можно переключать, логику придётся описывать самостоятельно (или взять готовые скрипты, емнип были у микрота на вики), и будет автоматически переключаться:)
вопрос ещё критичности передаваемых данных и защиты от перехвата..
в целом промышленные микроты (типа ltap mini) когда-то стоили разумно, аналогичное мы на них строили. в базе там один модем но 2 слота под симки (в старших моделях 3), можно переключать тудым-сюдым
Да не очень он для роадворриоров. Для них лучше ssl vpn, вроде any(open)connect - желательно без необходимости локального конфига. Работает лучше через разных стрёмных провайдеров, блочить сложнее, можно выдавать адреса из пула и пушить наборы маршрутов-резолверов
по-хорошему такие штуки в впн заворачивать, но конечно главное поступать разумно - и осознанно:)
ну, как минимум разумно банить на какое-то время, а не навсегда (да и фолс-позитив срабатывания могут быть).
разбанивание по порт-нокингу - ну например скриптом можно сделать. условно, сделали определённый нокинг, удалённый адрес попал в нужный адрес-лист, а скрипт что регулярно дёргается шедулером - смотрит этот адрес-лист и удаляет из блеклиста.
Его не надо закрывать, надо закрывать всё кроме нужного:) а набросились, потому что опубликовано некорректное решение проблемы + претензия к микротам))
Я б сформулировал чуть иначе - закрываем весь входящий трафик (ессно разрешив established и related). От прямых пробросов портов желательно отказаться, если бизнес/процессы требуют - реализовать f2b с проверкой на сервисе.
Портнокинг я бы заменил впн-ом с мфа, ханипоты - по вкусу, необходимости острой не вижу. Лучше ids/ips:)
Ну и да, феншуйно выводить управляющие интерфейсы в отдельный vlan с ограниченным доступом. И не забывать обновляться:)
А ещё микротики бывает рутуют и подключают к ботнету, если прошивки не обновлять и открытые порты снаружи оставлять.
Как выше написали - проблема в некорректной настройке фаервола, превратившей ваш микрот в открытый днс-сервер. Проведите аудит настроек, возможно там еще что-то есть открытое.
Взять кинетик, настроить sstp через их облако (не нужен публичный адрес, не говоря про динамический), просто и относительно безопасно.
Альтернативно универсальный вариант - со своей виртуалкой где-нить в аренде, туннель до неё из дома и с планшета/ноутбука.
А ваш вариант подойдёт в редких случаях когда имеем публичный адрес на оьорудовании, но и да, есть варианты более простые, без велосипеда. Но с открытым рдп наружу как минимум используйте fail2ban решения и нестандартный порт (всё равно будут брутфорсить и проверять на уязвимости:) ). Не лишним будет подумать про MFA на rdp. Но и потом усё равно перейти на впн:)
Решения типа шарли реализуют mitm - при включении “проксирования ssl” переподписывают ответы своим сертом. Поэтому собственно корневой серт и ставится у ТС.
на полноразмерных bose (35) я заменил амбюшуры только с полгода назад, отож доволен качеством. не, соньки хороший выбор - но когда я выбирал они чуть проигрывали по звуку и шумодаву (для моих ушей, это индивидуально, последние не слушал) + не было мультипоинта + управление тачем. кстати в босе мультипоинт в целом чотенько работает, накладки есть - но очень редкие.
там силикон на обруче увеличивается в размере и слезает (ну, у меня). думаю на тему клеевого пистолета\термоусадки\ещё чего, потому что вменяемой альтернативы пока не подобрал:( яблочные tws неплохи, но всё ж вываливаются + нет мультипоинта
Оно очень индивидуально, но лично мне больше зашёл шумодав bose (пользуюсь qc35 лет наверное 4-5). Звук мне тоже больше нравится чем у сонек + механическое управление.
Всё хуже летом - в полноразмерах жарковато. Пока bose qc30 пользую, но потихоньку разлагается:) tws не особо заходит.
И да, попользовавшись ушами с хорошим, годным шумодавом понимаешь уровень звукового загрязнения в городе, и всё-таки (хоть и громковато звучит) уровень жизни меняется с хорошими ушами.
Если будет не лень - я проверю, но даже в ембеддед я встречал уже только vim (опять же проверяется запросом версии) :)
Ed это конечно Ъ, это по нашему:)
Если включать зануду - vi уже не ставится кажется ни один десяток лет как, только vim. Можете убедиться сделав vi --version
можно переключать, логику придётся описывать самостоятельно (или взять готовые скрипты, емнип были у микрота на вики), и будет автоматически переключаться:)
PS да, есть - https://wiki.mikrotik.com/wiki/Dual_SIM_Application#Failover_script_example
вопрос ещё критичности передаваемых данных и защиты от перехвата..
в целом промышленные микроты (типа ltap mini) когда-то стоили разумно, аналогичное мы на них строили. в базе там один модем но 2 слота под симки (в старших моделях 3), можно переключать тудым-сюдым
Да не очень он для роадворриоров. Для них лучше ssl vpn, вроде any(open)connect - желательно без необходимости локального конфига. Работает лучше через разных стрёмных провайдеров, блочить сложнее, можно выдавать адреса из пула и пушить наборы маршрутов-резолверов
по-хорошему такие штуки в впн заворачивать, но конечно главное поступать разумно - и осознанно:)
ну, как минимум разумно банить на какое-то время, а не навсегда (да и фолс-позитив срабатывания могут быть).
разбанивание по порт-нокингу - ну например скриптом можно сделать. условно, сделали определённый нокинг, удалённый адрес попал в нужный адрес-лист, а скрипт что регулярно дёргается шедулером - смотрит этот адрес-лист и удаляет из блеклиста.
Его не надо закрывать, надо закрывать всё кроме нужного:) а набросились, потому что опубликовано некорректное решение проблемы + претензия к микротам))
Я б сформулировал чуть иначе - закрываем весь входящий трафик (ессно разрешив established и related). От прямых пробросов портов желательно отказаться, если бизнес/процессы требуют - реализовать f2b с проверкой на сервисе.
Портнокинг я бы заменил впн-ом с мфа, ханипоты - по вкусу, необходимости острой не вижу. Лучше ids/ips:)
Ну и да, феншуйно выводить управляющие интерфейсы в отдельный vlan с ограниченным доступом. И не забывать обновляться:)
Автор решил что трафик генерит микрот, видимо исходя из роста счётчиков на аутпут, вот и сделал странное..
Да, раньше заводской конфиг был дыряв у микротов, сейчас более-менее вменяемый
А ещё микротики бывает рутуют и подключают к ботнету, если прошивки не обновлять и открытые порты снаружи оставлять.
Как выше написали - проблема в некорректной настройке фаервола, превратившей ваш микрот в открытый днс-сервер. Проведите аудит настроек, возможно там еще что-то есть открытое.
В современных микротах в дефолтных настройках он снаружи не открыт:)
Взять кинетик, настроить sstp через их облако (не нужен публичный адрес, не говоря про динамический), просто и относительно безопасно.
Альтернативно универсальный вариант - со своей виртуалкой где-нить в аренде, туннель до неё из дома и с планшета/ноутбука.
А ваш вариант подойдёт в редких случаях когда имеем публичный адрес на оьорудовании, но и да, есть варианты более простые, без велосипеда. Но с открытым рдп наружу как минимум используйте fail2ban решения и нестандартный порт (всё равно будут брутфорсить и проверять на уязвимости:) ). Не лишним будет подумать про MFA на rdp. Но и потом усё равно перейти на впн:)
Решения типа шарли реализуют mitm - при включении “проксирования ssl” переподписывают ответы своим сертом. Поэтому собственно корневой серт и ставится у ТС.
Tcpdump такого не умеет.
Не очень удобно ковырять ssl с tcpdump-ом в отличие от решений упомянутых ТС, особенно не имея приватного ключа сервера..
Syspass, для ценителей - teampass, пара плагинов к nextcloud… чистый опенсорц, без бесплатных версий на 5 человек и без ldap:)
ну тарифы же не повышали :D
на полноразмерных bose (35) я заменил амбюшуры только с полгода назад, отож доволен качеством. не, соньки хороший выбор - но когда я выбирал они чуть проигрывали по звуку и шумодаву (для моих ушей, это индивидуально, последние не слушал) + не было мультипоинта + управление тачем. кстати в босе мультипоинт в целом чотенько работает, накладки есть - но очень редкие.
а что есть дешевые? хуавеевские freelace pro или как-то так были неплохи (но не босе, не босе..)
там силикон на обруче увеличивается в размере и слезает (ну, у меня). думаю на тему клеевого пистолета\термоусадки\ещё чего, потому что вменяемой альтернативы пока не подобрал:( яблочные tws неплохи, но всё ж вываливаются + нет мультипоинта
Оно очень индивидуально, но лично мне больше зашёл шумодав bose (пользуюсь qc35 лет наверное 4-5). Звук мне тоже больше нравится чем у сонек + механическое управление.
Всё хуже летом - в полноразмерах жарковато. Пока bose qc30 пользую, но потихоньку разлагается:) tws не особо заходит.
И да, попользовавшись ушами с хорошим, годным шумодавом понимаешь уровень звукового загрязнения в городе, и всё-таки (хоть и громковато звучит) уровень жизни меняется с хорошими ушами.