LDAP авторизация на роутере при RDP

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
q2ker
Сообщения: 20
Зарегистрирован: 11 янв 2016, 17:05

Друзья, возник такой вопрос.
Можно ли в принципе сделать это:

Возникла мысль сделать из роутера некий шлюз для удаленных рабочих столов Windows.

1 Роутер принимает RDP запрос на подключение
2 Сам проверяет авторизацию через LDAP на сервере домена внутри периметра
3 При удачной авторизации перенаправляет на указанный сервер
4 При неудачной авторизации и попытке скажем выше 5 добавляем IP в список для запрета подключений.

Или это все мои фантазии?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

На севере вы авторизуетесь уже после того, как с ним установлено соединение. Соответственно вы хотите что бы маршрутизатор умел как минимум часть протокола RDP, да еще так, что бы он потом эту авторизацию передал северу... Думаю вы уже поняли что это фантастика?)
Я так понимаю, вы хотите доп. безопасности? Тогда, как вариант, смените просто порт для подключения, пусть клиенты стучат допустим на 3388, а микротик уже переключит порт на нужный. Или, посложней но и покруче, слышал от местных гуру, можно смонстрячить следующее - если "постучать" на определенный порт микротика, то он откроет для этого адреса доступ к нужному порту, в вашем случае 3389. Т.е. по умолчанию вас вообще не пускает на 3389, но каким то образом (не помню) вы просто отсылаете нужный пакет на, допустим, порт 22222 и после этого для вашего адреса открывается порт 3389.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

KARaS'b писал(а):сли "постучать" на определенный порт микротика, то он откроет для этого адреса доступ к нужному порту, в вашем случае 3389.

Фишка называется port knocking , https://litl-admin.ru/zhelezo/mikrotik- ... kciya.html


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
q2ker
Сообщения: 20
Зарегистрирован: 11 янв 2016, 17:05

Спасибо за ответы. Порт и так сменен на другой, но продолжают иногда перебирать. Если стоит на сервере RDP SSL\TSL то в логи не показывается IP адрес. Приходится этот адрес по логам firewall'а виндового искать и вручную в адрес лист микротика добавлять. Хотелось как-то автоматизировать это...


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Поищите в гугле защита от брутфорса для Микротик. Не хочется повторять чужие опусы, я у себя только ssh прикрываю, мне больше не надо...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить