Как правильно настроить Firewall на Mikrotik?

Question

Александр Урих @Urichalex

Кратко о себе)

Mikrotik

Как правильно настроить Firewall на Mikrotik?

В офисе стоит Mikrotik RB4011iGS+5HacQ2HnD ROS 6.45.6 (stable)
После выхода на удаленку поднял на нем OpenVPN для доступа к рабочим компам и сервисам в офисе.
Сейчас он начал тупить: периодически, но не часто, отваливаются некоторые клиенты и не могут войти обратно.
В логах нашел такие записи:
sent P_CONTROL_HARD_RESET_SERVER_V2 kid=0 sid=a94ba0e3e11918b pid=0 DATA len=0
no more listening for incoming connections: too busy

И этих хаписей очень много, и они от большого количества IP.
В сети нашел инструкцию как настроить правила для файрвола чтобы блочил ссылка
За сутки он заблокировал уже около тысячи адресов, но этот лог все равно сыпется.
Подскажите, как правильно настроить?

Вопрос задан более трёх лет назад
501 просмотр

3 комментария

Подписаться 2 Средний 3 комментария

Wexter @Wexter

использовать нормальные l2tp/ipsec, pptp религия не позволяет? перестаньте насиловать труп openvpn

Написано более трёх лет назад
Александр Урих @Urichalex Автор вопроса

Wexter, уже задумываемся. Просто раньше использовали опенвпн и при реорганизации решили так оставить

Написано более трёх лет назад
Wexter @Wexter

Александр Урих,
Просто раньше использовали опенвпн и при реорганизации решили так оставить

Замечательное решение, учитывая сырость реализации openvpn в routeros. Да и допиливать его совсем не торопятся

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 4

3 комментария

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Mikrotik

Сложный
Микротик страница Хотспота не открывается?
- 1 подписчик
- час назад
- 20 просмотров
0

ответов
Mikrotik

Простой
Степень изношенности NAND-памяти Mikrotik?
- 1 подписчик
- 22 апр.
- 178 просмотров
0

ответов
Компьютерные сети

+4 ещё

Средний
Как сделать сервер видимый для рабочей группы в другой сети?
- 2 подписчика
- 21 апр.
- 252 просмотра
4

ответа
Mikrotik

+1 ещё

Средний
Firewall Mikrotik правило блокировки по портам заблокировал магазин хром, почему?
- 3 подписчика
- 19 апр.
- 471 просмотр
0

ответов
Windows Server

+2 ещё

Средний
Как восстановить работу Active Directory в связке Mikrotik + Windows Server?
- 2 подписчика
- 17 апр.
- 235 просмотров
1

ответ
Компьютерные сети

+2 ещё

Простой
Какой набор оборудования нужен для соединения двух роутеров Mikrotik RouterBOARD 2011iL на расстоянии более 120 м?
- 3 подписчика
- 16 апр.
- 3882 просмотра
6

ответов
macOS

+2 ещё

Простой
Mikrotik l2tp/ipsec VPN не работает на macOS, но работает на Win?
- 1 подписчик
- 10 апр.
- 134 просмотра
1

ответ
Компьютерные сети

+1 ещё

Средний
Почему нет связи со шлюзом в одной подсети?
- 1 подписчик
- 09 апр.
- 288 просмотров
1

ответ
Компьютерные сети

+2 ещё

Сложный
Реализация NAT в сети с mikrotik crs326?
- 1 подписчик
- 04 апр.
- 255 просмотров
2

ответа
Сетевое оборудование

+1 ещё

Средний
MikroTik, есть ли инструкция по правильной настройке IS-IS?
- 5 подписчиков
- 01 апр.
- 4327 просмотров
1

ответ
Показать ещё Загружается…

Инженер по системному администрированию

Деловая среда от Сбербанка • Москва

До 209 000 ₽

Системный администратор

Глобал Смарт Системс • Санкт-Петербург

от 100 000 до 120 000 ₽

Нагрузочный тестировщик Junior

Антара

До 80 000 ₽

Написать сайт на Python Django

24 апр. 2024, в 10:32

400000 руб./за проект

Арбитраж Трафика в тгк

24 апр. 2024, в 10:12

10000 руб./за проект

Развернуть болванку мултиплеерной игры unity на сервере

24 апр. 2024, в 09:59

5000 руб./за проект

использовать нормальные l2tp/ipsec, pptp религия не позволяет? перестаньте насиловать труп openvpn
Wexter, уже задумываемся. Просто раньше использовали опенвпн и при реорганизации решили так оставить
Александр Урих,
Просто раньше использовали опенвпн и при реорганизации решили так оставить

Замечательное решение, учитывая сырость реализации openvpn в routeros. Да и допиливать его совсем не торопятся

Answer 1 · 2020-12-03 11:30:25

Для начала стоит обновиться до актуальной stable или long-term версии. Похоже что вас проломимили\задосили.
Далее каким-либо образом выявляем зловредов(брутфорсеров) и заносим их адрес лист(тут !!нужно быть аккуратнее!!, что бы не прострелить себе ногу). Создаём правило в firewall raw и там блочим всех из этого листа.

Answer 2 · 2020-12-03 14:41:14

Ну too busy как бы намекает, что ддосят. Если невозможно определить диапазон IP, с которых ходят "честные" юзеры, то можно попробовать сменить порт, на котором слушает openvpn

Answer 3 · 2020-12-04 20:39:51

Тупит он не и за конектов а по другой причине конекты и фаировол тут не причем чтоб задость роутер нужно десятки тысяч конектов в минуту слать

Answer 4 · 2021-02-12 19:46:01

Не забудьте посмотреть как НЕ надо настраивать файрвол на MikroTik: https://mikrotik.wiki/wiki/Межсетевой_экран:Лженас...

Как правильно настроить Firewall на Mikrotik?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт