Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Pristup Mikrotiku preko Interneta

[es] :: Wireless :: Mikrotik :: Pristup Mikrotiku preko Interneta

[ Pregleda: 1005 | Odgovora: 19 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

zastava10
Zarko Antic
Kragujevac

Član broj: 338709
Poruke: 9



Profil

icon Pristup Mikrotiku preko Interneta17.07.2019. u 21:41 - pre 10 meseci
Nisam dovoljno strucan pa mi je potrebna pomoc.

Imam Mikrotik koji ima staticku IP adresu.

Njemu pristupam povremeno preko interneta sa nekoliko razlicitih racunara.

Koristim winbox, telnet i ftp.
Potrebni su mi portovi 21, 23 i 8291.

Racunari sa kojih mu pristupam imaju dinamicke IP adrese.

Napravio sam listu adresa u koju sam ubacio sve adrese racunara sa kojih pristupam.

/ip firewall filter
add action=drop chain=input dst-port=21,23,8291 in-interface=wan protocol=tcp

/ip firewall filter
add action=accept chain=input dst-port=21,23,8291 in-interface=wan protocol=\
tcp src-address-list=LISTA_ADRESA

Problem nastaje kada se promeni dinamicka IP adresa i vise ne mogu da mu pristupim
preko Interneta sve dok preko lokalne mreze ne izazuriram listu adresa.

Moje pitanje je da li se moze napraviti lista MAC adresa i na taj nacin trajno resim problem.

Ili, ako to ne moze kako da prevazidjem ovu situaciju.

Unapred hvala !
 
Odgovor na temu

Predrag Supurovic
Pedja YT9TP
Užice

Član broj: 157129
Poruke: 5867

Sajt: pedja.supurovic.net


+1404 Profil

icon Re: Pristup Mikrotiku preko Interneta17.07.2019. u 23:39 - pre 10 meseci
U DHCP podesi fiksne IP adrese racunarima na koje preusmeravas portove.

 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 4949

Sajt: www.bachi.in.rs


+2715 Profil

icon Re: Pristup Mikrotiku preko Interneta18.07.2019. u 06:45 - pre 10 meseci
Ne, ne... Menjaju se adrese računara na Internetu *sa* kojih direktno pristupa Mikrotiku. I on onda mora da promeni u address listu tu novu ip adresu.

Rešenje broj 1: Podigni VPN server na tom Mikrotiku (OpenVPN ili SSTP na primer, za OpenVPN ti treba poseban klijent na računarima SA kojih pristupaš, dok SSTP dolazi ugrađen uz Windows 7 pa na više), pa se onda prvo VPNuješ na ruter, pa onda pristupaš lokalnoj (LAN) ip adresi rutera i tako administriraš. Ovu metodu ja preferiram, jer je više nego rizično držati otvoren pristup Mikrotiku preko Interneta.

Rešenje broj 2: Port knocking. Ovo nisam probao u praksi, ali kažu ljudi da radi. https://wiki.mikrotik.com/wiki/Port_Knocking


MAC listu ne možeš da praviš, jer WAN interfejs od rutera vidi samo MAC adrese uređaja koji su u istom broadcast domenu.


[Ovu poruku je menjao bachi dana 18.07.2019. u 08:03 GMT+1]
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

notebookFun
System Administrator
Novi Sad

Član broj: 226286
Poruke: 817



+19 Profil

icon Re: Pristup Mikrotiku preko Interneta18.07.2019. u 07:02 - pre 10 meseci
Moj savjet ti je da iskljucis servise ftp, telnet...etx 21, 23 osim za Winbox.

Napravi rule da loguje tvoju IP adresu 10-ak sekundi kad pokusas da se telnetujes na PublicIPodMikrotik:33551
Tvoja IP adresa treba da se cuva u LISTA_ADRESA

Znaci, poslije Teleneta na PublicIPodMikrotik:33551 imas 10 sekundi da se logujes preko Winbox-a.



Ukoliko se treseš od ljutnje na svaku nepravdu onda si moj suborac. ~Che Guevara
 
Odgovor na temu

Predrag Supurovic
Pedja YT9TP
Užice

Član broj: 157129
Poruke: 5867

Sajt: pedja.supurovic.net


+1404 Profil

icon Re: Pristup Mikrotiku preko Interneta18.07.2019. u 07:09 - pre 10 meseci
Citat:
bachi:
Ne, ne... Menjaju se adrese računara na Internetu *sa* kojih direktno pristupa Mikrotiku. I on onda mora da promeni u address listu tu novu ip adresu.


Aha, nisam pažljivo čitao.

Da, onda je VPN najlogičnije rešenje.


 
Odgovor na temu

zastava10
Zarko Antic
Kragujevac

Član broj: 338709
Poruke: 9



Profil

icon Re: Pristup Mikrotiku preko Interneta18.07.2019. u 08:28 - pre 10 meseci
Dobro, naucio sam nesto, znaci lista MAC adresa ne moze da se napravi analogno listi IP adresa.

VPN umem da napravim.

U krajnjem slucaju mogu da stavim i po jedan mali Mikrotik na svakom racunaru pa da napravim IP tunel ili L2TP.


Ovo mi je interesantno resenje da orvorim na 10 sekundi prostor da se logujem u winbox, pa cu da poradim na tome.



 
Odgovor na temu

Predrag Supurovic
Pedja YT9TP
Užice

Član broj: 157129
Poruke: 5867

Sajt: pedja.supurovic.net


+1404 Profil

icon Re: Pristup Mikrotiku preko Interneta18.07.2019. u 08:49 - pre 10 meseci
Nema potrebe za više mikrotikova. Sa računara lako napraviš VPN i kad ti treba samo klikneš da se poveže.
 
Odgovor na temu

zastava10
Zarko Antic
Kragujevac

Član broj: 338709
Poruke: 9



Profil

icon Re: Pristup Mikrotiku preko Interneta18.07.2019. u 21:52 - pre 10 meseci
Ipak sam se odlucio za VPN kao najjednostavnije resenje.

Hvala svima na pomoci.

Iza Mikrotika imam Unix server na kome se vrti aplikacija u karakter modu kojoj se sa Interneta pristupa preko
terminal emulatora i porta 23.

Kada se nekom od korisnika promeni dinamicka IP adresa na Windowsu ja moram rucno da azuriram listu
adresa kojima je otvoren port 23.

Ali kada se, kod kuce, meni samom promeni dinamicka adresa, onda ja moram preko VPN-a da prvo sebe ubacim
u listu pa onda i druge.

Ne desava se cesto ali bude jednom u nekoliko meseci ili kada neko od korisnika promeni lokaciju.
 
Odgovor na temu

Predrag Supurovic
Pedja YT9TP
Užice

Član broj: 157129
Poruke: 5867

Sajt: pedja.supurovic.net


+1404 Profil

icon Re: Pristup Mikrotiku preko Interneta18.07.2019. u 23:11 - pre 10 meseci
Što i korisnike ne staviš na VPN i isključiš uopšte potrebu da praviš taj filter po IP adresama.

 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 4949

Sajt: www.bachi.in.rs


+2715 Profil

icon Re: Pristup Mikrotiku preko Interneta19.07.2019. u 06:46 - pre 10 meseci
Da vala, najeftiniji HaP lite će ti vršiti posao ili jednostavno da se klijenti direktno iz Windowsa kače na VPN.
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

zastava10
Zarko Antic
Kragujevac

Član broj: 338709
Poruke: 9



Profil

icon Re: Pristup Mikrotiku preko Interneta19.07.2019. u 11:03 - pre 10 meseci
Jeste VPN jednostavno resenje.

A listu adresa sam uveo kad sam prosle godine preziveo napad hakera:

https://www.elitesecurity.org/...krotik-hakovan-Obratite-paznju

Drzao sam 10 godina otvorene 8291, 23 i 21 i nista se nije desavalo do prosle godine.
 
Odgovor na temu

Branimir Maksimovic
Senior Software Engineer

Član broj: 64947
Poruke: 4306
82.117.201.*



+906 Profil

icon Re: Pristup Mikrotiku preko Interneta19.07.2019. u 11:22 - pre 10 meseci
Bas super portove koje redovno posecuju svi hakeri sveta si drzao 10 godina otvorene...
press any key to continue or any other to quit....
 
Odgovor na temu

zastava10
Zarko Antic
Kragujevac

Član broj: 338709
Poruke: 9



Profil

icon Re: Pristup Mikrotiku preko Interneta19.07.2019. u 13:00 - pre 10 meseci
Jesam. U dve firme, promenio sam 10 routera I 5 statickih adresa i za 10 godina se nista nije desilo.
Uglavnom su po ceo dan pokusavali da provale password koristeci liste najcesce koriscenih passworda.
Neuspesno, naravno.
 
Odgovor na temu

Predrag Supurovic
Pedja YT9TP
Užice

Član broj: 157129
Poruke: 5867

Sajt: pedja.supurovic.net


+1404 Profil

icon Re: Pristup Mikrotiku preko Interneta19.07.2019. u 15:22 - pre 10 meseci
Citat:
Branimir Maksimovic:
Bas super portove koje redovno posecuju svi hakeri sveta si drzao 10 godina otvorene...


Ja bih drzim mnogo duze. STa cu, rebaju mi ti servisi da budu dostupni.

Naravno da postoje druge mere zaštite oism da se onemogući pristup.



 
Odgovor na temu

zastava10
Zarko Antic
Kragujevac

Član broj: 338709
Poruke: 9



Profil

icon Re: Pristup Mikrotiku preko Interneta19.07.2019. u 15:45 - pre 10 meseci
U stvari za 10 godina preziveo sam dva napada.

2015 su mi zloupotrebili DNS, router je postao neupotrebljiv na dva sata, niko nije mogao da otvori nijednu
stranicu na Internetu, ali mi je pomoglo Pedjino uputstvo da pozatvaram port 53 tcp i udp i resio sam problem
vrlo brzo.


Prosle godine kada je zloupotrebljen bezbedonosni propust u samom Router OS-u, o cemu je pisano u jednoj
od tema ovde, nisam osetio nikakve smetnje u radu, a pregledom kroz winbox brzo sam otkrio da postoje
dva scripta koji nisu moji i da je promenjeno ime uredjaja. Vratio sam backup i zatvorio pristup winboxu osim
racunarima sa liste adresa.


 
Odgovor na temu

Branimir Maksimovic
Senior Software Engineer

Član broj: 64947
Poruke: 4306
109.72.51.*



+906 Profil

icon Re: Pristup Mikrotiku preko Interneta19.07.2019. u 17:52 - pre 10 meseci
Citat:
Predrag Supurovic:
Citat:
Branimir Maksimovic:
Bas super portove koje redovno posecuju svi hakeri sveta si drzao 10 godina otvorene...


Ja bih drzim mnogo duze. STa cu, rebaju mi ti servisi da budu dostupni.

Naravno da postoje druge mere zaštite oism da se onemogući pristup.




Telnet? Ti mene zezas? Ukoliko ti to treba onda bolje digni na neki nestandardan port nego da ti 24/7 bruteforcuju
password a nisi se setio ni fail2ban da postavis :P

press any key to continue or any other to quit....
 
Odgovor na temu

Living Light

Član broj: 331540
Poruke: 4113



+751 Profil

icon Re: Pristup Mikrotiku preko Interneta19.07.2019. u 18:30 - pre 10 meseci
Citat:
Branimir Maksimovic:
Bas super portove koje redovno posecuju svi hakeri sveta si drzao 10 godina otvorene...

Molim za savet.

Da li je moguće proveriti "On Line" koji portovi su otvoreni kod mene ?

Ovo pitam, pošto se u te zatvorene-otvorene portove "ni ič" ne razumem.

Može odgovor od bilo koga, ne mora od Branimira (njegov post sam uzeo za primer).
Svaka pomoč je od koristi...

pOz


 
Odgovor na temu

Predrag Supurovic
Pedja YT9TP
Užice

Član broj: 157129
Poruke: 5867

Sajt: pedja.supurovic.net


+1404 Profil

icon Re: Pristup Mikrotiku preko Interneta20.07.2019. u 07:27 - pre 10 meseci
[quote]Living Light: Molim za savet.

Da li je moguće proveriti "On Line" koji portovi su otvoreni kod mene ?

/quote]

Na primer https://www.ipfingerprints.com/portscan.php

Ima tih port skenera sijaset.

 
Odgovor na temu

Predrag Supurovic
Pedja YT9TP
Užice

Član broj: 157129
Poruke: 5867

Sajt: pedja.supurovic.net


+1404 Profil

icon Re: Pristup Mikrotiku preko Interneta20.07.2019. u 07:31 - pre 10 meseci
Citat:
Branimir Maksimovic:
Citat:
Predrag Supurovic:
Citat:
Branimir Maksimovic:
Bas super portove koje redovno posecuju svi hakeri sveta si drzao 10 godina otvorene...


Ja bih drzim mnogo duze. STa cu, rebaju mi ti servisi da budu dostupni.

Naravno da postoje druge mere zaštite oism da se onemogući pristup.




Telnet? Ti mene zezas? Ukoliko ti to treba onda bolje digni na neki nestandardan port nego da ti 24/7 bruteforcuju
password a nisi se setio ni fail2ban da postavis :P


Da, i telnet.

Interesantno mi je da ti bolje od mene znaš kako sam uradio zaštitu :)

Ako će da ti bude lakše, da često pokušavaju brute force, ali niti im uspeva niti ruteri trpe veliko opterećenje jer umeju da se nose sa tim.

Promena porta pomaže ali delimično jer ozbiljniji napadači skeniraju sve portove i traže šta ima na raspolaganju.

 
Odgovor na temu

Branimir Maksimovic
Senior Software Engineer

Član broj: 64947
Poruke: 4306
109.72.51.*



+906 Profil

icon Re: Pristup Mikrotiku preko Interneta20.07.2019. u 07:55 - pre 10 meseci
Nisam naisao ni na jednog ozbiljnog napadaca jos. Imam visoko ssh port i pazi ni jedan ali ni jedan pokusaj za godinu dana koliko pratim.
Ali zato dropovanih paketa na 23 i 22 kolko hoces. I nisam mislio na tebe nego na zastavu, tu sam trebao biti specifinciji na koga se odnosi:P
press any key to continue or any other to quit....
 
Odgovor na temu

[es] :: Wireless :: Mikrotik :: Pristup Mikrotiku preko Interneta

[ Pregleda: 1005 | Odgovora: 19 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.