε περίπτωση που ήταν κλειστό το nas που τρέχει το ovpn. Δεν μου είχε δουλέψει ποτέ ό ovpn server στο mtik

[deniSun]

Ο client τι OS τρέχει;

[xhaos]

Android 7, win10, centos, Ubuntu.

[deniSun]

Android 7, win10, centos, Ubuntu.

Μέχρι android 7.1.1 το δούλευα χωρίς πρόβλημα σύμφωνα με τον οδηγό μου.

[Nikiforos]

Είχα το pptp σαν backup σε περίπτωση που ήταν κλειστό το nas που τρέχει το ovpn. Δεν μου είχε δουλέψει ποτέ ό ovpn server στο mtik

καλημερα, εμενα παντα και server και client, και το νεο 951 που πηρα τωρα τρεχει και server και εχει και client πανω του.
Ηδη καταργησα ολα τα pptp απο τα rbs μου που ειχαν και δεν θα ξαναβαλω ποτε!
και εχω και clients windows xp, android, win7, linux.
αν ενδιαφερεσαι να παιξει κανε ενα θεματακι να το δουμε να γραψω και εγω.
Βασικα για server εχει θεμα εδω https://www.adslgr.com/forum/threads...Android-Client
αλλα δεν εχει και για mikrotik ovpn client.

[deniSun]

καλημερα, εμενα παντα και server και client, και το νεο 951 που πηρα τωρα τρεχει και server και εχει και client πανω του.
Ηδη καταργησα ολα τα pptp απο τα rbs μου που ειχαν και δεν θα ξαναβαλω ποτε!
και εχω και clients windows xp, android, win7, linux.
αν ενδιαφερεσαι να παιξει κανε ενα θεματακι να το δουμε να γραψω και εγω.
Βασικα για server εχει θεμα εδω https://www.adslgr.com/forum/threads...Android-Client
αλλα δεν εχει και για mikrotik ovpn client.

Δεν έχω δεύτερο ΜΤ για να το σετάρω για openvpn client.
Δεν νομίζω να είναι δύσκολο να γίνει.
Το βασικό είναι να σου τρέχει ο server.
Άπαξ και μπορείς να συνδεθείς με έναν client μπορείς να συνδεθείς και με όλους τους άλλους.
Παραμετροποίηση χρειάζεται από μεριάς client.

[Nikiforos]

Καλησπέρα, για την ιστορια ποιο δυσκολος client για openvpn για μενα ειναι αυτος του android, στο mikrotik ειναι piece of cake. H ιστορια ολη φυσικα και ειναι ο server!

[deniSun]

Καλησπέρα, για την ιστορια ποιο δυσκολος client για openvpn για μενα ειναι αυτος του android, στο mikrotik ειναι piece of cake. H ιστορια ολη φυσικα και ειναι ο server!

Δεν είχα κάποια δυσκολία να τον σετάρω.
Εξ άλλου έχω και τον οδηγό βήμα-βήμα για όποιον θέλει.

[Nikiforos]

εγω μιλησα για εμενα, αμα δεις και ποσα εχω γραψει εκει στο θεμα ειναι και καποιος καιρος που δεν επαιζε και ειχα δοκιμασει πανω απο εναν client και αν θυμαμαι καλα και τωρα δεν παιζω με αυτον που παιζεις εσυ.
Ασε που εχει παρα πολλα προγραμματα για android clients που σεταρονται με διαφορετικο τροπο, ενω ο mikrotik client ειναι ενας!
αν ειναι να μιλαμε για openvpn δεν τα λεμε καλυτερα στο δικο του θεμα?

Με τους κανόνες drop all others στο input και forward και με τη προυπόθεση ότι δεν έχεις κάποιον accept εκτός απο μέσα απο το δίκτυο σου έχεις λύσει το θέμα.
Επειδή νομίζω ότι το drop το έχεις, μήπως έχεις αφήσει κάποιο κανόνα στο input allow from *** και μπαίνουν και άλλοι?
Δές στα connections ένα δείγμα κίνησης στη θύρα 53 να βρούμε την αιτία.
Ή κάτσε κοίτα το αν είναι συνέχεια το πρόβλημα, ή βάλε κανόνα LOG input tcp/udp port 53 για να το πιάσεις.

οντως εχω κοψει μερικους κανονες επειδη εκοβαν τα vpn, ομως τωρα απο pptp τα εκανα openvpn και ξεχασα να τα δοκιμασω παλι.
Μπορει κατι με αυτα να γινεται.
καλη ιδεα η παρακολουθηση.

απο παλιοτερο ποστ μου ποιο πριν ισως να εχει σχεση με το προβλημα :

Ακριβως γιαυτο ειναι προτιμοτερο να δουλευουμε αλλα ειδη VPN, προσωπικα θεωρω περισσοτερο ασφαλες απο ολα το openvpn για ευνοητους λογους.
Αλλα λογω βιασυνης βαζω pptp, ή οταν εχω δυσκολια σε καποιο μηχανημα που δεν ειναι δικο μου και δεν μπορω να του βαλω αρχεια.

Τελικα αυτο που ρωτησα και θα λυσει και το θεμα ασφαλειας αυτο στο PPTP VPN γινεται????
δλδ αντι να επιτρεψουμε ΟΛΕΣ τις εισερχομενες κλησεις σε μια πορτα που περνανε το firewall μας, να μπορουμε να του δηλωσουμε ενα συγκεκριμενο DDNS ονομα και μονο αυτο να μπορει να συνδεθει.
Αυτο μπορει να γινει?

ειδα και εγω στα logs μια ip απο tokyo και αντικατεστησα το pptp vpn server στο 951 με το ιντερνετ απο κινητη με openvpn server.

Tελικα εκτος απο αυτους τους 2 κανονες
add action=drop chain=forward comment="Drop forward everything else" disabled=yes log-prefix=forward-all-others
add action=drop chain=input comment="Drop input everything else" disabled=yes

που μου κοβουν το vpn που περναει απο το ιντερνετ εχω θεμα και με αλλον (μονο στο 951 κινητης) :
add action=drop chain=forward comment="Drop forward everything else" disabled=yes log-prefix=forward-all-others

με αυτον εδω τον κανονα ενεργο, ο openvpn server που δινει ips απο το subnet που εχει το 951 κινητης, στο 109 δεν μπορω να δω τα αλλα μηχανηματα που εχει πανω το 951 που το δουλευω και σαν switch.
Ξερει κανεις τι κανουμε με ολους αυτους τους κανονες? αν ειναι disable ειναι μεγαλη "τρυπα" στο firewall?
μπορω να βαλω κατι αλλο για το προβλημα σε αυτα που κοβουν?
για τα 2 πρωτα εβαλα αυτο που ειπα σε προηγουμενο ποστ μου αλλα πρεπει να ειμαι εκει για να το δοκιμασω.

[teodor_ch]

αν έχεις απενεργοποιήσει τους drop all others τότε δεν έχεις σωστό firewall!

αυτοί ΠΡΕΠΕΙ να υπάρχουν εκτός αν καταφέρεις απο πάνω να κάνεις drop ότι δεν θές (νομίζω αδύνατον!)

οπότε δές γιατί αυτοί οι κανόνες σε ενοχλούν (αντί για drop βάλε log και δές τί κίνηση κόβουν που ΔΕΝ θές)
και μετά βάλε ACCEPT απο πάνω τους για να μή την κόβουν

- - - Updated - - -

Έχω δεί στα γρήγορα κάποια ποστ σου αλλά συγνώμη δεν έχω το χρόνο να ασχοληθώ και έχεις και πολύ πολύπλοκο setup.
Οπότε δε μπορώ να σε βοηθήσω πιο συγκεκριμένα παρα μόνο να σε κατευθύνω.

Που βέβαια δεν είμαι certified mikrotik expert ούτε έχω επαγγελματική σχέση με τα δικτυακά. Εδώ μέσα ότι έχω μάθει!

[Nikiforos]

νομιζω οτι η λυση περιγραφεται εδω https://forum.mikrotik.com/viewtopic.php?t=60480
ναι εχεις δικιο δεν ειναι λυση το disable, αλλα το εκανα γιατι εκει που ημουν δεν ειχα χρονο και επρεπε να φυγω και παλι δεν προλαβα το ΣΚ να ασχοληθω και εμειναν ετσι.

[teodor_ch]

νομιζω οτι η λυση περιγραφεται εδω https://forum.mikrotik.com/viewtopic.php?t=60480
ναι εχεις δικιο δεν ειναι λυση το disable, αλλα το εκανα γιατι εκει που ημουν δεν ειχα χρονο και επρεπε να φυγω και παλι δεν προλαβα το ΣΚ να ασχοληθω και εμειναν ετσι.

η λύση σε τί?

[xhaos]

Τελικά έβαλα το ovpn στο mtik και μάλιστα έφτιαξα τα πιστοποιητικά μέσα από το ίδιο το router os.

[Nikiforos]

η λύση σε τί?

αν έχεις απενεργοποιήσει τους drop all others τότε δεν έχεις σωστό firewall!

αυτοί ΠΡΕΠΕΙ να υπάρχουν εκτός αν καταφέρεις απο πάνω να κάνεις drop ότι δεν θές (νομίζω αδύνατον!)

οπότε δές γιατί αυτοί οι κανόνες σε ενοχλούν (αντί για drop βάλε log και δές τί κίνηση κόβουν που ΔΕΝ θές)
και μετά βάλε ACCEPT απο πάνω τους για να μή την κόβουν
- - - Updated - - -
Έχω δεί στα γρήγορα κάποια ποστ σου αλλά συγνώμη δεν έχω το χρόνο να ασχοληθώ και έχεις και πολύ πολύπλοκο setup.
Οπότε δε μπορώ να σε βοηθήσω πιο συγκεκριμένα παρα μόνο να σε κατευθύνω.
Που βέβαια δεν είμαι certified mikrotik expert ούτε έχω επαγγελματική σχέση με τα δικτυακά. Εδώ μέσα ότι έχω μάθει!

Επειδη το κοβοταν το VPN και επειδη ο ενας κανονας εχει forward δεν εβλεπα τα αλλα μηχανηματα μεσω vpn μετα το ρουτερ δλδ, και ετσι τους εκλεισα.
Νομιζω αυτο που λεει εκει μπορει να επιτρεψει να περασει το vpn χωρις να εχω τοσους κανονες disable που κανουν μια τρυπα στο firewall.
Eπισης πριν ηταν PPTP τα 2 vpns και τωρα που τα εκανα openvpn δεν εχω δοκιμασει αν ακομα υπαρχει αυτο το θεμα.

Δεν χρειαζεται να ζητας συγνωμη, καταλαβαινω οτι ειναι πολυ δυσκολα και για εσενα και τον Deni και οποιον αλλον εχει ασχοληθει με τα δικα μου κατα καιρους, εχω κανει ενα καρο σελιδες με σημειωσεις και συνεχεια κατι ξεχναω και οταν ειμαι εκει μαλιστα. Ειδικα αν δεν εισαι τοπικα να κανεις δοκιμες να τα βλεπεις απο κοντα ειναι εξαιρετικα δυσκολα!

Τελικά έβαλα το ovpn στο mtik και μάλιστα έφτιαξα τα πιστοποιητικά μέσα από το ίδιο το router os.

εχει θεμα για openvpn server σε mikrotik, δεν γραφεις εκει καλυτερα? δε νομιζω οτι υπαρχει καποιος λογος να μπερδευουμε τα θεματα.
Οριστε και για να μην ψαχνεις : https://www.adslgr.com/forum/threads...Android-Client

Tελικα οκ τα εφτιαξα τα firewalls, ειχα κατι κανονες για το openvpn λαθος και δεν δουλευαν γιαυτο και περνουσε οταν εκλεινα τους παραπανω κανονες, ηθελε input και forward accept απο το ενα subnet στο απεναντι και ετσι ολα μια χαρα τωρα με ολους τους κανονες ενεργους!
οποτε μας μενει να δουμε το DNS τωρα.

Για ριχτε μια ματια στο σχετικο θεμα τι εχουμε εδω? https://forum.mikrotik.com/viewtopic.php?t=73801

και https://www.facebook.com/academiamik...41801269204258

Κώδικας:

HOW TO PROTECT FROM DNS ATTACK!
Some simple rules to do for this:
1: Redirect all queries from your network to your ISP DNS.
/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53
2. Block external DNS queries to your Mikrotik routerboard
/ip firewall filter
add chain=input protocol=udp dst-port=53 in-interface=WAN action drop
add chain=input protocol=tcp dst-port=53 in-interface=WAN action drop

εχει δοκιμασει κανεις κατι να προτεινει???