• Mikrotik и vpn на разные сети?

    ip firewall mangle маркируете (mark routing) трафик гостевой подсети в цепочке prerouting, потом создаете маршрут 0.0.0.0/0 через шлюз провайдера и указываете в этом маршруте метку гостевой подсети. Ну или маркируете трафик локальной сети и отправляете пакеты с этой меткой в туннель, а немаркированный трафик - в шлюз по умолчанию, как вам больше нравится.
    Ответ написан
    Комментировать
  • Кто-то ломится на mikrotik?

    plin2s
    @plin2s
    IT, инженер
    1) Отключите дефолтного пользователя admin и не держите простых паролей.
    2) Если не нужен ssh доступ из-вне, то отключите его совсем
    3) Если вдруг шапочка из фольги не помогает, то настройке port knocking, чтобы до ssh было достучаться труднее.

    От того что один тупой бот перестанет к вам стучаться, никакого толку. Банить каждого нового устанете. Просто не выставляйте наружу сервисы с дефолтным логином и простым паролем. В идеале, для ssh авторизация только по ключу.
    Ответ написан
    1 комментарий
  • Кто-то ломится на mikrotik?

    @nApoBo3
    Не зная специфику сети сложно давать советы. Общее правило, площадь атаки должна быть минимальной.
    В идеале ограничить доступ по SSH только локальной сетью, если это не возможно, то белым списком ip. В любом случае следует предпринять меры по блокировке брутфорса. wiki.mikrotik.com/wiki/Bruteforce_login_prevention
    Ответ написан
    2 комментария
  • Mikrotik l2tp Как разрешить клиентам ходить друг другу по сети?

    HawK3D
    @HawK3D
    Смотря какая "видимость" вам нужна. Если L3 - достаточно прописать на сервере маршрут к вашей клиентской подсети через l2tp. (Предпочтительнее в качестве шлюза прописать ип-адрес удаленного l2tp-клиента, а не сам интерфейс, поскольку входящие интерфейсы динамические и в случае реконнекта, вместо интерфейса в маршруте в качестве шлюза появится unknow, со всеми вытекающими).
    Если же речь идет об объединении удаленных локальных сетей на уровне L2 - нужно поверх l2tp поднимать eoip-туннели и объединять их в бриджи с локальными сетями на обоих концах туннеля. В этом случае нужно будет дополнительно позаботится о едином адресном пространстве, создав одну сеть для 2-х DHCP-серверов с непересекающимися диапазонами и ограничить DHCP-трафик через туннель.
    Ответ написан
    Комментировать