Mikrotik - jak na přístup pouze z konkrétní IP nebo VPN

[lukascz]

Dobrý den,
prosím o radu, jsem začátečních v Router OS. Ve firewallu jsem si nastavil pravidlo, abych se na Mikrotik dostal pouze z určité IP a v "adress list` jsem si vytvořil seznam oněch IP adres.
Funguje to.
Potřeboval bych ale donastavit pravidlo/přidat výjimku, abych se na Mikrotik připojil pomocí VPN ale to už z jakékoliv IP adresy.

Jak na to prosím?
Díky moc

[Noxus28]

https://jcutrer.com/howto/networking/mi ... wall-rules
https://babcuvpisecek.com/sitarina/jak- ... tep-navod/

a tak dalej a tak podobne

[lukascz]

Díky, ještě dodám že VPNku jsem rozjel, ale když si zapnu pravidlo o přístupu z konkrétní IP, tak se mi VPN např. z mobilního internetu nepřipojí. Potřeboval bych prostě, aby VPN fungovala z jakékoliv IP.
VPN potřebuju pro různé lidi z různých měnících se IP...

[ludvik]

a) neznáme tvůj firewall (pošli sem export)
b) neznáme typ tvé VPN

[lukascz]

Níže je moje nastavení, VPN mám přes L2TP a ta funguje. Pokud na firewallu zapnu pravidlo č. 8 a č. 9

add action=drop chain=input disabled=yes
add action=drop chain=input comment="Vsechno ostatni ma smulu" disabled=yes

přestane mi jet ten přístup z VPN.
Na ten bych tedy potřeboval nastavit nějaké to další pravidlo, a nevím jak ne to.

Ještě mám prozatím zdvojený ten povolený přístup z konkrétních IP, jednou jako samotné pravidlo ve firewallu a podruhé přes povolené ip v adress lists "allowed to router". To doufám nevadí.


Díky moc za rady





/ip firewall address-list
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=not_in_internet
add address=192.168.1.0/24 comment=RFC6890 list=not_in_internet
add address=192.168.2.0/24 comment=RFC6890 list=not_in_internet
add address=192.168.5.0/24 comment=RFC6890 list=not_in_internet
add address=192.168.10.0/24 comment=RFC6890 list=not_in_internet
add address=192.168.10.2-192.168.10.254 list=allowed_to_router
add address=veřejná IP č. 1 comment=č.1 list=allowed_to_router
add address=veřejná IP č. 2 comment=č.2 list=allowed_to_router
add address=veřejná IP č. 3 comment=č.3 list=allowed_to_router


/ip firewall filter
add action=fasttrack-connection chain=forward comment=FastTrack connection-state=established,related
add action=accept chain=forward comment="Established, Related" connection-state=established,related
add action=accept chain=input comment="Pristup na Mikrotik z vlastni site - č. 1" src-address=veřejná IP č. 1
add action=accept chain=input comment="Pristup na Mikrotik z vlastni site - č. 2" src-address=veřejná IP č. 2
add action=accept chain=input comment="default configuration" connection-state=established,related
add action=accept chain=input src-address-list=allowed_to_router
add action=accept chain=input comment="Povoleni ICMP (PING)" protocol=icmp
add action=drop chain=input disabled=yes
add action=drop chain=input comment="Vsechno ostatni ma smulu" disabled=yes

add action=accept chain=forward dst-address=192.168.10.99 dst-port="" protocol=tcp
add action=accept chain=forward in-interface=ether1 protocol=icmp
add action=accept chain=forward dst-port=80 in-interface=ether1 protocol=tcp
add action=accept chain=forward dst-port=443 in-interface=ether1 protocol=tcp
add action=accept chain=forward connection-state=established in-interface=ether1
add action=accept chain=forward out-interface=ether1
add action=drop chain=forward in-interface=ether1

add action=drop chain=forward comment="Drop invalid" connection-state=invalid log=yes log-prefix=invalid
add action=drop chain=forward comment="Drop incoming packets that are not NATted" connection-nat-state=!dstnat connection-state=new in-interface=ether1 log=yes log-prefix=!NAT
add action=drop chain=forward comment="Drop incoming from internet which is not public IP" in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internet
add action=drop chain=forward comment="Drop packets from LAN that do not have LAN IP" in-interface=bridge1 log=yes log-prefix=LAN_!LAN src-address=!192.168.10.0/24
add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=output content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=output content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output content="530 Login incorrect" protocol=tcp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=2w1d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
add action=drop chain=input comment="drop telnet brute forcers" dst-port=23 protocol=tcp src-address-list=black_list
add action=add-src-to-address-list address-list=black_list address-list-timeout=1d chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage3
add action=add-src-to-address-list address-list=telnet_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage2
add action=add-src-to-address-list address-list=telnet_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage1
add action=add-src-to-address-list address-list=telnet_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp


/ip firewall nat
add action=masquerade chain=srcnat

[Noxus28]

Keby si si pozrel tie linky co som ti sem dal uvidis ze na zaciatku su pravidla ktore musis mat v poradi pred input drop vo firewall tzn povolenie L2TP VPN na vstupe routera

Kód: Vybrat vše

/ip firewall filter
add action=accept chain=input in-interface=ether1 protocol=ipsec-esp \
    comment="allow L2TP VPN (ipsec-esp)"
add action=accept chain=input dst-port=500,1701,4500 in-interface=ether1 protocol=udp \
    comment="allow L2TP VPN (500,4500,1701/udp)"

[ludvik]

S tím zdvojováním pravidel si akorát přiděláváš práci - je to zbytečné, nepřehledné a tím pádem náchylné k chybám.

Např.:
add action=accept chain=forward comment="Established, Related" connection-state=established,related
add action=accept chain=forward connection-state=established in-interface=ether1

Nebo ty dva hned po sobě jdoucí DROP na inputu. Proč?

Pro přehlednost si to také srovnej tak, abys nemíchal jednotlivé chainy dohromady. Tedy input extra, forward extra a potom teprve případné vlastní. Stejně to tak funguje, tak proč si kazit oči ...

A lepší je si to nadefinovat ne jako "něco si zakážu, něco povolím a zbytek zakážu", ale jako "povolím co chci a zakážu zbytek". Opět si to vcelku hodně komplikuješ. Nejvíc je to vidět na forwardu - povolíš si estabished,related (a používáš-li, tak i fasttracked), pak provoz co prošel DST-NATem a naprosto vše co jde z LAN interface. Poslední pravidlo je pak DROP bez podmínek. Technicky vzato ti stačí čtyři řádky ... A případná další povolení dáváš přehledně před ten poslední DROP, ale jelikož stejně musí projít dst-natem, tak není vcelku proč.
Dobré je zakázat odchod paketům z privátních rozsahů (těch, co tam opravdu nemají co dělat) - ze stanic může lézt pěkný bordel.
Input samozřejmě obdobně.

Když si tu ochranu proti brute force vyčleníš do samostatného chainu (a nebudeš tam pracovat s porty a protokoly), tak si tam z chainů INPUT a FORWARD můžeš poslat naprosto jakýkoliv provoz. A nebudou ty pravidla zpracovávat každý paket. A telnet bych nechal zakázaný úplně, je k ničemu (lze to udělat i v ip/services).

Na firewall na OUTPUT bych se vykašlal.

Radu ohledně VPN jsi už dostal.

[lukascz]

Oběma vám moc děkuju.
Díky díky .

[lukascz]

Super, VPN funguje ...
a já si jdu hrát se zjednodušením a zpřehledněním té konfigurace.

Ještě jednou díky chlapi.