Комментарии 26
Хм, спасибо. Хотя я и не использую динамический DNS. Пинг снаружи закрою, наверное.
ИМХО более верное решение перевести управление на нестандартные порты + автоматически бан при переборе паролей.
Порты не стандартны и так. Автоматический бан как? Fail2ban, есть для них?
К сожалению нет, там это скриптами реализуется
Быстрый гугл: wiki.mikrotik.com/wiki/Use_Mikrotik_as_Fail2ban_firewall
Пардон, наверно не то, но интересная связка:)
Пардон, наверно не то, но интересная связка:)
У микротиков шикарное wiki и сообщество.
Посмотрите вот здесь — wiki.mikrotik.com/wiki/Bruteforce_login_prevention
Посмотрите вот здесь — wiki.mikrotik.com/wiki/Bruteforce_login_prevention
Только закрывайте только PING (echo-reply), а не сам ICMP, иначе сломаете, например, PMTU.
НЛО прилетело и опубликовало эту надпись здесь
Не только SOHO — вайфай-мосты еще.
С ssh все ок (юзаем пачками), не знаю о чем речь.
С ssh все ок (юзаем пачками), не знаю о чем речь.
CCR-серия с минимум девятью ядрами 1.2 GHz и аппаратным шифрованием — явно не SOHO.
А функционала у него ровно столько же, сколько и у мелкого soho-микротика.
А функционала у него ровно столько же, сколько и у мелкого soho-микротика.
НЛО прилетело и опубликовало эту надпись здесь
Глюков у Mikrotik хватает, хотя бы то, что нескольким удалённым клиентам нельзя одновременно работать с одним L2TP/IPSec сервером.
это, кстати, обходится
Каким образом?
Вот здесь в комментариях вроде разбирались с этим
nixman.info/?p=2308#comments
nixman.info/?p=2308#comments
И я в том числе там в комментариях разбирался, но нет, увы, к рабочему решению не пришли.
Ну тогда менять версию ROS, как вариант. Можно в саппорт написать
Версия последняя, пробовали на многих предыдущих. В саппорт писал, косвенно они признают проблему и предлагают использовать OpenVPN.
Собственно единственный аргумент против OpenVPN на микротике — он там только по TCP. Мне непонятно, с чем это связано, глупость конечно несусветная. Когда он начнёт поддерживать UDP, остальные VPNы просто станут не нужны.
А как же клиенты с айпадиками? Или всё нормально там теперь с OpenVPN?
Не интересовался, беглый гугл нашёл www.earthvpn.com/how-to-configure-openvpn-on-iphone-ipad-ios/
Вроде ничто не помешает указать в конфиге другой сервер openvpn, не их.
Вроде ничто не помешает указать в конфиге другой сервер openvpn, не их.
Так вот кто это вынудил меня гуглить и настраивать обнаружение перебора и автобан. Хотя спасибо :-)
На всех точках, к которым получилось подключиться, были немного изменены настройки
А не боитесь, что вас потом найдут и накажут за незаконное проникновение?
Понимаю, что вы сделали это только на благо, но вопрос в законности.
А не боитесь, что вас потом найдут и накажут за незаконное проникновение?
Понимаю, что вы сделали это только на благо, но вопрос в законности.
не уловил зачем пинговать клиента вообще, если проверялись DNS записи сервера, обслуживающего sn.mynetname.net? Почему не перебирать тупо варианты имён подряд?
Попробовал навскидку через nslookup server 8.8.8.8 — на некоторые номера возвращает IP, на некоторые Non-existent domain
На вид там 12 знаков из нижних латинских букв и цифр, то есть 36 всего. Сколько там получается вариантов, лень думать.
Я бы сначала собрал все ip, которые DNS сервера возвращает, потому уже эту базу проверял если хочется на пароли.
Думаю это быстрее, чем ждать ответа от пинга.
Попробовал навскидку через nslookup server 8.8.8.8 — на некоторые номера возвращает IP, на некоторые Non-existent domain
На вид там 12 знаков из нижних латинских букв и цифр, то есть 36 всего. Сколько там получается вариантов, лень думать.
Я бы сначала собрал все ip, которые DNS сервера возвращает, потому уже эту базу проверял если хочется на пароли.
Думаю это быстрее, чем ждать ответа от пинга.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Некоторые подводные камни технологии IP Cloud в роутерах Mikrotik