Взлом: В логах Mikrotik вижу чужое подключение l2tp|ipsec — подключается кто-то левый?

Question

Владимир Пазий @paziy

Разбираюсь во всем по маленьку

Взлом: В логах Mikrotik вижу чужое подключение l2tp|ipsec — подключается кто-то левый?

Есть маршрутизатор RB-951G-2Hnd
Была необходимость на днях настроить l2tp/ipsec. Настроил и все чудно работает, логины пароли ни кому не давал, однако теперь в логах вижу:
02:25:18 l2tp,debug,packet rcvd control message from 183.60.48.25:1785
02:25:18 l2tp,debug,packet tunnel-id=0, session-id=0, ns=0, nr=0
02:25:18 l2tp,debug,packet (M) Message-Type=SCCRQ
02:25:18 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:18 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:18 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:18 l2tp,debug,packet Firmware-Revision=0x601
02:25:18 l2tp,debug,packet (M) Host-Name="T450-150520-NB"
02:25:18 l2tp,debug,packet Vendor-Name="Microsoft"
02:25:18 l2tp,debug,packet (M) Assigned-Tunnel-ID=5
02:25:18 l2tp,debug,packet (M) Receive-Window-Size=8
02:25:18 l2tp,info first L2TP UDP packet received from 183.60.48.25
02:25:18 l2tp,debug tunnel 49 entering state: wait-ctl-conn
02:25:18 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:18 l2tp,debug,packet tunnel-id=5, session-id=0, ns=0, nr=1
02:25:18 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:18 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:18 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:18 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:18 l2tp,debug,packet Firmware-Revision=0x1
02:25:18 l2tp,debug,packet (M) Host-Name="MikroTik"
02:25:18 l2tp,debug,packet Vendor-Name="MikroTik"
02:25:18 l2tp,debug,packet (M) Assigned-Tunnel-ID=49
02:25:18 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:19 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:19 l2tp,debug,packet tunnel-id=5, session-id=0, ns=0, nr=1
02:25:19 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:19 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:19 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:19 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:19 l2tp,debug,packet Firmware-Revision=0x1
02:25:19 l2tp,debug,packet (M) Host-Name="MikroTik"
02:25:19 l2tp,debug,packet Vendor-Name="MikroTik"
02:25:19 l2tp,debug,packet (M) Assigned-Tunnel-ID=49
02:25:19 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:20 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:20 l2tp,debug,packet tunnel-id=5, session-id=0, ns=0, nr=1
02:25:20 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:20 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:20 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:20 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:20 l2tp,debug,packet Firmware-Revision=0x1
02:25:20 l2tp,debug,packet (M) Host-Name="MikroTik"
02:25:20 l2tp,debug,packet Vendor-Name="MikroTik"
02:25:20 l2tp,debug,packet (M) Assigned-Tunnel-ID=49
02:25:20 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:22 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:22 l2tp,debug,packet tunnel-id=5, session-id=0, ns=0, nr=1
02:25:22 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:22 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:22 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:22 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:22 l2tp,debug,packet Firmware-Revision=0x1
02:25:22 l2tp,debug,packet (M) Host-Name="MikroTik"
02:25:22 l2tp,debug,packet Vendor-Name="MikroTik"
02:25:22 l2tp,debug,packet (M) Assigned-Tunnel-ID=49
02:25:22 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:26 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:26 l2tp,debug,packet tunnel-id=5, session-id=0, ns=0, nr=1
02:25:26 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:26 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:26 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:26 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:26 l2tp,debug,packet Firmware-Revision=0x1
02:25:26 l2tp,debug,packet (M) Host-Name="MikroTik"
02:25:26 l2tp,debug,packet Vendor-Name="MikroTik"
02:25:26 l2tp,debug,packet (M) Assigned-Tunnel-ID=49
02:25:26 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:34 l2tp,debug,packet sent control message to 183.60.48.25:1785
02:25:34 l2tp,debug,packet tunnel-id=5, session-id=0, ns=0, nr=1
02:25:34 l2tp,debug,packet (M) Message-Type=SCCRP
02:25:34 l2tp,debug,packet (M) Protocol-Version=0x01:00
02:25:34 l2tp,debug,packet (M) Framing-Capabilities=0x1
02:25:34 l2tp,debug,packet (M) Bearer-Capabilities=0x0
02:25:34 l2tp,debug,packet Firmware-Revision=0x1
02:25:34 l2tp,debug,packet (M) Host-Name="MikroTik"
02:25:34 l2tp,debug,packet Vendor-Name="MikroTik"
02:25:34 l2tp,debug,packet (M) Assigned-Tunnel-ID=49
02:25:34 l2tp,debug,packet (M) Receive-Window-Size=4
02:25:42 l2tp,debug tunnel 49 received no replies, disconnecting
02:25:42 l2tp,debug tunnel 49 entering state: dead

На протяжении дня ситуация повторяется меняются только IP и порты.
Не совсем понимаю, ломают или уже взломали?

Вопрос задан более трёх лет назад
5861 просмотр

Комментировать

Подписаться 1 Оценить Комментировать

Решения вопроса 1

9 комментариев

Владимир Пазий @paziy Автор вопроса

Так это получается только стучатся, не подключены? Может в курсе какое правило можно сделать чтобы блочить таких товарищей?

Написано более трёх лет назад
Антон @Largo1

/ip firewall filter add

chain=input action=drop protocol=udp src-address-list=l2tp_block dst-port=1701 log=no log-prefix=""

chain=input action=add-src-to-address-list connection-state=new protocol=udp src-address-list=l2tp_3 address-list=l2tp_block address-list-timeout=25w5d dst-port=1701 log=no log-prefix=""

chain=input action=add-src-to-address-list connection-state=new protocol=udp src-address-list=l2tp_2 address-list=l2tp_3 address-list-timeout=20s dst-port=1701 log=no log-prefix=""

chain=input action=add-src-to-address-list connection-state=new protocol=udp src-address-list=l2tp_1 address-list=l2tp_2 address-list-timeout=20s dst-port=1701 log=no log-prefix=""

chain=input action=add-src-to-address-list connection-state=new protocol=udp address-list=l2tp_1 address-list-timeout=20s dst-port=1701 log=no log-prefix=""

должно работать

Написано более трёх лет назад
Владимир Пазий @paziy Автор вопроса

Антон: огромное спасибо за помощь!

Написано более трёх лет назад
Антон @Largo1

ловит чужих?
а своих пускает?

Написано более трёх лет назад
Антон @Largo1

свои после авторизации должны переходить в established, а со стороны - постоянно new, ибо не авторизовались на сервисе

Написано более трёх лет назад
Антон @Largo1

в списках болтаются "стукачи"?

Написано более трёх лет назад
Владимир Пазий @paziy Автор вопроса

Антон: не срабатывает( чужие так же стучатся. своих не проверял пока, вопрос отложен немного

Написано более трёх лет назад
Антон @Largo1

они и будут стучаться, никуда они не денутся, просто их должно банить по айпи, чтобы больше не пускало на авторизацию - в файерволе во вкладке address lists - появляются списки l2tp_block, l2tp_1, l2tp_2, l2tp_3? если появляются - то хорошо

Написано более трёх лет назад
Владимир Пазий @paziy Автор вопроса

нет, в списке не появляются, я видел лишь что по l2tp_1 проходило пару пакетов

Написано более трёх лет назад