Доброго времени!
С недавних пор появились такие записи в логах TCP connection established from IP, адрес сети пренадлежит мегафону(йоте), ломится на pptp, т.к. не могу понять, что это или кто это в файрволе дропаю на chain input эти пакеты, через какое-то время последняя цифра адреса меняется и приходится менять правило. Всю сеть не могу заблочить т.к. есть сотрудники, которые подключаются к pptp посредством мобильных сетей. Может кто знает, что это может быть?
TCP connection established from IP, в логах каждые секунд 5
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Может стоит все-таки pptp поменять на что-нибудь более защищенное?
Telegram: @thexvo
-
- Сообщения: 19
- Зарегистрирован: 19 ноя 2017, 14:35
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
- Volant
- Сообщения: 77
- Зарегистрирован: 26 фев 2018, 18:32
- Контактная информация:
если уровень паранойи позволяет используете pptp, то юзать ipsec совсем не обязательно. Микротик умеет делать MPPE 128 over l2tp. Клиенты - win, linux, mikrotik будут подключаться без проблем, но вот c устройствами iOS такой финт не удастся, придется юзать ipsec, но таких клиентов, думаю, меньшинство.
Беда в том, что ipsec очень ощутимо грузит cpu.
-
- Сообщения: 92
- Зарегистрирован: 15 июл 2018, 02:08
Железки c аппаратной поддержкой aes стоят не так уж и дорого, что бы не использовать нормальное шифрование. Хотя бы hex 750gr3, 3800 р. - для компании вообще ни о чем.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Плюсую.
hEX 185mb/s шифрованного трафика прокачивает через туннель.
hAP ac2 порядка 250mb/s.
Telegram: @thexvo
- Volant
- Сообщения: 77
- Зарегистрирован: 26 фев 2018, 18:32
- Контактная информация:
не возражаю и даже соглашусь. но, все же, чем не угодило mppe 128?
з.ы
в большинстве рядовых организаций трафик, на мой взгляд, не содержит никакой "секретной" информации
з.ы
в большинстве рядовых организаций трафик, на мой взгляд, не содержит никакой "секретной" информации
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
-
- Сообщения: 19
- Зарегистрирован: 19 ноя 2017, 14:35
Видимо, да не видимо, в логах кроме надписи из сабжа ничего нет больше.