Stránka 1 z 1
Mikrotik - jak na přístup pouze z konkrétní IP nebo VPN
Napsal: 10 May 2019 18:11
od lukascz
Dobrý den,
prosím o radu, jsem začátečních v Router OS. Ve firewallu jsem si nastavil pravidlo, abych se na Mikrotik dostal pouze z určité IP a v "adress list` jsem si vytvořil seznam oněch IP adres.
Funguje to.
Potřeboval bych ale donastavit pravidlo/přidat výjimku, abych se na Mikrotik připojil pomocí VPN ale to už z jakékoliv IP adresy.
Jak na to prosím?
Díky moc
Re: Mikrotik - jak na přístup pouze z konkrétní IP nebo VPN
Napsal: 10 May 2019 18:34
od Noxus28
Re: Mikrotik - jak na přístup pouze z konkrétní IP nebo VPN
Napsal: 10 May 2019 18:36
od lukascz
Díky, ještě dodám že VPNku jsem rozjel, ale když si zapnu pravidlo o přístupu z konkrétní IP, tak se mi VPN např. z mobilního internetu nepřipojí. Potřeboval bych prostě, aby VPN fungovala z jakékoliv IP.
VPN potřebuju pro různé lidi z různých měnících se IP...
Re: Mikrotik - jak na přístup pouze z konkrétní IP nebo VPN
Napsal: 10 May 2019 20:08
od ludvik
a) neznáme tvůj firewall (pošli sem export)
b) neznáme typ tvé VPN
Re: Mikrotik - jak na přístup pouze z konkrétní IP nebo VPN
Napsal: 15 May 2019 11:25
od lukascz
Níže je moje nastavení, VPN mám přes L2TP a ta funguje. Pokud na firewallu zapnu pravidlo č. 8 a č. 9
add action=drop chain=input disabled=yes
add action=drop chain=input comment="Vsechno ostatni ma smulu" disabled=yes
přestane mi jet ten přístup z VPN.
Na ten bych tedy potřeboval nastavit nějaké to další pravidlo, a nevím jak ne to.
Ještě mám prozatím zdvojený ten povolený přístup z konkrétních IP, jednou jako samotné pravidlo ve firewallu a podruhé přes povolené ip v adress lists "allowed to router". To doufám nevadí.
Díky moc za rady
/ip firewall address-list
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=not_in_internet
add address=192.168.1.0/24 comment=RFC6890 list=not_in_internet
add address=192.168.2.0/24 comment=RFC6890 list=not_in_internet
add address=192.168.5.0/24 comment=RFC6890 list=not_in_internet
add address=192.168.10.0/24 comment=RFC6890 list=not_in_internet
add address=192.168.10.2-192.168.10.254 list=allowed_to_router
add address=veřejná IP č. 1 comment=č.1 list=allowed_to_router
add address=veřejná IP č. 2 comment=č.2 list=allowed_to_router
add address=veřejná IP č. 3 comment=č.3 list=allowed_to_router
/ip firewall filter
add action=fasttrack-connection chain=forward comment=FastTrack connection-state=established,related
add action=accept chain=forward comment="Established, Related" connection-state=established,related
add action=accept chain=input comment="Pristup na Mikrotik z vlastni site - č. 1" src-address=veřejná IP č. 1
add action=accept chain=input comment="Pristup na Mikrotik z vlastni site - č. 2" src-address=veřejná IP č. 2
add action=accept chain=input comment="default configuration" connection-state=established,related
add action=accept chain=input src-address-list=allowed_to_router
add action=accept chain=input comment="Povoleni ICMP (PING)" protocol=icmp
add action=drop chain=input disabled=yes
add action=drop chain=input comment="Vsechno ostatni ma smulu" disabled=yes
add action=accept chain=forward dst-address=192.168.10.99 dst-port="" protocol=tcp
add action=accept chain=forward in-interface=ether1 protocol=icmp
add action=accept chain=forward dst-port=80 in-interface=ether1 protocol=tcp
add action=accept chain=forward dst-port=443 in-interface=ether1 protocol=tcp
add action=accept chain=forward connection-state=established in-interface=ether1
add action=accept chain=forward out-interface=ether1
add action=drop chain=forward in-interface=ether1
add action=drop chain=forward comment="Drop invalid" connection-state=invalid log=yes log-prefix=invalid
add action=drop chain=forward comment="Drop incoming packets that are not NATted" connection-nat-state=!dstnat connection-state=new in-interface=ether1 log=yes log-prefix=!NAT
add action=drop chain=forward comment="Drop incoming from internet which is not public IP" in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internet
add action=drop chain=forward comment="Drop packets from LAN that do not have LAN IP" in-interface=bridge1 log=yes log-prefix=LAN_!LAN src-address=!192.168.10.0/24
add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=output content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=output content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output content="530 Login incorrect" protocol=tcp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=2w1d chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=22 protocol=tcp
add action=drop chain=input comment="drop telnet brute forcers" dst-port=23 protocol=tcp src-address-list=black_list
add action=add-src-to-address-list address-list=black_list address-list-timeout=1d chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage3
add action=add-src-to-address-list address-list=telnet_stage3 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage2
add action=add-src-to-address-list address-list=telnet_stage2 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage1
add action=add-src-to-address-list address-list=telnet_stage1 address-list-timeout=1m chain=input connection-state=new dst-port=23 protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat
Re: Mikrotik - jak na přístup pouze z konkrétní IP nebo VPN
Napsal: 15 May 2019 11:47
od Noxus28
Keby si si pozrel tie linky co som ti sem dal uvidis ze na zaciatku su pravidla ktore musis mat v poradi pred input drop vo firewall tzn povolenie L2TP VPN na vstupe routera
Kód: Vybrat vše
/ip firewall filter
add action=accept chain=input in-interface=ether1 protocol=ipsec-esp \
comment="allow L2TP VPN (ipsec-esp)"
add action=accept chain=input dst-port=500,1701,4500 in-interface=ether1 protocol=udp \
comment="allow L2TP VPN (500,4500,1701/udp)"
Re: Mikrotik - jak na přístup pouze z konkrétní IP nebo VPN
Napsal: 15 May 2019 12:05
od ludvik
S tím zdvojováním pravidel si akorát přiděláváš práci - je to zbytečné, nepřehledné a tím pádem náchylné k chybám.
Např.:
add action=accept chain=forward comment="Established, Related" connection-state=established,related
add action=accept chain=forward connection-state=established in-interface=ether1
Nebo ty dva hned po sobě jdoucí DROP na inputu. Proč?
Pro přehlednost si to také srovnej tak, abys nemíchal jednotlivé chainy dohromady. Tedy input extra, forward extra a potom teprve případné vlastní. Stejně to tak funguje, tak proč si kazit oči ...
A lepší je si to nadefinovat ne jako "něco si zakážu, něco povolím a zbytek zakážu", ale jako "povolím co chci a zakážu zbytek". Opět si to vcelku hodně komplikuješ. Nejvíc je to vidět na forwardu - povolíš si estabished,related (a používáš-li, tak i fasttracked), pak provoz co prošel DST-NATem a naprosto vše co jde z LAN interface. Poslední pravidlo je pak DROP bez podmínek. Technicky vzato ti stačí čtyři řádky ... A případná další povolení dáváš přehledně před ten poslední DROP, ale jelikož stejně musí projít dst-natem, tak není vcelku proč.
Dobré je zakázat odchod paketům z privátních rozsahů (těch, co tam opravdu nemají co dělat) - ze stanic může lézt pěkný bordel.
Input samozřejmě obdobně.
Když si tu ochranu proti brute force vyčleníš do samostatného chainu (a nebudeš tam pracovat s porty a protokoly), tak si tam z chainů INPUT a FORWARD můžeš poslat naprosto jakýkoliv provoz. A nebudou ty pravidla zpracovávat každý paket. A telnet bych nechal zakázaný úplně, je k ničemu (lze to udělat i v ip/services).
Na firewall na OUTPUT bych se vykašlal.
Radu ohledně VPN jsi už dostal.
Re: Mikrotik - jak na přístup pouze z konkrétní IP nebo VPN
Napsal: 15 May 2019 12:22
od lukascz
Oběma vám moc děkuju.
Díky díky
.
Re: Mikrotik - jak na přístup pouze z konkrétní IP nebo VPN
Napsal: 15 May 2019 12:27
od lukascz
Super, VPN funguje ...
a já si jdu hrát se zjednodušením a zpřehledněním té konfigurace.
Ještě jednou díky chlapi.