Все вопросы по Mikrotik

crisisby · Сообщение 06.02.2021 16:22

Предлагаю здесь, задавать все вопросы связанные с микротиком.

Пожалуй начну

В данный момент на микроте открыт белый айпи. Вижу, периодические подключения, с попытками получить доступ к учетке.
идёт отсюда: 213.108.34.

Как правильно, заблокировать этот диапазон?

IP, Firewall. И что дальше? добавить как-то в Adress list, А потом в Firewall Rule правило какое-то создать, чтоб оно работало?

Polaris · Сообщение 06.02.2021 16:24

crisisby
это до тебя такое уже было?

crisisby · Сообщение 06.02.2021 16:27

Polaris:crisisby
это до тебя такое уже было?

да. Открыт белый айпи. Подключение VPN (PPTP). Потом rdp с указыванием уже локального айпи сервака с портом .

Polaris · Сообщение 06.02.2021 16:32

crisisby
Хороший подарок от предшественника
не знаю мб поможет https://asp24.com.ua/blog/zashita-mikro ... vtorjenii/
Только бекап сделать перед всеми манипуляциями не забутите

zmax · Сообщение 06.02.2021 17:38

отключить удаленное управление по ненужным протоколам.
Вообще по микротам очень много инфы в гугле, все что я искал, находилось без проблем за пару кликов.

BorisBrejcha · Сообщение 03.03.2021 17:48

crisisby:
Как правильно, заблокировать этот диапазон? :

защищаем сам микротик:
создайте сложное имя пользователя и очень сложный пароль (admin задисаблить), и пусть хакеры ломятся башкой апстену.
ненужные сервисы отключить (телнет, апи, фтп, проч)
по моим наблюдениям - боты 20 минут ломятся стандартными комбинациями и через 20 минут отваливают
никто брутфорсом не занимается

защищаем хосты в локалке:
закрыть все снаружи, оставив только ВПН доступ в локалку.
более ничего не нужно делать.

Alligator · Сообщение 12.03.2021 18:11

А накой доступ к микротику из вне? PPTP/L2TP не требует, чтоб был доступ к вебможе или через winbox, закройте и не парьтесь.

Gavri1a · Сообщение 12.03.2021 19:43

BorisBrejcha:по моим наблюдениям - боты 20 минут ломятся стандартными комбинациями и через 20 минут отваливают
никто брутфорсом не занимается

не знаю, ко мне все время кто-то ломится

когда-то нашел полезный скрипт и под себя донастроил. он загоняет в блэклист на сутки тех, кто за короткий промежуток времени пытается несколько раз подключиться. 4 подключения с одного ip за короткий промежуток времени - гоу в блэклист)

BorisBrejcha · Сообщение 13.03.2021 16:33

Gavri1a:
не знаю, ко мне все время кто-то ломится
когда-то нашел полезный скрипт и под себя донастроил. он загоняет в блэклист на сутки тех

и шо?

в сети миллионы роботов, бороться с ними - все равно что донкихотствовать.

zmax · Сообщение 13.03.2021 16:50

Gavri1a
а можно просто отключить telnet и ssh, которым Вы все равно не пользуетесь

спойлер

neo89skynet · Сообщение 13.03.2021 17:12

А лучше вообще убрать доступ на морду роутера(на ван порт) из вне... А если прям так нужен этот доступ из вне, то через ovpn настроить это дело.

Gavri1a · Сообщение 13.03.2021 18:06

BorisBrejcha: и шо?

в сети миллионы роботов, бороться с ними - все равно что донкихотствовать.

снизилась нагрузка на проц... в принципе с этого все и началось - заметил, что чем-то проц загружен. начал копать и увидел в логах эти подключения постоянные.
после настройки скрипта, все наладилось и в блэклисте постоянно висит пара десятков ip

Отправлено спустя 36 секунд:

zmax:Gavri1a
а можно просто отключить telnet и ssh, которым Вы все равно не пользуетесь

а можно еще микротик из розетки отключить. я же им все равно не пользуюсь)

zmax · Сообщение 13.03.2021 20:22

Gavri1a:а можно еще микротик из розетки отключить. я же им все равно не пользуюсь)

мне показалось Вы задали вопрос или как минимум попросили помощи. Но нет, я ошибся. Похоже Вы из тех, кто создает сам себе проблемы , а потом героически их преодолевает. Что ж, удачи.

Learjet · Сообщение 13.03.2021 20:38

zmax:Gavri1a
а можно просто отключить telnet и ssh, которым Вы все равно не пользуетесь
спойлер

Так же сделал. Один winbox включен, к нему доступ только из локалки. Нет никаких попыток подключения, брутфорсов и т.д. Ну это если не нужны остальные сервисы конечно.

zmax · Сообщение 13.03.2021 21:49

Learjet:Ну это если не нужны остальные сервисы конечно.

подозреваю, задавая подобные вопросы человек без понятия что такое ssh/telnet и зачем они нужны.

Learjet · Сообщение 13.03.2021 21:51

zmax:
Learjet:Ну это если не нужны остальные сервисы конечно.
подозреваю, задавая подобные вопросы человек без понятия что такое ssh/telnet и зачем они нужны.

. Но вы тоже смотрите. Топикстартер и юзер скриптов от ботов, всё таки разные люди

Gavri1a · Сообщение 14.03.2021 02:02

zmax:
Gavri1a:а можно еще микротик из розетки отключить. я же им все равно не пользуюсь)
мне показалось Вы задали вопрос или как минимум попросили помощи. Но нет, я ошибся. Похоже Вы из тех, кто создает сам себе проблемы , а потом героически их преодолевает. Что ж, удачи.

в моем сообщении был знак вопроса или просьба помочь?
я отвечал на сообщение человека, что никто долго не ломится на микротик и привел свой реальный пример

solarstone · Сообщение 31.03.2021 20:12

Хлопці, придбав собі Mikrotik hAP lite RB941-2ND classic, з коробки через quick set налаштував pppoe, з'єднання працює, але швидкість дуже низька, на прийом в районі 0.2 мбс, на віддачу біля 80 (мій інтернет тариф 80/80 мбс). Це проблема у девайсі і його треба повертати чи шось можно зробити?

neo89skynet · Сообщение 31.03.2021 21:40

solarstone
Экстрасенсы ушли в отпуск, для начала под спойлер свой конфиг выложите, в терминале команда — /export hide-sensitive terse

solarstone · Сообщение 01.04.2021 09:03

neo89skynet: ↑ 31.03.2021 21:40 solarstone
Экстрасенсы ушли в отпуск, для начала под спойлер свой конфиг выложите, в терминале команда — /export hide-sensitive terse

Код: Выделить всё

# mar/31/2021 18:44:41 by RouterOS 6.48.1
# software id = X1GT-7G8G
#
# model = RB941-2nD
# serial number = D1130D1E4B99
/interface bridge add admin-mac=08:55:31:97:AA:0C auto-mac=no comment=defconf name=bridge
/interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX country=ukraine disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MikroTik-97AA10 station-roa
ming=enabled wireless-protocol=802.11 
/interface pppoe-client add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 use-peer-dns=yes user=a63
/interface list add comment=defconf name=WAN
/interface list add comment=defconf name=LAN
/interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
/ip pool add name=dhcp ranges=192.168.1.25-192.168.1.100
/ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf
/user group set full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port add bridge=bridge comment=defconf interface=ether2
/interface bridge port add bridge=bridge comment=defconf interface=ether3
/interface bridge port add bridge=bridge comment=defconf interface=ether4
/interface bridge port add bridge=bridge comment=defconf interface=pwr-line1
/interface bridge port add bridge=bridge comment=defconf interface=wlan1
/ip neighbor discovery-settings set discover-interface-list=LAN
/interface list member add comment=defconf interface=bridge list=LAN
/interface list member add comment=defconf interface=ether1 list=WAN
/interface list member add interface=pppoe-out1 list=WAN
/ip address add address=192.168.1.1/24 comment=defconf interface=bridge network=192.168.1.0
/ip dhcp-client add comment=defconf interface=ether1
/ip dhcp-server network add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24
/ip dns set allow-remote-requests=yes
/ip dns static add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked 
/ip firewall filter add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
/ip firewall filter add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
/ip firewall filter add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1 
/ip firewall filter add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
/ip firewall filter add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
/ip firewall filter add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
/ip firewall filter add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related 
/ip firewall filter add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked 
/ip firewall filter add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
/ip firewall filter add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN 
/ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/system clock set time-zone-name=Europe/Kiev
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

Доречі, коли вводив команду на вивід конфігу то він мені його поступово випльовував - порціями, а не все одразу, не знаю чи так повинно бути чи девайс трохи того. Перевіряв швидкість на спідтесті і дивився системні ресурси роутера - загруженість цпу 7%, вільна пам'ять 7 мб із 32.