а что у тебя телнет включен?

на мт?

да

консоль запустил

хз, а какая разница, если я через винбокс подключился?

когда терминал в сессии открыт, такое сообщение появляется

когда терминал в сессии открыт, такое сообщение появляется

эт понятно, но телнет надо выключить как службу

когда терминал в сессии открыт, такое сообщение появляется

точно

эт понятно, но телнет надо выключить как службу

а почему? и как сделать

айпи сервисес

эт понятно, но телнет надо выключить как службу

даже если выключишь, все равно такое сообщение появляться будет, если в сессии открыт терминал.

даже если выключишь, все равно такое сообщение появляться будет, если в сессии открыт терминал.

да да будет, но выключить ндао

почему надо?

почему надо?

SECURITY

почему надо?

здесь выше выкладывали пдфку с мума презентаху, советую почитать

почему надо?

выключи вообще всё чем не пользуешься всегда, я б только винбокс оставил

Mikrotik & SSH?

здесь выше выкладывали пдфку с мума презентаху, советую почитать

такое себе... WAN интерфейсы надо защищать фаерволом, а из локальной сети лучше жизнь не усложнять.. На презентации чувак менял MAC адреса, что бы было не похоже, что это микротик... серьезно, в чем смысл?

щас придут люди и скажут что и винбокс нужно открывать путем скриптов получая заранее придуманное количество пакетом icmp на определенный интерфейс желательно впн :)

почему надо?

Нешифрованный, старый протокол, в котором данные передаются плаинтекстом, их легко перехватить, и ичспользовать против вас. По крайней мере наружу точно им светить не стоит. а Внутри - по ситуации.

такое себе... WAN интерфейсы надо защищать фаерволом, а из локальной сети лучше жизнь не усложнять.. На презентации чувак менял MAC адреса, что бы было не похоже, что это микротик... серьезно, в чем смысл?

может в этом и есть вопрос, но в принципе общая идея правильная основной посыл правилен

Нешифрованный, старый протокол, в котором данные передаются плаинтекстом, их легко перехватить, и ичспользовать против вас. По крайней мере наружу точно им светить не стоит. а Внутри - по ситуации.

да не только он в МОТД выдает полную инфу о аппарате :)

Нешифрованный, старый протокол, в котором данные передаются плаинтекстом, их легко перехватить, и ичспользовать против вас. По крайней мере наружу точно им светить не стоит. а Внутри - по ситуации.

коллаборативно :)

В общем если за вашим микротиком секреты мирового господства и абсолютного могущества в сумме с тотальным бессмертием, вам стоит начать реализовывать доку с МУМа. А если там офименеджер, директор, уборщица и охранник и вся эта организация занимается оптовой продажей сгущенки, то обойдитесь общими методами защиты. А доку с мума почитаете как нить перед сном в качестве общего развития.

Я согласен с вами что telnet не нужен, потому, что есть нормальная альтернатива - SSH. Просто в той доке много подобного: Закрыть порты 123 udp, 53 tcp&udp из Интернет. При этом слайдом выше указывается совершенно разумная вещь, которая делает предыдущий шаг бессмысленным: Рекомендуется закрывать всё, что явно не разрешено. То есть на фаерволе мы можем запретить Input + Forward (который не был dst-nat) на WAN интерфейсы..

зачем городить огород "на всякий случай"

Я согласен с вами что telnet не нужен, потому, что есть нормальная альтернатива - SSH. Просто в той доке много подобного: Закрыть порты 123 udp, 53 tcp&udp из Интернет. При этом слайдом выше указывается совершенно разумная вещь, которая делает предыдущий шаг бессмысленным: Рекомендуется закрывать всё, что явно не разрешено. То есть на фаерволе мы можем запретить Input + Forward (который не был dst-nat) на WAN интерфейсы..

это в идеале, просто у многих кто начал не вовремя чесаться фаерволл был нормально открытым :)

Я согласен с вами что telnet не нужен, потому, что есть нормальная альтернатива - SSH. Просто в той доке много подобного: Закрыть порты 123 udp, 53 tcp&udp из Интернет. При этом слайдом выше указывается совершенно разумная вещь, которая делает предыдущий шаг бессмысленным: Рекомендуется закрывать всё, что явно не разрешено. То есть на фаерволе мы можем запретить Input + Forward (который не был dst-nat) на WAN интерфейсы..

а разве по дефолту правила так не делают?

а разве по дефолту правила так не делают?

Делают :) но наверное я соглашусь с Алексеем, что многие живут без дефолтного фаервола. 1) на свичах нет фаервола в дефолтном конфиге, а у многих в офисах CRS-ки 2) половина интернета пистрит интрукциями, которые начинаются со сброса настроек в Blank (удаление дефолтного конфига) 3) Многие просто не меняют интерфейсы в деф. фаерволе, после подключения интернет, к примеру через PPPoE

вот что надо в первую очередь показывать всем: 4 дефолтных строчки и обьяснять как они работают... А изголяться уже потом

Кстати насчет дефолтного конфига.. уже давно приходится добавлять DNS в DHCP-Server после настройки через Wizard, так как Wizard оставляет эту строку пустой.. не баг ли это? Или есть какой то сокральный смысл?

Ребята, завязываем голосом общаться.

Ребята, завязываем голосом общаться.

ну наконец то!

старички пришли..

сейчас пинать будут

в защиту старичков могу сказать, что войсы редко удаётся послушать, это если за компом сидишь в тихой обстановке и в наушниках - то норм

а если где-нибудь едешь или нет динамиков - то увы

сейчас пинать будут

да нет. сейчас просто злой модератор покиляет все мессаги и всё

стенограмму пока телеграм не научился делать

ясн..

19:53:10 l2tp,ppp,info l2tp-out-HOME-OFFICE: connecting... 19:53:10 system,info device changed by admin 19:53:34 l2tp,ppp,info l2tp-out-HOME-OFFICE: terminating... - session closed 19:53:34 l2tp,ppp,info l2tp-out-HOME-OFFICE: disconnected 19:53:34 l2tp,ppp,info l2tp-out-HOME-OFFICE: initializing... 19:53:34 l2tp,ppp,info l2tp-out-HOME-OFFICE: connecting... 19:53:34 l2tp,ppp,info l2tp-out-HOME-OFFICE: terminating... - old tunnel is not closed yet 19:53:34 l2tp,ppp,info l2tp-out-HOME-OFFICE: disconnected 19:53:34 l2tp,ppp,info l2tp-out-HOME-OFFICE: initializing... 19:53:34 l2tp,ppp,info l2tp-out-HOME-OFFICE: connecting... 19:53:38 l2tp,ppp,info l2tp-out-HOME-OFFICE: terminating... 19:53:38 l2tp,ppp,info l2tp-out-HOME-OFFICE: disabled 19:53:38 system,info device changed by admin 19:54:50 system,info,account user admin logged in from 192.168.10.16 via telnet [admin@MikroTik] >

Короче проблема пишет типа old tunnel is not closed yet

Короче проблема пишет типа old tunnel is not closed yet

рискну предположить, переведя на русский, что проблема в том, что "старый туннель еще не закрыт"

как его грохнуть то? Я уже микрот ребутал а пофигу

оба даже.

возможно у вас в профиле VPN стоит only one параметр = yes, то есть разрешено только одно соединение для уникальной пары логин+пароль

а подключений несколько... ну вы поняли

попробовать стоит :)

стояло Default

Поставил на no

Нифига не помогло.

да дефалт и есть no вроде бы.. интернет у вас стабильный? или рвется переодически? может во время разрывов сервер не успевает понять что разрыв был, а клиент уже в курсе и пытается снова?

Очень стабильный!

Просто сегодня провод выдергивал

этож вчерашняя проблема

сегодня скрипт проверял

вот и SFP выдернул

fsp

а если изменить профиль

пасс нэйм

Погодь пропробую.

у вас старая прошивка, насколько я помню. В последней добавили несколько L2TP сеансов с одного IP и еще много всего

20:05:10 l2tp,info first L2TP UDP packet received from 172.24.255.228

Блин

вот такую байду выдает микротик к которому коннект идет.

это твой айпишник-то?

Да

Мой домашний

Тока там через NAT

провайдер дает серый Ip

посоветовать провайдеру "обновить свой микротик" :)

Боюсь что там стоят циски

так обновить должны вы, сервер же у вас)

Та он непонял сути

Просто дело в убраной когда-то галочке.

Ребята, а что у микротов есть с встроенным слотом для сим?

Ну знаю базебокс2/5 умеют, но модем надо. Ещё какие то есть?

Всё с минипси-е слотом

Но без модема в слоте смысла в ней нет