MikroTik RB951Ui-2HnD ростелеком по PPPoE, проброс портов, куча попыток подключения извне

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
yaroslav.volobuev
Сообщения: 20
Зарегистрирован: 27 мар 2018, 08:58

Добрый день, настроили роутер MikroTik RB951Ui-2HnD интернет через PPPoE статический но присваивается провайдером. По факту открыл подключение на одном порту и добавил PPPoE клиент больше ничего не настраивал. Пробросил порты, так же добавил правило что если внутри сети попытаться зайти через внешний адрес сразу кидает на нужный компьютер, забыл как это называется. Так вот это правило работает. А проброшенные порты почему то нет, пытаешься достучаться а толку нет.... в чем может быть проблема? так же просто засыпает терминал сообщениями:
10:35:31 echo: system,error,critical login failure for user admin from 175.17.201.162 via telnet
10:35:31 echo: system,error,critical login failure for user root from 78.85.23.63 via telnet
10:35:32 echo: system,error,critical login failure for user root from 177.10.217.229 via telnet
как от них избавиться?)
Вроде избавился отключил ssh и ftp а telnet перекинул на другой порт.. вопрос по пробросу актуальный, почему не могу достучаться?
Методом тыка (потрачена почти неделя) оказалось что надо выбирать в in. interface нужно было выбрать не сам интерфейс а подключение pppoe... бред конечно..


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Какой-то поток мыслей и сознания. Может будем чуть инженерно и целенаправленно
обрисовывать что есть и что хочется.
yaroslav.volobuev писал(а): 27 мар 2018, 09:37 А проброшенные порты почему то нет, пытаешься достучаться а толку нет.... в чем может быть проблема? так же просто засыпает терминал сообщениями:
Теперь расскажите что куда Вы хотите пробросить?
И самое главное как проверяли? Если делается проброс для доступа снаружи во внутрь,
то проверять такой проброс надо с другого канала (не со своего).
То есть надо позвонить другу или зайти на рабочий компьютер и оттуда сделать проверку
доступности порта или найти в Интернете сайт(ы) которые показывают, открыт
ли порт или нет.
Поэтому расскажите и покажите как Вы делали и что.
(показать - я имею ввиду привести часть конфигурации файрвола микротика,
где будет явно показано как Вы проброс и настроили, как делать конфиг
в текстовом виде - вверху в шапке красным написано, пункт 5)
yaroslav.volobuev писал(а): 27 мар 2018, 09:37 10:35:31 echo: system,error,critical login failure for user admin from 175.17.201.162 via telnet
10:35:31 echo: system,error,critical login failure for user root from 78.85.23.63 via telnet
10:35:32 echo: system,error,critical login failure for user root from 177.10.217.229 via telnet
как от них избавиться?)
Во-первых вырубить порт телнета, зачем Вам? Телнетом как службой давно не пользуются
во внешнем интернете, так по мелочи, на специфических железках, телнет не защищён,
никак не шифруется....
Во-вторых создать правильные правила в файрволе, которые будут не пускать пакеты атакующих.
yaroslav.volobuev писал(а): 27 мар 2018, 09:37 Вроде избавился отключил ssh и ftp а telnet перекинул на другой порт.. вопрос по пробросу актуальный, почему не могу достучаться?
Уточняющие моменты я выше объяснил, ошибки тоже возможные Вам показал.
yaroslav.volobuev писал(а): 27 мар 2018, 09:37 Методом тыка (потрачена почти неделя) оказалось что надо выбирать в in. interface нужно было выбрать не сам интерфейс а подключение pppoe... бред конечно..
Почему бред, рррое = это виртуальный интерфейс, IP-адрес присваивается ему, значит это то через что Вы связаны с интернетом,
думаю ещё атаки идут на роутер из-за того, что Ваши правила файрвола (если они вообще есть) защищают
только порт ether1, а там трафик между провайдером и Вашим портом, поэтому правила надо делать по отношению к
интерфейсу рррое, да и чтобы неделю не тратить надо было почитать, методом тыка в микротике мало что получиться почти.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
poppy
Сообщения: 24
Зарегистрирован: 17 ноя 2017, 11:42

yaroslav.volobuev писал(а): 27 мар 2018, 09:37 Методом тыка (потрачена почти неделя) оказалось что надо выбирать в in. interface нужно было выбрать не сам интерфейс а подключение pppoe... бред конечно..
Никакой не бред, а все правильно. Интернет видит вас через этот интерфейс.

А вот попутный вопрос к общественности в сторону:
Стоит ли в таких случаях вешать фильтры на чисто ehernet интерфейс, чтобы, например пропускать через него только pppoe?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

poppy писал(а): 28 мар 2018, 09:38 А вот попутный вопрос к общественности в сторону:
Стоит ли в таких случаях вешать фильтры на чисто ehernet интерфейс, чтобы, например пропускать через него только pppoe?
Да, стоит.
Я считаю что по порту, где бегает трафик внешний и трафик провайдера,
мало что там вдруг может проскочить, да и нет толка этот порт воспринимать
как локальный, поэтому внешний порт физически у меня тоже описан в
адрес-лист интерфейсов в раздел WANs.
И соответственно в файрволе везде при использовании правил защиты,
блокировок, защит от атак я использую адрес-лист WANs.

Маленькое исключение: есть провайдер(ы) которые по физическому порту дают доступы к своим внутренним
ресурсам, раньше в роутерах этот функционал назывался Dual Access, то при таком доступе,
да, порту физическому даётся какой-то внутренне-локальный адрес провайдера через которые
уже идёт обмен информации в рамках провайдерской сети, но и там, когда куча народа,
вирусни и прочего не мало, поэтому ряд стандартных защитных мер на таких портах
будет не лишним. Я имею ввиду защиту по SMB(CIFS) протоколам, и прочее....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
poppy
Сообщения: 24
Зарегистрирован: 17 ноя 2017, 11:42

Vlad-2 писал(а): 28 мар 2018, 12:05 Dual Access
да вы правильно заметили...

Но допустим я хочу зарезать по максимуму, какое должно быть правило, чтобы пропускать только PPPoE?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

poppy писал(а): 29 мар 2018, 10:25 Но допустим я хочу зарезать по максимуму, какое должно быть правило, чтобы пропускать только PPPoE?
Я люблю защиту, но не параноидальную.

Думаю надо вырубить почти всё, даже проще сделать так:
запретить всё порты по TCP и UDP на интерфейсе ether1, кроме 67-68 портов.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
poppy
Сообщения: 24
Зарегистрирован: 17 ноя 2017, 11:42

Vlad-2 писал(а): 29 мар 2018, 10:53запретить всё порты по TCP и UDP на интерфейсе ether1, кроме 67-68 портов.
а их зачем оставлять?
отделить конкретно pppoe IMHO трудно, но можно тогда просто закрыть всё ip

или сделать "параною"?

Код: Выделить всё

/interface bridge filter
add action=accept chain=input in-interface=ether1 mac-protocol=pppoe-discovery
add action=accept chain=input in-interface=ether1 mac-protocol=pppoe
add action=drop chain=input in-interface=ether1


Ответить