замеряли как сильно просаживает проц фаерволл решение с тремя адресс листами ?

А кто сказал что их будет три? Чем сложнее защита, тем их больше, три это минимум.

Зато можно более избранно банить, и меньше правил в FW.

Удачи

Удачи

А что? Лагает инет где то на точке, то появится, то отвалится, в итоге точка может уйти в бан в корне сети из-за этого, если использовать ответы то такого не произойдёт.

А что? Лагает инет где то на точке, то появится, то отвалится, в итоге точка может уйти в бан в корне сети из-за этого, если использовать ответы то такого не произойдёт.

Ну, за безразрывность связи ! ?

Щас я саппорт потрясу, мож что интересное подскажут ;)

Удивляюсь я с некоторых людей. Вроде переживают за безопасность, а сделать статику с обеих сторон туннеля жмутся. В итоге собирают на открытый всем порт ботнеты.

Рецепт-то прост: заводим в филиалы и удаленным пользователям статику и открываем порт только белому списку адресов из этой статики.

Рецепт-то прост: заводим в филиалы и удаленным пользователям статику и открываем порт только белому списку адресов из этой статики.

Да там не всё так просто, было бы так просто, я бы наверное использовал l2tp уж.

Все говорят "не просто", а на самом деле 90% просто лень или "денег нет"

Да там не всё так просто, было бы так просто, я бы наверное использовал l2tp уж.

сложность статику купить? это где такое еще есть?

И 5 процентов - нет денег и нет времени одновременно

Чаще всего 50-100р за статику "денег нет, ну и пока работает так"

Я сам такой, если что )

В трёх местах на овпн всё ещё так и работают тоннели

"Ынтырпрайз трэбубщий сэкурнасти не можэт разбрасцывать по 100р за статику на кажтый бранч!".

Все из-за лени

?

Международный холдинг возьмет в лизинг степлер

сложность статику купить? это где такое еще есть?

Это там где всё через Ж, т.е. обычная рашен глубинка.

Чаще всего 50-100р за статику "денег нет, ну и пока работает так"

Просто часть офисов это домашние точки, а часть это юрики, у которых статика это никак не 50-100р.

Просто часть офисов это домашние точки, а часть это юрики, у которых статика это никак не 50-100р.

150р. ? Даже опсосы больше 250р. за статику не берут с юриков.

Настроил, вроде наполняются листы IPшниками, но вопрос, не угробят ли мне такие динамические листы флешечку то на тике? Всё таки довольно активная запись пошла.

150р. ? Даже опсосы больше 250р. за статику не берут с юриков.

РТК 250-300р вроде просит за статику.

И? "У интерпрайза нет денег"?

РТК отлично торгуется, если подключать более одной точки

Настроил, вроде наполняются листы IPшниками, но вопрос, не угробят ли мне такие динамические листы флешечку то на тике? Всё таки довольно активная запись пошла.

хы.... можно спросить у саппорта ?

РТК отлично торгуется, если подключать более одной точки

Да это аутсорсинг, тут просто всё в одну сеть собрал и зафильровал, что бы удобно можно было получить доступ себе к любой её части, чем куча VPNов, FW и т.д.

И? "У интерпрайза нет денег"?

Вы думаете что регионы живут как МСК? В некоторых полная жопа, и тут особо не пожируешь.

Вы думаете что регионы живут как МСК? В некоторых полная жопа, и тут особо не пожируешь.

Вы думаете я из мск, что ли? ?

Тут кое-где вообще спутник-онли линки, и 1Мбит/с за 10000р. это счастье

Тут кое-где вообще спутник-онли линки, и 1Мбит/с за 10000р. это счастье

нефтяники?

А еще местами присутствует охреневшее ЗАО "Квантум", зарезающее прохождение пакетов на порты и протоколы по личному усмотрению.

нефтяники?

Лично у меня - нет. У коллег-соседей нефтянка.

Вы думаете я из мск, что ли? ?

Просто есть регионы среднячки.

Ага. И есть Сибирь, и её области в стороне от Транссиба.

Вобщем сделал так, поглядим как себя поведёт такая схема, возможно таймауты понизить придётся. /ip firewall filter add chain=input protocol=tcp dst-port=1194 src-address-list=wan_ip_blacklist action=drop comment="Drop brute-forcers services" disabled=no add chain=input protocol=tcp dst-port=1194 connection-state=new src-address-list=wan_ip_blacklist_stage_5 action=add-src-to-address-list address-list=wan_ip_blacklist address-list-timeout=365d disabled=no add chain=input protocol=tcp dst-port=1194 connection-state=new src-address-list=wan_ip_blacklist_stage_4 action=add-src-to-address-list address-list=wan_ip_blacklist_stage_5 address-list-timeout=30m disabled=no add chain=input protocol=tcp dst-port=1194 connection-state=new src-address-list=wan_ip_blacklist_stage_3 action=add-src-to-address-list address-list=wan_ip_blacklist_stage_4 address-list-timeout=30m disabled=no add chain=input protocol=tcp dst-port=1194 connection-state=new src-address-list=wan_ip_blacklist_stage_2 action=add-src-to-address-list address-list=wan_ip_blacklist_stage_3 address-list-timeout=30m disabled=no add chain=input protocol=tcp dst-port=1194 connection-state=new src-address-list=wan_ip_blacklist_stage_1 action=add-src-to-address-list address-list=wan_ip_blacklist_stage_2 address-list-timeout=30m disabled=no add chain=input protocol=tcp dst-port=1194 connection-state=new action=add-src-to-address-list address-list=wan_ip_blacklist_stage_1 address-list-timeout=30m disabled=no

Продам Лицензии Mikrotik L5/P10 https://forum.nag.ru/index.php?/topic/137067-prodam-licenzii-mikrotik-l5p10/&do=findComment&comment=1456370 Продам Лицензии Микротик L5/P10. В наличии 7шт, цена за штуку - 2500 руб. Лицензии/ю переведу на аккаунт mikrotik.com. Подробности в ЛС.

P1 лицензии лишней, случайно, нет?

ребят привет, кто-нибудь может помочь с настройкой микротика (routeros 4) схема выше: чувак подключается через вайфай к роутеру и его сразу же редиректит на сервак(который подключен к роутеру через ethernet) это должно быть что-то вроде captive portal то есть при подключении к wifi должен происходить сразу редирект гуглил, но такого не нашел

and serves the webpage* ошибочка на схеме)

Через прокси

Только

150р. ? Даже опсосы больше 250р. за статику не берут с юриков.

Да ладно мтс до 1200 берет

P1 лицензии лишней, случайно, нет?

Не я продаю, мопед не мой, спрост

Да ладно мтс до 1200 берет

За статический IP? На проводе или на 3g/4g? В каком регионе?

ЗапСибФО. МТС 4Г куплена статика по 100р./мес

ребят привет, кто-нибудь может помочь с настройкой микротика (routeros 4) схема выше: чувак подключается через вайфай к роутеру и его сразу же редиректит на сервак(который подключен к роутеру через ethernet) это должно быть что-то вроде captive portal то есть при подключении к wifi должен происходить сразу редирект гуглил, но такого не нашел

Смотрите здесь: https://wiki.mikrotik.com/wiki/HotSpot_external_login_page

Оно?

Только

Не совсем. См. Ссылку выше.

Да ладно мтс до 1200 берет

мтс могет...он много могет

За статический IP? На проводе или на 3g/4g? В каком регионе?

В сзфо - расказываю - надо было на наши безлимиты ( согласованный тариф) подключить белый ip. Позвонил персу, так как в вирт менеджере они почему-то пропали ( было по 3₽/сутки и 300 выделенние). Перс сказала что теперь ip только в пакете с трафиком и мир пакет 100гигов за 1200₽/мес. На мое, что мы безлимит без ограничения скорости у них берем дешевле - вежливо послала, написал в макрорегион комерсантам - так же вежливо послали))

ЗапСибФО. МТС 4Г куплена статика по 100р./мес

Везет

А андимы почем продает?

В сзфо - расказываю - надо было на наши безлимиты ( согласованный тариф) подключить белый ip. Позвонил персу, так как в вирт менеджере они почему-то пропали ( было по 3₽/сутки и 300 выделенние). Перс сказала что теперь ip только в пакете с трафиком и мир пакет 100гигов за 1200₽/мес. На мое, что мы безлимит без ограничения скорости у них берем дешевле - вежливо послала, написал в макрорегион комерсантам - так же вежливо послали))

жесть

Я вообще в шоке был

В сзфо - расказываю - надо было на наши безлимиты ( согласованный тариф) подключить белый ip. Позвонил персу, так как в вирт менеджере они почему-то пропали ( было по 3₽/сутки и 300 выделенние). Перс сказала что теперь ip только в пакете с трафиком и мир пакет 100гигов за 1200₽/мес. На мое, что мы безлимит без ограничения скорости у них берем дешевле - вежливо послала, написал в макрорегион комерсантам - так же вежливо послали))

ладно хоть тариф не переключили :)

А как же межимпериалистические противоречия?

В том же письме, а мне вот в билааайне (мегафоне, рт) нужное подчеркнуть

Адрес лист тика больше 180 дней не поддерживает таймаут что ли?

Хотел на год забанить брутеров, а он тупо правило дабвляет туда, и тут же удаляет его.

ладно хоть тариф не переключили :)

Мтс мы знаем , что можем, но не знаем как

Хотел на год забанить брутеров, а он тупо правило дабвляет туда, и тут же удаляет его.

Скай твои правила которые ты кидал выше имеют право на жизнь?

Мтс мы знаем , что можем, но не знаем как

Исков боятся) Это же не бабушек с подписками наёбывать...

Скай твои правила которые ты кидал выше имеют право на жизнь?

Не совсем, я их ещё щас фиксю.

ERROR: S client not available

Много багов всплыло.

Поделишься детищем?)

Скорее всего, т.к. нужно бороться с этим вместе)

У меня овпн с сертификатами,проблем не испытываю,клиенты на динамике,мобильные места

Жалко что в тике нет файлбана того же, реальная проблема на FW сделать нормальную защиту.

У меня овпн с сертификатами,проблем не испытываю,клиенты на динамике,мобильные места

Когда их станет много, и когда они далеко можно подза...ся с этими сертификатами.

Жалко что в тике нет файлбана того же, реальная проблема на FW сделать нормальную защиту.

А в чем проблема?

А в чем проблема?

Брутят OpenVPN, нагло, с огромного ботнета с кучей подсетей.

Жалко что в тике нет файлбана того же, реальная проблема на FW сделать нормальную защиту.

Это уже больше к pfsense тема

Брутят OpenVPN, нагло, с огромного ботнета с кучей подсетей.

А в чем проблема их блочить7

Это уже больше к pfsense тема

Ну они же долго не прописывали правило для DNS из вне, щас по дефолту уже идёт, видать задрали их ботнеты их микротиков)

А в чем проблема их блочить7

Проблема в том что нужно блочить их по ответу OpenVPN сервера, а я его не знаю. Для FTP есть примеры где можно чётко брутеров определить и заблочить.

Проблема в том что нужно блочить их по ответу OpenVPN сервера, а я его не знаю. Для FTP есть примеры где можно чётко брутеров определить и заблочить.

Что значит "блочить по ответу впн-сервера"?

Что значит "блочить по ответу впн-сервера"?

https://wiki.mikrotik.com/wiki/Bruteforce_login_prevention

https://wiki.mikrotik.com/wiki/Bruteforce_login_prevention

И? В чем проблема?

В том что ответ не известен.

Ясно.

Накатал тиковцам вопрос, мол так то и так, задрали меня ботнеты, помогите, мож что умного напишут хотя бы для клиентов в виде тиков.

Что то кстате они от меня отстали, с самого НГ долбили меня брутом, щас долбили с 3 IP и больше не появляются.

Понятно.

Брутят OpenVPN, нагло, с огромного ботнета с кучей подсетей.

Блин, ну если у вас динамические клиенты на региональном РТ - поглядите в ripe подсети провайдера. Внестие их в "белый список" и пускайте к сервису по нему. Вы же не ждете OVPN-клиентов из Африки или Америки.

Подскажите. Вот допустим имею я дома у себя mikrotik и статический ip от провайдера. А у клиента я подключаю видеорегистратор, тоже к микротику с usb модемом с серым динамическим ip. Могу ли я клиенту организовать удаленное видеонаблюдение со смартфона используя свой личный статический адрес?

Что то кстате они от меня отстали, с самого НГ долбили меня брутом, щас долбили с 3 IP и больше не появляются.

Ботнеты нынче распределенные. В таком ботнете отдельно есть сканеры, есть брутфорсеры, есть командные серверы. Сканеры сливают список насканеного в командный сервер, а брутфорсеры с него берут себе цели. Если "сканер" к вам не пробился - вас в списках на брутфорс не будет.

Подскажите. Вот допустим имею я дома у себя mikrotik и статический ip от провайдера. А у клиента я подключаю видеорегистратор, тоже к микротику с usb модемом с серым динамическим ip. Могу ли я клиенту организовать удаленное видеонаблюдение со смартфона используя свой личный статический адрес?

Можете. Адресация (подсети) в вашей домашней и в удаленной сети клиента не должны пересекаться. Лучше, если адреса обоих подсетей живут в диапазоне 172.16.0.0/12. Например, 172.16.1.0/24 и 172.16.2.0/24. Соединяете сети туннелем - с серой динамики коннектитесь к домашней статике. Настраиваете маршруты. Из внешнего мира клиент будет цепляться к вашему домашнему роутеру и через него попадать на свой регистратор.

Спасибо, так и думал, что технически такая возможность есть. Буду пробовать на стенде дома все наладить.

Можете. Адресация (подсети) в вашей домашней и в удаленной сети клиента не должны пересекаться. Лучше, если адреса обоих подсетей живут в диапазоне 172.16.0.0/12. Например, 172.16.1.0/24 и 172.16.2.0/24. Соединяете сети туннелем - с серой динамики коннектитесь к домашней статике. Настраиваете маршруты. Из внешнего мира клиент будет цепляться к вашему домашнему роутеру и через него попадать на свой регистратор.

Расскажите людям недалеким, а почему лучше чтобы адреса просетей были в диапазоне 172.16.0.0/12?

Я думаю что в качестве примера

Что такое публичные и приватные адреса? | CiscoTips http://ciscotips.ru/private-public-ips

Что такое публичные и приватные адреса? | CiscoTips http://ciscotips.ru/private-public-ips

RFC1918 надо читать, а не цискотипс :)

RFC1918 надо читать, а не цискотипс :)

Ок, гугл. Что первое выдало

Я думаю что в качестве примера

Видимо мой сарказм был не понят

Видимо да)