Indice   FAQ  
Iscriviti  Login
Indice RouterOS RouterOS

Mikcrotik RB2011UAS-2HnD

Tutto su questo sistema operativo linux based - Configurazioni, dubbi, problematiche &....
Rispondi al messaggio

Mikcrotik RB2011UAS-2HnD

Messaggioda ss4 » lun 4 nov 2013, 16:38

Ciao a tutti,ho qualche problema con questo apparato che è collegato in modalità Home AP PPPoE ad un comune router netgear impostato come MODEM,quindi niente firewall e nat su quest'ultimo...ho creato un forward per la porta 2020 verso la porta interna ssh(22) di un server della lan e funziona benone,ma mi sorgono 2 problemi.

1- Volendo disabilitare il server ssh del mikrotik per evitare login dall'esterno,ho provato a disabilitare la voce ssh port 22 sotto ip/services,ma cosi facendo mi blocca l'accesso anche dalla 2020,come se riconoscesse il protocolo e lo bloccasse comunque anche se su porta differente.

2- Uso in lan un sistema Linux con il software fail2ban,che banna gli IP che sbagliano tot tentativi di login con ssh,il problema è che facendo una prova collegandomi con una box esterna sbagliando volutamente password mi viene bloccato non l'ip di questa box ma quello del mikrotik :O

la regola nat della porta ssh che ho usato è la seguente..forse devo specificare anche in/out interfaces?

/ip firewall nat add chain=dstnat protocol=tcp dst-port=2020
action=dst-nat to-addresses=192.168.0.2 to-ports=22
Errare è umano, ma per fare veramente casino ci vuole la password di root.
Avatar utente
ss4
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 11
Iscritto il: ven 1 nov 2013, 0:57
Località: Aosta
Top

Re: Mikcrotik RB2011UAS-2HnD

Messaggioda figheras » lun 4 nov 2013, 17:16

1- Volendo disabilitare il server ssh del mikrotik per evitare login dall'esterno,ho provato a disabilitare la voce ssh port 22 sotto ip/services,ma cosi facendo mi blocca l'accesso anche dalla 2020,come se riconoscesse il protocolo e lo bloccasse comunque anche se su porta differente

E' ovvio che disabilitando quel servizio non avrai accesso tramite SSH, è lo stesso come dare il comando su una distro linux /etc/init.d/ssh stop , blocchi quel servizio e la macchina nn risponde piu sulla 22!
2- Uso in lan un sistema Linux con il software fail2ban,che banna gli IP che sbagliano tot tentativi di login con ssh,il problema è che facendo una prova collegandomi con una box esterna sbagliando volutamente password mi viene bloccato non l'ip di questa box ma quello del mikrotik :O

Per questo puoi usare le filter rule (ACL) mettendo delle determinate porte sotto filtro e magari un bel port knocking in modo che solo tu sai come accedere alla macchina/dispositivo in questione1.

Esempio di regole di Filter (filter rule per droppare servizi come telent,ssh,ftp):
Codice: Seleziona tutto
/ip f f
add action=accept chain=input comment="Blocca tentativi di accesso sulle porte 21,22,23" disabled=no dst-port=21,22,23 protocol=tcp src-address=192.168.1.0/24
add action=add-src-to-address-list address-list=drop-service address-list-timeout=10h chain=input disabled=no dst-port=21,22,23 protocol=tcp
add action=drop chain=input disabled=no src-address-list=drop-service

Quindi in questo caso accetta solo l'accesso dalla subnet 192.168.1.0/24, tutti gli altri tentativi provenienti da IP differenti vengono messi in una lista per essere droppati

Port knocking del tipo:
Codice: Seleziona tutto
/ip f f
add action=add-src-to-address-list address-list=1Step address-list-timeout=5s chain=input comment="PortKnocking-To access" disabled=no dst-port=6250 protocol=tcp
add action=add-src-to-address-list address-list=Accesso-Consentito address-list-timeout=1h chain=input disabled=no dst-port=7250 protocol=tcp src-address-list=1Step
add action=accept chain=input disabled=no src-address-list=Accesso-Consentito dst-port=21,22,23 protocol=tcp

In questo caso bussando sulla porta 6250 verrai messo in una lista che ti permetterà di accedere ad una secondaria di "permesso consentito" andando ad interrogare poi la 7250, che ti darà pieno accesso ai servizi che fanno capo alle porte 21,22,23.
Ricorda sempre che le regole devono avere un ordine logico/sistematico altrimenti rischi di essere tagliato fuori!
Siamo tutti ignoranti. Ma non tutti ignoriamo le stesse cose! - Einstein -
Avatar utente
figheras
Staff rosIT
Staff rosIT
 
Messaggi: 1218
Iscritto il: sab 19 set 2009, 20:09
Uso routerOS dalla Versione: v2.9.x
Certificazioni Mikrotik: MTCNA, MTCRE, MTCWE
Altre certificazioni: Cisco CCNA, KalliopePBX
Preferred Training Centre: Grifonline
Top

Re: Mikcrotik RB2011UAS-2HnD

Messaggioda ss4 » lun 4 nov 2013, 19:00

si ok,ma il problema è che se da una box dall'altra parte del mondo con ip 151.99.20.8 chiedo un'accesso ssh verso la box Linux della mia lan 192.168.0.2,su quest'ultima la connessione risulta arrivare dal mikrotik che è 192.168.0.1,invece dovrei vedere l'ip sorgente 151.99.20.8,non riesco a capire sta cosa.
Errare è umano, ma per fare veramente casino ci vuole la password di root.
Avatar utente
ss4
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 11
Iscritto il: ven 1 nov 2013, 0:57
Località: Aosta
Top

Re: Mikcrotik RB2011UAS-2HnD

Messaggioda figheras » lun 4 nov 2013, 19:17

Spiegati meglio....non è molto comprensibile.....
Siamo tutti ignoranti. Ma non tutti ignoriamo le stesse cose! - Einstein -
Avatar utente
figheras
Staff rosIT
Staff rosIT
 
Messaggi: 1218
Iscritto il: sab 19 set 2009, 20:09
Uso routerOS dalla Versione: v2.9.x
Certificazioni Mikrotik: MTCNA, MTCRE, MTCWE
Altre certificazioni: Cisco CCNA, KalliopePBX
Preferred Training Centre: Grifonline
Top

Re: Mikcrotik RB2011UAS-2HnD

Messaggioda ss4 » lun 4 nov 2013, 23:50

Che se tu provassi a loggarti sul server ssh di una macchina Linux debian che ho in rete,io da debian non vedo il tuo ip pubblico,ma bensì l'ip del mio gateway mikrotik,quindi fail2ban mi banna l'ip del gateway al posto del tuo ip pubblico.
Non sò come altro spiegartelo,mi pare più che comprensibile :)
Errare è umano, ma per fare veramente casino ci vuole la password di root.
Avatar utente
ss4
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 11
Iscritto il: ven 1 nov 2013, 0:57
Località: Aosta
Top

Re: Mikcrotik RB2011UAS-2HnD

Messaggioda ss4 » mar 5 nov 2013, 0:15

Tanto per mostrare la situazione

tcp 0 0 bahamut.local:ssh 192.168.0.1:7025 ESTABLISHED

bahamut è l'host debian con il server ssh attivo, 192.168.0.1:7025 in teoria dovrebbe essere il client,che al momento è uno smartphone con connessione 3g,quindi dovrei ritrovarmi l'ip pubblico della connessione 3g non sto 192.168.0.1 che invece è il mikrotik.
Errare è umano, ma per fare veramente casino ci vuole la password di root.
Avatar utente
ss4
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 11
Iscritto il: ven 1 nov 2013, 0:57
Località: Aosta
Top

Re: Mikcrotik RB2011UAS-2HnD

Messaggioda figheras » mar 5 nov 2013, 7:58

Analizza il traffico con torch o wireshark e verificane il motivo!
Siamo tutti ignoranti. Ma non tutti ignoriamo le stesse cose! - Einstein -
Avatar utente
figheras
Staff rosIT
Staff rosIT
 
Messaggi: 1218
Iscritto il: sab 19 set 2009, 20:09
Uso routerOS dalla Versione: v2.9.x
Certificazioni Mikrotik: MTCNA, MTCRE, MTCWE
Altre certificazioni: Cisco CCNA, KalliopePBX
Preferred Training Centre: Grifonline
Top

Re: Mikcrotik RB2011UAS-2HnD

Messaggioda ss4 » mer 6 nov 2013, 1:26

Qui per esempio l'indirizzo che dovrebbe essere quello pubblico del client,lo si trova come da foto sotto la voce reply dst.address


Netstat tcp 0 0 bahamut.local:ssh 192.168.0.1:59037 ESTABLISHED


http://img22.imageshack.us/img22/6627/sw24.jpg
Errare è umano, ma per fare veramente casino ci vuole la password di root.
Avatar utente
ss4
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 11
Iscritto il: ven 1 nov 2013, 0:57
Località: Aosta
Top

Re: Mikcrotik RB2011UAS-2HnD

Messaggioda figheras » mer 6 nov 2013, 13:19

Fai un export della configurazione completa e vediamo.....
Allega anche lo schema di rete...
Questa connessione tipo dovrebbe stabilirsi nel connection tracking:
Immagine.png
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
Siamo tutti ignoranti. Ma non tutti ignoriamo le stesse cose! - Einstein -
Avatar utente
figheras
Staff rosIT
Staff rosIT
 
Messaggi: 1218
Iscritto il: sab 19 set 2009, 20:09
Uso routerOS dalla Versione: v2.9.x
Certificazioni Mikrotik: MTCNA, MTCRE, MTCWE
Altre certificazioni: Cisco CCNA, KalliopePBX
Preferred Training Centre: Grifonline
Top

Re: Mikcrotik RB2011UAS-2HnD

Messaggioda ss4 » mer 6 nov 2013, 17:04

Ciao,grazie per la disponibilità,preciso anche che la configurazione delle interfacce è quella stock,ho configurato solamente la connessione wan in PPPoE per agganciarsi al modem netgear,la rete lan e wireless,qualche regola di forward per un paio di porte e uno script per dyndns,per il resto non ho toccato nulla.


Immagine

Uploaded with ImageShack.us




Codice: Seleziona tutto
# nov/06/2013 15:09:57 by RouterOS 6.5
# software id = 6FWZ-B2K7
#
/interface bridge
add admin-mac=D4:CA:6D:ED:99:2E auto-mac=no l2mtu=1598 name=bridge-local \
    protocol-mode=rstp
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=\
    20/40mhz-ht-above country=italy disabled=no distance=indoors ht-rxchains=\
    0,1 ht-txchains=0,1 l2mtu=2290 mode=ap-bridge ssid=MikroTik-Ss4Net \
    wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether6 ] name=ether6-master-local
set [ find default-name=ether7 ] master-port=ether6-master-local name=\
    ether7-slave-local
set [ find default-name=ether8 ] master-port=ether6-master-local name=\
    ether8-slave-local
set [ find default-name=ether9 ] master-port=ether6-master-local name=\
    ether9-slave-local
set [ find default-name=ether10 ] master-port=ether6-master-local name=\
    ether10-slave-local
set [ find default-name=sfp1 ] name=sfp1-gateway
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1-gateway name=\
    pppoe-out1 password=xxxx use-peer-dns=yes user=admin
/ip neighbor discovery
set sfp1-gateway discover=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk group-ciphers=\
    tkip,aes-ccm mode=dynamic-keys unicast-ciphers=tkip,aes-ccm \
    wpa-pre-shared-key=xxxxxx wpa2-pre-shared-key=xxxxxx
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
    mac-cookie-timeout=3d
/ip pool
add name=dhcp ranges=192.168.0.30-192.168.0.50
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local name=default
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6-master-local
add bridge=bridge-local interface=wlan1
/ip address
add address=192.168.0.1/24 comment="default configuration" interface=wlan1 \
    network=192.168.0.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid disabled=\
    no interface=sfp1-gateway
add comment="default configuration" dhcp-options=hostname,clientid interface=\
    ether1-gateway
/ip dhcp-server network
add address=192.168.0.0/24 comment="default configuration" dns-server=\
    192.168.88.1 gateway=192.168.0.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=\
    sfp1-gateway
add action=drop chain=input comment="default configuration" in-interface=\
    ether1-gateway
add chain=forward comment="default configuration" connection-state=\
    established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" \
    connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=sfp1-gateway
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface="(unknown)"
add action=dst-nat chain=dstnat dst-port=6881 protocol=tcp src-port="" \
    to-addresses=192.168.0.2 to-ports=6881
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=dst-nat chain=dstnat dst-port=4662 protocol=tcp src-port="" \
    to-addresses=192.168.0.2 to-ports=4662
add action=dst-nat chain=dstnat dst-port=4665 protocol=udp to-addresses=\
    192.168.0.2 to-ports=4665
add action=dst-nat chain=dstnat dst-port=4668 protocol=tcp to-addresses=\
    192.168.0.2 to-ports=4668
add action=dst-nat chain=dstnat dst-port=2020 in-interface=pppoe-out1 \
    protocol=tcp to-addresses=192.168.0.2 to-ports=22
/ip service
set telnet disabled=yes
set ftp disabled=yes
set winbox disabled=yes
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=ether1-gateway type=external
/lcd interface
set sfp1-gateway interface=sfp1-gateway
set ether1-gateway interface=ether1-gateway
set ether2 interface=ether2
set ether3 interface=ether3
set ether4 interface=ether4
set ether5 interface=ether5
set ether6-master-local interface=ether6-master-local
set ether7-slave-local interface=ether7-slave-local
set ether8-slave-local interface=ether8-slave-local
set ether9-slave-local interface=ether9-slave-local
set ether10-slave-local interface=ether10-slave-local
set wlan1 interface=wlan1
/system clock
set time-zone-name=Europe/Rome
/system scheduler
add interval=15m name=schedule1 on-event="/system scheduler add name=dynDNS in\
    terval=00:01 on-event=\"/system script run dynDns\\r\\n\"" policy=test \
    start-date=oct/30/2013 start-time=23:45:00
/system script
add name=dynDNS policy=test source="# Set needed variables\
    \n:local username \"xxx\"\
    \n:local password \"xxxxx\"\
    \n:local hostname \"xxxxx\"\
    \n\
    \n:global dyndnsForce\
    \n:global previousIP \
    \n\
    \n# print some debug info\
    \n:log info (\"UpdateDynDNS: username = \$username\")\
    \n:log info (\"UpdateDynDNS: password = \$password\")\
    \n:log info (\"UpdateDynDNS: hostname = \$hostname\")\
    \n:log info (\"UpdateDynDNS: previousIP = \$previousIP\")\
    \n\
    \n# get the current IP address from the internet (in case of double-nat)\
    \n/tool fetch mode=http address=\"checkip.dyndns.org\" src-path=\"/\" dst-\
    path=\"/dyndns.checkip.html\"\
    \n:delay 1\
    \n:local result [/file get dyndns.checkip.html contents]\
    \n\
    \n# parse the current IP result\
    \n:local resultLen [:len \$result]\
    \n:local startLoc [:find \$result \": \" -1]\
    \n:set startLoc (\$startLoc + 2)\
    \n:local endLoc [:find \$result \"</body>\" -1]\
    \n:local currentIP [:pick \$result \$startLoc \$endLoc]\
    \n:log info \"UpdateDynDNS: currentIP = \$currentIP\"\
    \n\
    \n# Remove the # on next line to force an update every single time - usefu\
    l for debugging,\
    \n# but you could end up getting blacklisted by DynDNS!\
    \n\
    \n#:set dyndnsForce true\
    \n\
    \n# Determine if dyndns update is needed\
    \n# more dyndns updater request details http://www.dyndns.com/developers/s\
    pecs/syntax.html\
    \n\
    \n:if ((\$currentIP != \$previousIP) || (\$dyndnsForce = true)) do={\
    \n   :set dyndnsForce false\
    \n   :set previousIP \$currentIP\
    \n   :log info \"\$currentIP or \$previousIP\"\
    \n   /tool fetch user=\$username password=\$password mode=http address=\"m\
    embers.dyndns.org\" \\\
    \n      src-path=\"nic/update\?system=dyndns&hostname=\$hostname&myip=\$cu\
    rrentIP&wildcard=no\" \\\
    \n      dst-path=\"/dyndns.txt\"\
    \n   :delay 1\
    \n   :local result [/file get dyndns.txt contents]\
    \n   :log info (\"UpdateDynDNS: Dyndns update needed\")\
    \n   :log info (\"UpdateDynDNS: Dyndns Update Result: \".\$result)\
    \n   :put (\"Dyndns Update Result: \".\$result)\
    \n} else={\
    \n   :log info (\"UpdateDynDNS: No dyndns update needed\")\
    \n}"
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=ether6-master-local
add interface=ether7-slave-local
add interface=ether8-slave-local
add interface=ether9-slave-local
add interface=wlan1
add interface=bridge-local

/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2
add interface=ether3
add interface=ether4
add interface=ether5
add interface=ether6-master-local
add interface=ether7-slave-local
add interface=ether8-slave-local
add interface=ether9-slave-local
add interface=wlan1
add interface=bridge-local
Errare è umano, ma per fare veramente casino ci vuole la password di root.
Avatar utente
ss4
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 11
Iscritto il: ven 1 nov 2013, 0:57
Località: Aosta
Top

Prossimo
Rispondi al messaggio

Torna a RouterOS

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

Privacy Terms of use
Powered by phpBB © 2002, 2005, 2007 phpBB Group
MikroTik is a registered trademark of MikroTikls corporation
Hai bisogno di aiuto? Contattaci!