Атакуват ми Микротика

[nikisv]

Здравейте,наскоро си купих рутер Микротик  и реших да си  поиграя с него .Настроих PPTP и L2TP/IPsec VPN  по инструкции от нета .Клиента е Windows 10  ,сменя се аипито  но не виждам отдалечената мрежа .Активирах и Proxy ARP  на  Микротика . До тук добре но доставчика ми взе да  спира интернета и каза че ми атакуват рутера  и им претоварвам мрежата . Моля за помощ къде бъркам ,

 

[111111]

/interface list member add list=LAN interface=bridge comment="defconf"
/interface list member add list=WAN interface=ether1 comment="defconf"
/ip firewall nat add chain=srcnat out-interface-list=WAN ipsec-policy=out,none action=masquerade comment="defconf: masquerade"
/ip firewall {
   filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
   filter add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
   filter add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
   filter add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
   filter add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
   filter add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
   filter add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
   filter add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
   filter add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
   filter add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
   filter add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"
   }

 

[Самуил Арсов]

1. За да решиш един проблем трябва да намериш источника му. В случая се гледат (трафик, пакети, лог) Ако доставчика ти е спрял нета, сега няма как да ги провериш, можем само да гадаем.

2. Proxy ARP е повече от странно за какво ти е, освен да раздаваш адреси в мрежата на доставчика и да си го ядосал за да ти спре нета, друго обяснение нямам.

3. Защитната стена в МикроТик си е iptables която с активиран Proxy ARP веригата INPUT става безмислена, а ако няма Proxy ARP работи линейно от горе надолу - тоест възходящите правила са разрешителните и последното забрана за всичко освен гореизброените (Това не е задължително - просто е добра практика)

4. Ако наистина искаш някаква помощ в този форум е хубаво да бъдеш по подробен като на първи време можеш да покажеш правилата си в защитната си стена с тази команда: ip firewall filter export compact

Ако го копираш в тага <> code ще изглежда така:

[admin@R2] > ip firewall filter export compact 
# jul/16/2020 22:56:39 by RouterOS 6.47
# software id = 9URM-Y1QB
#
# model = CCR1036-12G-4S
# serial number = 529A04D1C62A
/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=accept chain=input protocol=gre
add action=accept chain=input icmp-options=8:0 protocol=icmp
add action=drop chain=input src-address-list=!accept_input
add action=drop chain=forward connection-state=invalid
add action=add-src-to-address-list address-list=spammer address-list-timeout=\
    1d chain=forward connection-limit=30,32 dst-port=25 protocol=tcp
add action=drop chain=forward dst-port=25 protocol=tcp src-address-list=\
    spammer
add action=accept chain=forward dst-address-list=accept_forward
add action=accept chain=forward src-address-list=customers
add action=drop chain=forward src-address-list=netcontrol
add action=drop chain=output connection-state=invalid

За да може на нас да ни е прегледно какви всъщност правила имаш, защото не мога да не те питам тази снимка която си качил мислиш ли, че някой я разчита ?

[111111]

Основнипе правила на защитната стена има ли ги?

[nikisv]

При pptp конфигурацията е от бързите настройки на Микротик .8 правила общо като завършва на drop  input .При L2TP/IPsec  правилата на стената са 10  ,2 правила след drop -тях ги добавих ръчно със команди по описание на статия от нета.

/ip firewall filter
add chain=input action=accept protocol=udp port=1701,500,4500
add chain=input action=accept protocol=ipsec-esp

Редактирано 16 Юли, 2020 от nikisv

[master]

Drop правилото трябва да е най-долу.

[nikisv]

Drop правилото съм го местил и най долу  и ефекта е същия .

[VeskoMikrotika]

с коя версия е микротика? proxyarp имаш само на ЛАН интерфейса нали ?

[nikisv]

/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=\
    udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input in-interface-list=!LAN
add action=accept chain=input port=1701,500,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
[admin@Mikro

Първото спиране беше с тези настройки. Но и аз предполагам че съм ги ядосал с нещо .

Сега ще направя настройките  дадени от админа.

P.S. Извинявам се за неточните въпроси но и аз не съм много наясно с материята въпреки че прочетох книгата за РУТЕР ОС .Но човек се учи докато е жив .Благодаря на всички за отделеното време .И ще продължавам да питам да знаете.

[nikisv]

 

И новите настройки но пак не виждам споделените файлове само сменя ип.

 

/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=\
    udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
[admin@MikroTik] >
pptp
  enabled: yes
            max-mtu: 1450
            max-mru: 1450
               mrru: disabled
     authentication: mschap1,mschap2
  keepalive-timeout: 30
    default-profile: default-encryption
    
    
Flags: X - disabled, R - running, S - slave
 #    NAME               MTU MAC-ADDRESS       ARP             SWITCH            
 0 R  ether1            1500 C               enabled         switch1           
 1 RS ether2            1500 C               enabled         switch1           
 2 RS ether3            1500 C               enabled         switch1           
 3  S ether4            1500 C               enabled         switch1           
 4  S ether5            1500 C               enabled         switch1   

 

[111111]

Форматирай си постовете за в бъдеще.

Шера по ип или по име си го търсиш?

Какви са локалните и отдалечени адреси?

[nikisv]

Благодаря на всички . Получи се !

[walkingcurs3]

On 7/17/2020 at 9:48 PM, nikisv said:

Благодаря на всички . Получи се !

Как виждаш споделените папки през VPN като не е активирано proxy-arp ?