[romsan]

хм... т.е. полностью от управления МТ по Winbox на прямую, нужно/желательно уйти!?

 

[LostSoul]

35 минут назад, romsan сказал:

Я просто тогда не понимаю, а что мешает использовать любой другой порт на микротике, у которого белый адрес?

это прекрасная политика, сунуть голову в песок и пускай в задницу там пердолят как угодно.

а дальше вам взломают каким нибудь другим путем одно единственное устройство, где найдут номер этого перенесенного порта, и понеслось....

 

 

5 минут назад, romsan сказал:

хм... т.е. полностью от управления МТ по Winbox на прямую, нужно/желательно уйти!?

просто поставить общий ACL для входящих подключений на managment ip   , перечислив в них станции управления вашей сетью.

 

 

34 минуты назад, Saab95 сказал:

то можно с него поднять L2TP туннель в центр

это недостаточно брутально.  надо поднять ipsec , потом l2tp , потом eoip , потом внутри него pptp и только тогда уже заходить winbox.

ведь нельзя, просто так взять и прописать ip "центра" в ACL?

 

 

[romsan]

Или Вы меня не слышите, или я не так высказываюсь!?

В данной сылке (https://blog.mikrotik.com/security/cve-20193924-dude-agent-vulnerability.html) описывается проблема именно порта Winbox (да, я понимаю, что пофигу какой он будет 8192, или 28123). Как я понял из описания, именно порт Winbox может дать возможность злоумышленникам перенаправить траф там куда то....

Я и уточняю: ТОЛЬКО Winbox порт могут использовать злоумышленники для перенаправления? Порт, например, PPTP-сервера могут использовать?

[McSea]

@romsan 

Вы заголовок поста в блоге видите - "CVE-2019–3924 DUDE AGENT VULNERABILITY" ?

 

Это уязвимость конкретно агента дудки, который использует тот же порт, что указан в настройках для винбокса.

Также на него действуют те же ограничения, что прописаны в IP/Services для винбокса.

 

 

[romsan]

ну теперь понял. Сорь за плохой инглишь

[Saab95]

В 26.02.2019 в 09:38, LostSoul сказал:

просто так взять и прописать ip "центра" в ACL?

Прописать то может и можно, но тогда нельзя будет подключиться с других адресов. Поэтому проще туннеля ничего нет.

[LostSoul]

6 минут назад, Saab95 сказал:

Прописать то может и можно, но тогда нельзя будет подключиться с других адресов. Поэтому проще туннеля ничего нет.

Честное слово, очень нервирует взрослому , и вроде , дееспособному человеку, не в первый раз писать очевидные истины.

 

Допустим у нас 3 взаимно дублированных центра управления. ( а для нищей компании, строящей телеком бизнес на микротиках меньше нельзя , так как каждый за копейку в режиме максимальной экономии )

Что проще -  прописать в ACL  три правила , или городить 3 туннеля настраивая каждый с обоих сторон?

Как изменит ситуацию что "можно подключатся с других адресов" наличие туннеля?

В любом случае , подключаться можно будет ( к микротику через туннель ) , внезапно, только с тех IP который вы разрешите в ACL на другой стороне туннеля.

В чем логика переноса разрешающего ACL непосредственно с устройства,  на другое устройство через VPN?

Чтоб при любой аварии это все как можно смачнее глючило и летало вверх-вниз? А на пострадавшее железо было вообще не пробиться?

 

При кольцевании сети бывает часто запустишь в качестве последнего средства curl запрос  и ждет минуту, пока он через волну флуда секунд за 40-50 пробьется и исполнится, уложив какой-то порт или интерфейс.

В вашем случае вы в перегруженной сети сделать вообще ничего не сможете - ваш туннель тупо никогда не поднимется.

 

 

 

[Saab95]

Если сеть действительно серьезная, то за каждой удаленной точкой могут быть еще устройства, на которые нужен доступ. И как на них попадать, если заходить по внешнему адресу провайдера?

Если 3 центра управления - то поднять между ними туннели, настроить OSPF, и с любого места сети заходить куда угодно.

Кольцеваний сети, если все верно сделано, не бывает.

[LostSoul]

8 минут назад, Saab95 сказал:

Если сеть действительно серьезная, то за каждой удаленной точкой могут быть еще устройства, на которые нужен доступ. И как на них попадать, если заходить по внешнему адресу провайдера? 

Если 3 центра управления - то поднять между ними туннели, настроить OSPF, и с любого места сети заходить куда угодно.

Кольцеваний сети, если все верно сделано, не бывает.

мы сейчас про сеть оператора связи говорим,  или про обычную организацию с сетью филиалов?

Понятное дело, что у вас за роутером в филиале организации находится какая-то сеть ( и все это с центральным и другими филиалами связано через публичный интернет )  то туннель тут нужен.

 

Если же мы говорим про то что  в филиале стоит просто 1 микротик и скажем 3-4 точки доступа в него воткнутые  , то проще на эти 4 точки пробросить измененные snmp и winbox порты и ввести какой-то стандарт на этом  ( скажем  задекларировать в служебной инструкции, что это порты с 8292 и далее )

это будет явно надежнее и проще, чем ради управления 3-4 мыльницами поднимать vpn.

 

Если же у вас кусок операторской сети  подключен через "обычный интернет" другого провайдера с чужим IP в количестве 1шт , то тут тоже да, туннель неизбежен.

 

В типовых же ситуациях с задачами построения большой филиальной сети на микротиках -роутер обычно один ,   3-5 камер и  2-3 кассы ( компьютера ) .

 

И доступ часто нужен не только собственным ИТ-шникам , но и иным лицам , обслуживающим отдельные системы.

Сотрудникам банка - к банкомату ,   сотрудникам софтовой лавки - к кассам и всяким егаис фискальникам , сотрудникам охранного агенства - в камерам и тут туннелей на всех не напасешься.

 

 

[Saab95]

Не проще. Проще это поднять туннель с этого микротика и завести его в мониторинг под этим серым IP туннеля, на нем же выделить подсеть /29 или /28 для адресации точек и сразу все видеть. При этом на роутере извне все закрыто и безопасность на высоте. Кроме всего, если в этом месте 2 провайдера, например основной и резервный, то при смене доступ пропадет? А если сейчас 2-3 устройства за микротиком, а после сразу десяток добавится - все переделывать.

[LostSoul]

5 минут назад, Saab95 сказал:

Не проще. Проще это поднять туннель с этого микротика и завести его в мониторинг под этим серым IP туннеля, на нем же выделить подсеть /29 или /28 для адресации точек и сразу все видеть. При этом на роутере извне все закрыто и безопасность на высоте. Кроме всего, если в этом месте 2 провайдера, например основной и резервный, то при смене доступ пропадет? А если сейчас 2-3 устройства за микротиком, а после сразу десяток добавится - все переделывать.

если там два провайдера, то вам один хрен надо мониторить доступность и качество сервиса по обоим путям.

Так что даже гораздо лучше, если там 2 разных IP , чем один.

 

Если вы правда тут всерьез на голубом глазу утверждаете что вести учет выделенных по сотням филиалов подсетей и все вот это в куче разных мест прописывать проще,  чем сделать базовое типовое однотипное правило , то вы видимо марсианин и проблемы человеков вам не понять.

 

А реальнее всего, что вы просто запутались в схеме "пионер оператор, работающий по черным каналам так чтоб его не взяли за жопу"  и "обычное юрлицо с филиалами, использущее микротик".  

 

 

5 минут назад, Saab95 сказал:

а после сразу десяток добавится

если там добавится десяток устройств, то первым пойдет в помойку микротик.

а так же скорее всего вся мебель , отделка и останется только голый бетон.

а после завершения ремонта будет куплена и сконфигурирована новая железка оптимальным способом.

 

[Saab95]

В 28.02.2019 в 14:40, LostSoul сказал:

Если вы правда тут всерьез на голубом глазу утверждаете что вести учет выделенных по сотням филиалов подсетей и все вот это в куче разных мест прописывать проще,  чем сделать базовое типовое однотипное правило , то вы видимо марсианин и проблемы человеков вам не понять.

Если вы не знаете, как вести учет подсетей, то как же в сетях с вланами это сохраняют, на бумажке что ли пишут? Попробуйте почитать больше информации про L3 сети, L3 транспорт, сразу станет понятно сколько и как сетей документировать=)

 

В 28.02.2019 в 14:40, LostSoul сказал:

если там добавится десяток устройств, то первым пойдет в помойку микротик.

а так же скорее всего вся мебель , отделка и останется только голый бетон.

а после завершения ремонта будет куплена и сконфигурирована новая железка оптимальным способом.

Это про вагончик с булочками разговор? Если про некую организацию с филиалами. То сначала открывается один кабинет, а по мере расширения берутся в аренду другие и так далее, или после переезжает в другое помещение. При этом то оборудование, что было, обычно переезжает вместе с ними. И вот из центра нужно иметь возможность доступа на все оборудования - компьютеры сотрудников (да да, через РДП зайти что-то посмотреть), принтеры, сканеры, телефоны, ИБП, систему локального видео наблюдения, всякие там сканеры штрих кодов и прочее. Поэтому для каждого филиала выделяется своя локалка для компьютеров, отдельная для принтеров и иного оборудования, отдельно для телефонии. Кроме всего, часто, доступ в интернет так же идет через центр, что бы обеспечить контроль доступа и антивирусную защиту.

[LostSoul]

5 минут назад, Saab95 сказал:

Если вы не знаете, как вести учет подсетей, то как же в сетях с вланами это сохраняют, на бумажке что ли пишут? Попробуйте почитать больше информации про L3 сети, L3 транспорт, сразу станет понятно сколько и как сетей документировать=)

 

когда у вас экстремальная ситуация и всех рухнуло , и нет никакой связи никуда то вам будет очень ценно , что оно где то там документировано?

или у вас рядом с каждым микротиком прям папочка с всеми  настройками и журнал работ, в котором расписываются?

 

 

7 минут назад, Saab95 сказал:

Это про вагончик с булочками разговор?

это например про московские банки.

или про заправки.

или про отдельно стоящие сетевые рестораны.

 

посмотрите хоть раз, как там все делается.

сначала вызывается компания-утилизатор, которая до голого бетона/асфальта/кирпича зачищает все. И сама утилизирует/реализует все что было, включая микротики.

потом приходит новая контора которая строит все практически с нуля.

потом туда завозят и монтируют новую технику.

 

 

10 минут назад, Saab95 сказал:

Это про вагончик с булочками разговор? Если про некую организацию с филиалами.

Вы какой-то непонятный сферический бизнес в вакууме описываете.

То место где может расти штат,  добавлятся помещения и.т.п это не филиал обычно, а так штаб квартира или определенное целевое подразделение.

таких филиалов не бывает много.

много ( десятки, сотни , тысячи ) филиалов обычно имеют фиксированный размер и никуда не растут.

 

а уж что считать таким филиалом....  да что угодно. сеть страховых агенств , сеть парихмахерск или салонов красоты , сеть закусочных ,   сеть оффлайн магазинов от одежды , или там сеть складских баз в регионах ( ну вот тут, да, может расти )

 

[LostSoul]

15 минут назад, Saab95 сказал:

Поэтому для каждого филиала выделяется своя локалка для компьютеров, отдельная для принтеров и иного оборудования, отдельно для телефонии. Кроме всего, часто, доступ в интернет так же идет через центр, что бы обеспечить контроль доступа и антивирусную защиту.

Это уже совсем другой масштаб бедствия.  И тут туннели создаются не только для того чтоб на пару микротиков удаленно залезть поадминить.

В любом случае, при этом всегда оставляют возможность зайти на пограничное оборудование и мимо туннеля ( на случай если туннели по какой то причине внезапно умрут и надо будет их починить ).

Я , если ситуация позволяет,  обычно у провайдера даже прошу второй-третий IP чтоб поставить или отдельный маленький роутер на ребут UPS , или иной консольный сервер, или там иное аварийное управление вывести. Иногда аварийное через 4g , по ситуации.

 

А когда именно что в кисок с булочками пробрасывают туннель чтоб залезь на 1 микротик 1 камеру и 1 кассу это бред.

 

[Saab95]

11 минут назад, LostSoul сказал:

когда у вас экстремальная ситуация и всех рухнуло , и нет никакой связи никуда то вам будет очень ценно , что оно где то там документировано?

или у вас рядом с каждым микротиком прям папочка с всеми  настройками и журнал работ, в котором расписываются?

 

Тогда на месте человек берет другой микротик, который уже настроен на подключение к центру, в него удаленно заливается конфигурация и все работает.

Другой вариант человек на месте берет другой новый микротик, подключает к своему компу, к нему подключается администратор и заливает конфиг.

 

13 минут назад, LostSoul сказал:

Вы какой-то непонятный сферический бизнес в вакууме описываете.

Отвечайте и пишите по теме, а не притягивайте на обсуждение области, которые никакого отношения к сетям не имеют. Нет никакой разницы что за бизнес, где он располагается, каким образом делается ремонт и прочее.

 

2 минуты назад, LostSoul сказал:

В любом случае, при этом всегда оставляют возможность зайти на пограничное оборудование и мимо туннеля ( на случай если туннели по какой то причине внезапно умрут и надо будет их починить ).

Вот сколько не занимаюсь туннелями, ни разу не было, что бы с ними были какие-то конкретные проблемы, а не кратковременные. Например у провайдера большие пакеты начнут пропадать, или еще что. Но если это так, то и по IP адресу зайти не получится. А аварийное 4G на всех узлах есть, благо воткнуть USB модем можно в любой микротик.

[LostSoul]

19 минут назад, Saab95 сказал:

Тогда на месте человек берет другой микротик, который уже настроен на подключение к центру, в него удаленно заливается конфигурация и все работает.

Другой вариант человек на месте берет другой новый микротик, подключает к своему компу, к нему подключается администратор и заливает конфиг.

да она отвалится может по 1000 других причин, с микротиком не связанных.

Поломка оборудования сама по себе - это редчайшая причина возникновения проблем с связью.

Начиная от где-то по пути зафильтровали трафик  , наличие потерь на каком-то хопе и.т.п.  , в центральном офисе маски-шоу и.т.п.

 

Самым слабым звеном в любой автоматизированной системе всегда является человек.

А человеческий фактор - главная причина сбоев и аварий.

Создание условий для снижения риска человеческого фактора , а так же для минимизации ущерба / простоя от допущенных человеком нарушений/ошибок - является основной задачей нормального проектирования.

 

А самым большим достижением технологической цепочки обычно является полное исключение из нее человека.

 

 

 

 

[adsl]

Все обновились до 6.45.1?

[Володя]

30 минут назад, adsl сказал:

Все обновились до 6.45.1?

Опять какая-то дыра?

[jffulcrum]

Есть проблемы, что после обновления слетают секреты RADIUS, IPSec и т.п. Забиваешь заново - начинает работать.

[user71]

@Володя 

security - fixed vulnerabilities CVE-2018-1157, CVE-2018-1158;
!) security - fixed vulnerabilities CVE-2019-11477, CVE-2019-11478, CVE-2019-11479;
!) security - fixed vulnerability CVE-2019-13074;
!) user - removed insecure password storage;

ДЫРЫЩЕ одно сплошное днище. а вы почитайте какие там дыры. 45.1 тож стоит как уязвимая. теперь и фаервол не спасет.

[jffulcrum]

@user71 Не надо паники. 11477-479 - DoS, и притом для всех Linux. Более-менее серьезная только CVE-2019-13074 

[user71]

@jffulcrum за дос то я и не переживаю. Обход фаервола меня больше беспокоит. Это же ***ец. а если я вот как бы не хочу на 6.4x.x, мне совсем не нравится то что они там понаделали. Раньше я прикрывал эпик дырищу фаерволом а теперь выходит и он дырявый, и че теперь делать? 6.4х недееспособные нужно просто менять железки чтобы оно работало. Ну все, теперь хоть новую ветку создавай "на что поменять микротик"

Изменено 3 июля, 2019 пользователем user71

[McSea]

17 hours ago, user71 said:

45.1 тож стоит как уязвимая. теперь и фаервол не спасет.

Это про SecurityLab видимо, которые ссылаются на чехов, у которых нет в уязвимых 6.45.1 ?

Так как они пишут про уязвимости, закрытые в 6.45.1 :))

И где там про обход файрвола ?

 

Изменено 3 июля, 2019 пользователем McSea

[user71]

37 minutes ago, McSea said:

И где там про обход файрвола ?

я уже на питоне работающий скрипт нарисовал а вы все никак не можете найти где там про фаервол? ) ну может уже убрали отгреха а то опять все тики в мире отымеют.

[McSea]

10 minutes ago, user71 said:

вы все никак не можете найти где там про фаервол?

 

Как найти в темной комнате черную кошку, которой там нет ? :))