Mikrotik - pre zaciatocnikov

[Chris]

mne pride debilita pouzivat v dnesnej dobe ciste ftp alebo ftps priamo.... jedine co ma zmysel je sftp alebo vpn a cez to ftp ked uz tak moc chces...

[16cmfan]

Som v tom novy jak Kokosy na snehu cize rad sa priucim... to SFTP nevyzera zle... VPNko riesi vela veci to je pravda... tot otazka - ist do OVPN alebo L2TP ?

Cize privitam nejake rady ludi, co maju NAS dlhsie ako tyzden a skusenosti s tym spojene

ESte taka otazka - da sa spojazdnit z toho Qnap nejaky log server, co bude spolupracovat s MikroTikom ?

[Chris]

Cize privitam nejake rady ludi, co maju NAS dlhsie ako tyzden a skusenosti s tym spojene

Ak narazas na mna, tak niekolko rokov pouzivam na doma server s xeon e3, ecc ram a len raid controllerom 3x drahsim ako hento NAS.
Podla mna tieto NAS nemaju zmysel, ked za 30e si kupim Banana pi s 2.5" diskom cez sata port mam tam 50MB/s read a 30MB/s write po sieti.
Po pridani dalsich diskov cez usb vies si replikovat cez Lua sync ako chces.

Ak uz chces pristupovat na domace data, tak nepouzivaj ftp alebo ftps ako lammer ale sftp ak uz. Alebo normalne seafile/owncloud na NAS a cez to pripajas cez https 443.

Dalsia vec ak by si sa pozrel config NAska tak by si videl, ze sa da napojit Syslog server alebo este monitoring cez snmp. (napr. Observium)

[16cmfan]

Tak ano, je moznost napr. aj cez appky pristupit co ponuka priamo Qnap... a urcite sa stym pohram cez weekend. Diky za rady!

[mp3turbo]

pravidlo cislo 3 mas zbytocne :

3 ;;; Povol port pre FTP
chain=dstnat action=dst-nat to-addresses=192.168.5.10 to-ports=21 protocol=tcp
dst-port=21 log=yes log-prefix=""

pretoze hovori podmnozinu toho co pravidlo cislo 2 rovno nad nim. Trojku mozes zakazat a po overeni funkcnosti vymazat.




Pravidlo cislo 4 je UpNp duplikat pravidla cislo 1 ktore si zadal rucne :
4 D ;;; upnp 192.168.5.10: 5528db0053bd0ac7bec8217b51bb5a8c-Web Admin
chain=dstnat action=dst-nat to-addresses=192.168.5.10 to-ports=8080 protocol=tcp
dst-address=10.251.0.10 in-interface=ether1 dst-port=8080

takze jednicku asi mozes vymazat, nech tam nie je zbytocne. Jednicku preto lebo stvorka je automat, tu tam podla mna chces nechat. Zakazes upnp na bedni, pravidlo aj funkcionalita zmizne.



Ostatne bez vyhrad.

Co mozes spravit pre bezpecnost ? Hlavne updatovat QNAP (nechaj si posielat mailom notifikacie o novej verzii) a aj ostatne aplikacie (skype, torrent, teredo), nenechat ich pustene na masine vtedy ked jednoducho nepotrebujes.

Na QNAP by som spravil knock-knock skript : aby nebol zbytocne furt otvoreny do sveta, urobil by som si na mikrotiku pravidla ktore by zabezpecili ze najprv musis spravit spojenie na port cojaviem 55555, potom na nejaky iny cojaviem 11111 a az potom sa otvoria porty na ktorych pocuva Qnap. Zaroven by si este mohol spravit brufe-force prevention, ked sa niekto bude snazit pripojit 5x za cojaviem 3 minuty, tak ho vyblokovat automaticky.


Na mikrotiku zakazat sluzby ktore nepotrebujes : /ip services print a obmedzit tie ktore potrebujes. Ked si napriklad chces pozerat grafiky, musi bezat web server, to vsak neznamena ze musi bezat do celeho internetu.



port knocking : https://wiki.mikrotik.com/wiki/Port_Knocking

/ip firewall filter add action=add-src-to-address-list address-list="port55555" address-list-timeout=1m chain=input dst-port=55555 protocol=tcp
/ip firewall filter add action=add-src-to-address-list address-list="secure" address-list-timeout=1m chain=input dst-port=11111 protocol=tcp src-address-list="port55555"
a do vsetkych tvojich QNAP pravidiel doplnis address-list=secure

co pravidla robia : prve, ak sa niekto snazi pripojit na mikrotik port 55555 cez tcp protokol, prida ho na jednu minutu do address listu (kuknes co to na mikrotiku je) ktory sa vola port55555.

Druhe, ak niekto uz je v address liste "port55555" a snazi sa pripojit na mikrotik na port 11111 znovu tcp protokolom, prida ho do zoznamu "secure".

Kedze tvoje firewall pravidla budu mat poziadavku ze zdrojova adresa musi byt v "secure" zozname, znamena to jednoduchu vec : zvonku sa najprv musis "doklopkat" na port 55555, potom do jednej minuty na port 11111 a az potom sa mozes pripojit na Qnapove sluzby, samozrejme autorizacia klasicky musi byt. Ked tieto veci utocnik nevie, mikrotik firewall ho nepusti. Ked ma nahodeny port scan, sice sa nahodou zaradi do prislusneho listu, avsak aby bol zaradeny do "secure zoznamu", musi najprv scannovat port 55555, az potom 11111 a ked si tam doplnis este jednu vrstvu medzitym napriklad port 12399, prakticky nie je sanca aby to niekto NEZNALY dokazal zneuzit. A furt ma len minutu. Podobnym sposobom sa da doplnit pravidlo "ak sa do minuty nepripoji na qnap cize ak nema zive spojenie na 192.168.5.10 port 8080, hod ho do zoznamu zakazanych uzivatelov kde ho budes drzat tri dni".





Brute force prevencia : vsetko samozrejme v /ip firewall

add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop comment="drop rdp brute forcers" disabled=no
[ak sa niekto snazi pripojit na port 3389 a je v zozname "rdp_blacklist", zakaz mu pristup

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist address-list-timeout=10d comment="" disabled=no
[a teraz ze ako sa do toho zoznamu dostanu : ak sa niekto snazi spravit nove spojenie na porte 3389 a je v zozname "rdp_stage3", prdni ho do zoznamu "rdp_blacklist" a drz ho tam desat dni

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 address-list-timeout=1m comment="" disabled=no
[ak sa niekto snazi spravit nove spojenie na porte 3389 a je v zozname "rdp_stage2", prdni ho do zoznamu "rdp_stage3" a drz ho tam jednu minutu]

add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no
[ak sa niekto snazi spravit nove spojenie na porte 3389 a je v zozname "rdp_stage1", prdni ho do zoznamu "rdp_stage2" a drz ho tam jednu minutu]

add chain=forward protocol=tcp dst-port=3389 connection-state=new action=add-src-to-address-list address-list=rdp_stage1 address-list-timeout=1m comment="" disabled=no
[ak sa niekto snazi spravit nove spojenie na porte 3389, prdni ho do zoznamu "rdp_stage1" a drz ho tam jednu minutu]

logika je jasna. Ak sa niekto nevie pripojit na Terminal Services (=napriklad skusa heslo), po prvom neuspesnom spojeni je na minutu zaradeny do zoznamu rdp_Stage1. Potom ak sa pokusi znovu, prdne ho to druheho a tretieho levelu az nakoniec zakaze. Cele je to zalozene na opakovanych spojeniach a postupnom zaradovani do skupin. Ak sa niekto pripoji na prvy alebo druhy pokus, sice bude zaradeny v prislusnej skupine ale iba na minutu a nove spojenia neotvara takze to nevadi.

Casy si samozrejme nastavis podla svojej vole, mne sa minuta zda prilis malo, dal by som tam veselo hodinu alebo aj den. Toto som okopiroval zo stranky http://serverfault.com/questions/548923 ... via-winbox a narychlo som to upravil. Samozrejme ze 3389 nepouzivas, to som v tvojom firewalle nevidel, ukazka je vsak jasna.




Pokrocila panika priamo od autorov : https://wiki.mikrotik.com/wiki/Securing ... rOs_Router
do tohoto sa na zaciatok nepustaj, daj tomu par tyzdnov aby sa ti rozlezalo v hlave ze co tie pravidla robia. Je to uz fakt pokrocila skola.

Keby si chcel byt velmi chrumkavy, mozes si spravit nejaku VPNku, napriklad L2TP s IPSec sifrovanim a povolit pristup na Qnapy len z tejto privatnej siete. Cize okrem toho ze data budu zasifrovane QNapom, to si zabezpecis SFTP, https:443 a podobne, budu este navyse zapuzdrene v AES256 sifrovanej sieti. Samozrjeme tu nastava cirkus s pripojenim vzdialenych tabletov, telefonov a takychto hraciciek, predpokladam vsak ze prilis vela suborov z QNapu nebudes na taketo zariadenia potrebovat a o streamovani filmov na dialku z domacej filmoteky sa asi nebavime.

[16cmfan]

Fuha to je naloz

Tak SFTP budem pouzivat ale asi len sporadicky ak vobec a ked uz tak lepsie asi VPNko L2TP. Na vsetko ostatne mam tie appky (8080, 8081, 443 porty) - plynulo som vcera streamoval (cez VLC prehralaval) film v krcme s mizernym TCOM DSL pripojenim. Taktiez priamo na Qnap si mozem nastavit za kolko na kolko pojde do blacklistu user po neuspesnom prihlaseni, notifikacie na email.... ale ten port knocking vyzera zaujimavo...

[mp3turbo]

ved preto mi to trvalo tak dlho inak toto je len absolutny zaciatok co mikrotik dokaze, fakt ze žbrnda.

ked pozres ten "pokrocily" link od autorov, tam je spuuuuusta veci ktorych sme sa ani nedotkli. Je to fakt silna vec tato platforma. Inak mimo Slovenska poznam styroch VELKYCH providerov ktori na Mikrotiku - samozrejme nie na mydlovych krabickach - bezia fakt huste pripojenia na internet s dynamickym routovanim (BGP tabulky, radovo 150.000 routovacich pravidiel).

"Trosicku" si pochvaluju - riesenia na Juniperi a Ciscu ich stalo milion (este raz : nie v korunach), Mikrotik maju v radoch zopar tisicov a najvacsia polozka je samozrejme hardware na ktorom to bezi, nie software.

[16cmfan]

IPsec vytvoreny - funguje Dostanem sa cez mobilny net, pomocou Chrome na FTP.. cez Filezzilu mi to neslo. Takisto cez VLC mi nic nenaslo v lokalnej sieti.. ale to bude asi len nejaka blbost pozriem na nete.. krasna vec ten RouterOS

[16cmfan]

Je to normalne tolke logy ? // EDIT: pozeram, ze som si dal logoval pravidlo c. 1 Takze je to normalne

FW:

Kód: Vybrať všetko

 1    chain=forward action=accept connection-state=established,related connection
      log=yes log-prefix="" 

 2    chain=forward action=accept connection-state=established,related log=no log

 3    ;;; Povol L2TP VPN protokol 51
      chain=input action=accept protocol=ipsec-ah log=no log-prefix="" 

 4    ;;; Povol L2TP VPN protokol 50
      chain=input action=accept protocol=ipsec-esp log=no log-prefix="" 

 5    ;;; Povol L2TP VPN port 1701
      chain=input action=accept protocol=udp dst-port=1701 log=yes log-prefix="" 

 6    ;;; Povol L2TP VPN port 500
      chain=input action=accept protocol=udp dst-port=500 log=yes log-prefix="" 

 7    ;;; Povol L2TP VPN port 4500
      chain=input action=accept protocol=udp dst-port=4500 log=yes log-prefix="" 

 8    ;;; Pristup na QNAP TS-128
      chain=input action=accept protocol=tcp dst-address=192.168.5.10 dst-port=80

 9    ;;; PINGUJESE ZIJES!
      chain=input action=accept protocol=icmp log=no log-prefix="" 

10    chain=input action=accept connection-state=established 

11    chain=input action=accept connection-state=related 

12    ;;; VZDIALENY PRISTUP Z WINBOXu
      chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix="" 

13    ;;; Povol DNS navsteve cez TCP
      chain=input action=accept protocol=tcp src-address=192.168.60.0/24 dst-port

14    ;;; Povol DNS navsteve cez UDP
      chain=input action=accept protocol=udp src-address=192.168.60.0/24 dst-port

15    ;;; BLOKUJ VSETKY POZIADAVKY NA MOJE DNS Z VONKU (tcp)
      chain=input action=drop connection-state=new protocol=tcp in-interface=ethe

16    ;;; BLOKUJ VSETKY POZIADAVKY NA MOJE DNS Z VONKU (udp)
      chain=input action=drop connection-state=new protocol=udp in-interface=ethe

17    ;;; UKAZAT PROSTREDNICKEK PRI POKUSE O LOGIN NA MIKROTICEK
      chain=input action=drop src-address=192.168.60.0/24 log=no log-prefix="" 

18    ;;; SUKROMIE JE CENNE
      chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.60.0/24 
      dst-address=192.168.2.0/24 log=no log-prefix="" 

19    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.60.0/24 
      dst-address=192.168.3.0/24 log=no log-prefix="" 

20    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.60.0/24 
      dst-address=192.168.4.0/24 log=no log-prefix="" 

21    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.60.0/24 
      dst-address=192.168.5.0/24 log=no log-prefix="" 

22    chain=forward action=reject reject-with=icmp-network-unreachable src-address=192.168.60.0/24 
      dst-address=192.168.24.0/24 log=no log-prefix="" 

23    chain=forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.60.0/24 
      dst-address=192.168.50.0/24 log=no log-prefix="" 

24    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

25    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1 log=no 
      log-prefix="" 

26    chain=input action=drop in-interface=ether1 log=no log-prefix="" 

V NAT zapnuta len maskarada... aj ked som vypol UPNP stale to iste...

[mp3turbo]

sikovny !

[16cmfan]

Neviete o nejakej haluzy vo Windows 7 a L2TP ? Pripoji ma na VPNku (MikroTik aj win pise, ze som pripojeny) ale v skutocnosti ani len nepingnem napr. NAS na lokal sieti... ked si dam nasu stranku na kontrolu spotreby, pri spravne fungujucej VPN mi zobrazi moju spotrebu aj IP... http://spotreba.proxisnet.sk/

Na mobile mi to paradoxne funguje, dostanem sa pekne na NASko alebo na FTP... divne to je.. pouzivam Win 7. A pritom mi to minule islo...

[mp3turbo]

s takymito podrobnymi udajmi na analyzu... chapes co mozeme

[16cmfan]

SERVER

Kód: Vybrať všetko

[admin@Sestnastka_ROUTER] /interface l2tp-server server> print
            enabled: yes
            max-mtu: 1450
            max-mru: 1450
               mrru: disabled
     authentication: mschap1,mschap2
  keepalive-timeout: disabled
       max-sessions: unlimited
    default-profile: L2TP
          use-ipsec: no
       ipsec-secret: heslo
     caller-id-type: ip-address
    allow-fast-path: no

Kód: Vybrať všetko

admin@Sestnastka_ROUTER] /ppp profile> print
Flags: * - default 
 0 * name="default" use-mpls=default use-compression=default use-encryption=default 
     only-one=default change-tcp-mss=yes use-upnp=default address-list="" on-up="" 
     on-down="" 

 1   name="L2TP" local-address=ether2 remote-address=L2TP/IPsec use-mpls=default 
     use-compression=default use-encryption=required only-one=default 
     change-tcp-mss=default use-upnp=default address-list="" dns-server=8.8.8.8,8.8.4.4 
     on-up="" on-down="" 

 2 * name="default-encryption" use-mpls=default use-compression=default use-encryption=yes 
     only-one=default change-tcp-mss=yes use-upnp=default address-list="" on-up="" 
     on-down="" 

Poznamka: local address z rozsahu 192.168.2.0/24, remote - jedina addresa vytvorena cez POOL: 192.168.6.10

Kód: Vybrať všetko

admin@Sestnastka_ROUTER] /ppp secret> print
Flags: X - disabled 
 #   NAME          SERVICE CALLER-ID         PASSWORD         PROFILE         REMOTE-ADDRESS 
 0   sestnastka    l2tp                                    heslo           L2TP           

Kód: Vybrať všetko

admin@Sestnastka_ROUTER] /ip pool> print
 # NAME                                                       RANGES                         
 0 ether2                                                     192.168.2.10-192.168.2.100     
 1 ether3                                                     192.168.3.10-192.168.3.100     
 2 ether4                                                     192.168.4.10-192.168.4.100     
 3 ether5                                                     192.168.5.10-192.168.5.100     
 4 WIFI2.4                                                    192.168.24.10-192.168.24.100   
 5 WIFI5                                                      192.168.50.10-192.168.50.100   
 6 L2TP/IPsec                                                 192.168.6.10                   
 7 NAVSTEVA                                                   192.168.60.10-192.168.60.20  

Kód: Vybrať všetko

0   R address=0.0.0.0/0 auth-method=pre-shared-key secret="heslo" 
       generate-policy=port-override policy-template-group=default exchange-mode=main-l2tp 
       send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1 
       enc-algorithm=aes-256,aes-128,3des dh-group=modp2048,modp1024 lifetime=1d 
       dpd-interval=2m dpd-maximum-failures=5 

Kód: Vybrať všetko

[admin@Sestnastka_ROUTER] /ip ipsec proposal> print
Flags: X - disabled, * - default 
 0  * name="default" auth-algorithms=sha1 enc-algorithms=aes-256-ctr,3des lifetime=30m 
      pfs-group=none 

Kód: Vybrať všetko

 0    ;;; VZDIALENY PRISTUP Z WINBOXu
      chain=input action=accept protocol=tcp dst-port=8291 log=no log-prefix="" 

 1    chain=forward action=accept connection-state=established,related 
      connection-nat-state="" in-interface=ether1 log=no log-prefix="" 

 2    chain=forward action=accept connection-state=established,related log=no log-prefix="" 

 3    ;;; Povol L2TP VPN protokol 50
      chain=input action=accept protocol=ipsec-esp log=no log-prefix="" 

 4    ;;; Povol L2TP VPN protokol 51
      chain=input action=accept protocol=ipsec-ah log=no log-prefix="" 

 5    ;;; Povol L2TP VPN port 1701
      chain=input action=accept protocol=udp dst-port=1701 log=no log-prefix="" 

 6    ;;; Povol L2TP VPN port 500
      chain=input action=accept protocol=udp dst-port=500 log=no log-prefix="" 

 7    ;;; Povol L2TP VPN port 4500
      chain=input action=accept protocol=udp dst-port=4500 log=no log-prefix="" 

CLIENT

Windows 7 Home - viz priloha. Este podotknem, ze z MikroTik pingnem aktuane pridelenu addressu napr. 192.168.2.98 ale z NB nepingnem nic (akoby som vobec nebol pripojeny) ale v MT vidim, ze som tam..

Ak bude potreba este nieco sem hodit, daj vediet.

[dadik08]

cau.

Tak som si aj ja zakupil router od Mikrotiku. Nahradil prastary TO-Link, cize to je urcite lepsie, ale mam jeden problem s wifi. Niekedy mi odpaja zariadenia. V logu vidim taketo hlasky:

jun/05 08:15:33 wireless,info 2C:D0:5A:34:3F:95@wlan1: disconnected, received deauth: sending station leaving (3)

neviete, co s tym moze byt?

[Odar]

Otcovi tiez odpaja telefon - Moto G 1st. gen. Na TP-Linku, ktory pouzivaju ako druhy AP na vykrytie ich druhej casti bytu sa drzi. Myslim, ze to moze byt nejaka nekompatibilita. Inak si to vysvetlit neviem.

Mne trebars po upgrade firmware na OnePlus X prestala chodit wifi v praci. Mame tam Cisco APcka.