romsan Опубликовано 26 февраля, 2019 · Жалоба хм... т.е. полностью от управления МТ по Winbox на прямую, нужно/желательно уйти!? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 26 февраля, 2019 · Жалоба 35 минут назад, romsan сказал: Я просто тогда не понимаю, а что мешает использовать любой другой порт на микротике, у которого белый адрес? это прекрасная политика, сунуть голову в песок и пускай в задницу там пердолят как угодно. а дальше вам взломают каким нибудь другим путем одно единственное устройство, где найдут номер этого перенесенного порта, и понеслось.... 5 минут назад, romsan сказал: хм... т.е. полностью от управления МТ по Winbox на прямую, нужно/желательно уйти!? просто поставить общий ACL для входящих подключений на managment ip , перечислив в них станции управления вашей сетью. 34 минуты назад, Saab95 сказал: то можно с него поднять L2TP туннель в центр это недостаточно брутально. надо поднять ipsec , потом l2tp , потом eoip , потом внутри него pptp и только тогда уже заходить winbox. ведь нельзя, просто так взять и прописать ip "центра" в ACL? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romsan Опубликовано 26 февраля, 2019 · Жалоба Или Вы меня не слышите, или я не так высказываюсь!? В данной сылке (https://blog.mikrotik.com/security/cve-20193924-dude-agent-vulnerability.html) описывается проблема именно порта Winbox (да, я понимаю, что пофигу какой он будет 8192, или 28123). Как я понял из описания, именно порт Winbox может дать возможность злоумышленникам перенаправить траф там куда то.... Я и уточняю: ТОЛЬКО Winbox порт могут использовать злоумышленники для перенаправления? Порт, например, PPTP-сервера могут использовать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 26 февраля, 2019 · Жалоба @romsan Вы заголовок поста в блоге видите - "CVE-2019–3924 DUDE AGENT VULNERABILITY" ? Это уязвимость конкретно агента дудки, который использует тот же порт, что указан в настройках для винбокса. Также на него действуют те же ограничения, что прописаны в IP/Services для винбокса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romsan Опубликовано 26 февраля, 2019 · Жалоба ну теперь понял. Сорь за плохой инглишь Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 28 февраля, 2019 · Жалоба В 26.02.2019 в 09:38, LostSoul сказал: просто так взять и прописать ip "центра" в ACL? Прописать то может и можно, но тогда нельзя будет подключиться с других адресов. Поэтому проще туннеля ничего нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 28 февраля, 2019 · Жалоба 6 минут назад, Saab95 сказал: Прописать то может и можно, но тогда нельзя будет подключиться с других адресов. Поэтому проще туннеля ничего нет. Честное слово, очень нервирует взрослому , и вроде , дееспособному человеку, не в первый раз писать очевидные истины. Допустим у нас 3 взаимно дублированных центра управления. ( а для нищей компании, строящей телеком бизнес на микротиках меньше нельзя , так как каждый за копейку в режиме максимальной экономии ) Что проще - прописать в ACL три правила , или городить 3 туннеля настраивая каждый с обоих сторон? Как изменит ситуацию что "можно подключатся с других адресов" наличие туннеля? В любом случае , подключаться можно будет ( к микротику через туннель ) , внезапно, только с тех IP который вы разрешите в ACL на другой стороне туннеля. В чем логика переноса разрешающего ACL непосредственно с устройства, на другое устройство через VPN? Чтоб при любой аварии это все как можно смачнее глючило и летало вверх-вниз? А на пострадавшее железо было вообще не пробиться? При кольцевании сети бывает часто запустишь в качестве последнего средства curl запрос и ждет минуту, пока он через волну флуда секунд за 40-50 пробьется и исполнится, уложив какой-то порт или интерфейс. В вашем случае вы в перегруженной сети сделать вообще ничего не сможете - ваш туннель тупо никогда не поднимется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 28 февраля, 2019 · Жалоба Если сеть действительно серьезная, то за каждой удаленной точкой могут быть еще устройства, на которые нужен доступ. И как на них попадать, если заходить по внешнему адресу провайдера? Если 3 центра управления - то поднять между ними туннели, настроить OSPF, и с любого места сети заходить куда угодно. Кольцеваний сети, если все верно сделано, не бывает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 28 февраля, 2019 · Жалоба 8 минут назад, Saab95 сказал: Если сеть действительно серьезная, то за каждой удаленной точкой могут быть еще устройства, на которые нужен доступ. И как на них попадать, если заходить по внешнему адресу провайдера? Если 3 центра управления - то поднять между ними туннели, настроить OSPF, и с любого места сети заходить куда угодно. Кольцеваний сети, если все верно сделано, не бывает. мы сейчас про сеть оператора связи говорим, или про обычную организацию с сетью филиалов? Понятное дело, что у вас за роутером в филиале организации находится какая-то сеть ( и все это с центральным и другими филиалами связано через публичный интернет ) то туннель тут нужен. Если же мы говорим про то что в филиале стоит просто 1 микротик и скажем 3-4 точки доступа в него воткнутые , то проще на эти 4 точки пробросить измененные snmp и winbox порты и ввести какой-то стандарт на этом ( скажем задекларировать в служебной инструкции, что это порты с 8292 и далее ) это будет явно надежнее и проще, чем ради управления 3-4 мыльницами поднимать vpn. Если же у вас кусок операторской сети подключен через "обычный интернет" другого провайдера с чужим IP в количестве 1шт , то тут тоже да, туннель неизбежен. В типовых же ситуациях с задачами построения большой филиальной сети на микротиках -роутер обычно один , 3-5 камер и 2-3 кассы ( компьютера ) . И доступ часто нужен не только собственным ИТ-шникам , но и иным лицам , обслуживающим отдельные системы. Сотрудникам банка - к банкомату , сотрудникам софтовой лавки - к кассам и всяким егаис фискальникам , сотрудникам охранного агенства - в камерам и тут туннелей на всех не напасешься. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 28 февраля, 2019 · Жалоба Не проще. Проще это поднять туннель с этого микротика и завести его в мониторинг под этим серым IP туннеля, на нем же выделить подсеть /29 или /28 для адресации точек и сразу все видеть. При этом на роутере извне все закрыто и безопасность на высоте. Кроме всего, если в этом месте 2 провайдера, например основной и резервный, то при смене доступ пропадет? А если сейчас 2-3 устройства за микротиком, а после сразу десяток добавится - все переделывать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 28 февраля, 2019 · Жалоба 5 минут назад, Saab95 сказал: Не проще. Проще это поднять туннель с этого микротика и завести его в мониторинг под этим серым IP туннеля, на нем же выделить подсеть /29 или /28 для адресации точек и сразу все видеть. При этом на роутере извне все закрыто и безопасность на высоте. Кроме всего, если в этом месте 2 провайдера, например основной и резервный, то при смене доступ пропадет? А если сейчас 2-3 устройства за микротиком, а после сразу десяток добавится - все переделывать. если там два провайдера, то вам один хрен надо мониторить доступность и качество сервиса по обоим путям. Так что даже гораздо лучше, если там 2 разных IP , чем один. Если вы правда тут всерьез на голубом глазу утверждаете что вести учет выделенных по сотням филиалов подсетей и все вот это в куче разных мест прописывать проще, чем сделать базовое типовое однотипное правило , то вы видимо марсианин и проблемы человеков вам не понять. А реальнее всего, что вы просто запутались в схеме "пионер оператор, работающий по черным каналам так чтоб его не взяли за жопу" и "обычное юрлицо с филиалами, использущее микротик". 5 минут назад, Saab95 сказал: а после сразу десяток добавится если там добавится десяток устройств, то первым пойдет в помойку микротик. а так же скорее всего вся мебель , отделка и останется только голый бетон. а после завершения ремонта будет куплена и сконфигурирована новая железка оптимальным способом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 1 марта, 2019 · Жалоба В 28.02.2019 в 14:40, LostSoul сказал: Если вы правда тут всерьез на голубом глазу утверждаете что вести учет выделенных по сотням филиалов подсетей и все вот это в куче разных мест прописывать проще, чем сделать базовое типовое однотипное правило , то вы видимо марсианин и проблемы человеков вам не понять. Если вы не знаете, как вести учет подсетей, то как же в сетях с вланами это сохраняют, на бумажке что ли пишут? Попробуйте почитать больше информации про L3 сети, L3 транспорт, сразу станет понятно сколько и как сетей документировать=) В 28.02.2019 в 14:40, LostSoul сказал: если там добавится десяток устройств, то первым пойдет в помойку микротик. а так же скорее всего вся мебель , отделка и останется только голый бетон. а после завершения ремонта будет куплена и сконфигурирована новая железка оптимальным способом. Это про вагончик с булочками разговор? Если про некую организацию с филиалами. То сначала открывается один кабинет, а по мере расширения берутся в аренду другие и так далее, или после переезжает в другое помещение. При этом то оборудование, что было, обычно переезжает вместе с ними. И вот из центра нужно иметь возможность доступа на все оборудования - компьютеры сотрудников (да да, через РДП зайти что-то посмотреть), принтеры, сканеры, телефоны, ИБП, систему локального видео наблюдения, всякие там сканеры штрих кодов и прочее. Поэтому для каждого филиала выделяется своя локалка для компьютеров, отдельная для принтеров и иного оборудования, отдельно для телефонии. Кроме всего, часто, доступ в интернет так же идет через центр, что бы обеспечить контроль доступа и антивирусную защиту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 1 марта, 2019 · Жалоба 5 минут назад, Saab95 сказал: Если вы не знаете, как вести учет подсетей, то как же в сетях с вланами это сохраняют, на бумажке что ли пишут? Попробуйте почитать больше информации про L3 сети, L3 транспорт, сразу станет понятно сколько и как сетей документировать=) когда у вас экстремальная ситуация и всех рухнуло , и нет никакой связи никуда то вам будет очень ценно , что оно где то там документировано? или у вас рядом с каждым микротиком прям папочка с всеми настройками и журнал работ, в котором расписываются? 7 минут назад, Saab95 сказал: Это про вагончик с булочками разговор? это например про московские банки. или про заправки. или про отдельно стоящие сетевые рестораны. посмотрите хоть раз, как там все делается. сначала вызывается компания-утилизатор, которая до голого бетона/асфальта/кирпича зачищает все. И сама утилизирует/реализует все что было, включая микротики. потом приходит новая контора которая строит все практически с нуля. потом туда завозят и монтируют новую технику. 10 минут назад, Saab95 сказал: Это про вагончик с булочками разговор? Если про некую организацию с филиалами. Вы какой-то непонятный сферический бизнес в вакууме описываете. То место где может расти штат, добавлятся помещения и.т.п это не филиал обычно, а так штаб квартира или определенное целевое подразделение. таких филиалов не бывает много. много ( десятки, сотни , тысячи ) филиалов обычно имеют фиксированный размер и никуда не растут. а уж что считать таким филиалом.... да что угодно. сеть страховых агенств , сеть парихмахерск или салонов красоты , сеть закусочных , сеть оффлайн магазинов от одежды , или там сеть складских баз в регионах ( ну вот тут, да, может расти ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 1 марта, 2019 · Жалоба 15 минут назад, Saab95 сказал: Поэтому для каждого филиала выделяется своя локалка для компьютеров, отдельная для принтеров и иного оборудования, отдельно для телефонии. Кроме всего, часто, доступ в интернет так же идет через центр, что бы обеспечить контроль доступа и антивирусную защиту. Это уже совсем другой масштаб бедствия. И тут туннели создаются не только для того чтоб на пару микротиков удаленно залезть поадминить. В любом случае, при этом всегда оставляют возможность зайти на пограничное оборудование и мимо туннеля ( на случай если туннели по какой то причине внезапно умрут и надо будет их починить ). Я , если ситуация позволяет, обычно у провайдера даже прошу второй-третий IP чтоб поставить или отдельный маленький роутер на ребут UPS , или иной консольный сервер, или там иное аварийное управление вывести. Иногда аварийное через 4g , по ситуации. А когда именно что в кисок с булочками пробрасывают туннель чтоб залезь на 1 микротик 1 камеру и 1 кассу это бред. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 1 марта, 2019 · Жалоба 11 минут назад, LostSoul сказал: когда у вас экстремальная ситуация и всех рухнуло , и нет никакой связи никуда то вам будет очень ценно , что оно где то там документировано? или у вас рядом с каждым микротиком прям папочка с всеми настройками и журнал работ, в котором расписываются? Тогда на месте человек берет другой микротик, который уже настроен на подключение к центру, в него удаленно заливается конфигурация и все работает. Другой вариант человек на месте берет другой новый микротик, подключает к своему компу, к нему подключается администратор и заливает конфиг. 13 минут назад, LostSoul сказал: Вы какой-то непонятный сферический бизнес в вакууме описываете. Отвечайте и пишите по теме, а не притягивайте на обсуждение области, которые никакого отношения к сетям не имеют. Нет никакой разницы что за бизнес, где он располагается, каким образом делается ремонт и прочее. 2 минуты назад, LostSoul сказал: В любом случае, при этом всегда оставляют возможность зайти на пограничное оборудование и мимо туннеля ( на случай если туннели по какой то причине внезапно умрут и надо будет их починить ). Вот сколько не занимаюсь туннелями, ни разу не было, что бы с ними были какие-то конкретные проблемы, а не кратковременные. Например у провайдера большие пакеты начнут пропадать, или еще что. Но если это так, то и по IP адресу зайти не получится. А аварийное 4G на всех узлах есть, благо воткнуть USB модем можно в любой микротик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 1 марта, 2019 · Жалоба 19 минут назад, Saab95 сказал: Тогда на месте человек берет другой микротик, который уже настроен на подключение к центру, в него удаленно заливается конфигурация и все работает. Другой вариант человек на месте берет другой новый микротик, подключает к своему компу, к нему подключается администратор и заливает конфиг. да она отвалится может по 1000 других причин, с микротиком не связанных. Поломка оборудования сама по себе - это редчайшая причина возникновения проблем с связью. Начиная от где-то по пути зафильтровали трафик , наличие потерь на каком-то хопе и.т.п. , в центральном офисе маски-шоу и.т.п. Самым слабым звеном в любой автоматизированной системе всегда является человек. А человеческий фактор - главная причина сбоев и аварий. Создание условий для снижения риска человеческого фактора , а так же для минимизации ущерба / простоя от допущенных человеком нарушений/ошибок - является основной задачей нормального проектирования. А самым большим достижением технологической цепочки обычно является полное исключение из нее человека. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adsl Опубликовано 2 июля, 2019 · Жалоба Все обновились до 6.45.1? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Володя Опубликовано 2 июля, 2019 · Жалоба 30 минут назад, adsl сказал: Все обновились до 6.45.1? Опять какая-то дыра? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 2 июля, 2019 · Жалоба Есть проблемы, что после обновления слетают секреты RADIUS, IPSec и т.п. Забиваешь заново - начинает работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user71 Опубликовано 2 июля, 2019 · Жалоба @Володя security - fixed vulnerabilities CVE-2018-1157, CVE-2018-1158; !) security - fixed vulnerabilities CVE-2019-11477, CVE-2019-11478, CVE-2019-11479; !) security - fixed vulnerability CVE-2019-13074; !) user - removed insecure password storage; ДЫРЫЩЕ одно сплошное днище. а вы почитайте какие там дыры. 45.1 тож стоит как уязвимая. теперь и фаервол не спасет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 3 июля, 2019 · Жалоба @user71 Не надо паники. 11477-479 - DoS, и притом для всех Linux. Более-менее серьезная только CVE-2019-13074 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user71 Опубликовано 3 июля, 2019 (изменено) · Жалоба @jffulcrum за дос то я и не переживаю. Обход фаервола меня больше беспокоит. Это же ***ец. а если я вот как бы не хочу на 6.4x.x, мне совсем не нравится то что они там понаделали. Раньше я прикрывал эпик дырищу фаерволом а теперь выходит и он дырявый, и че теперь делать? 6.4х недееспособные нужно просто менять железки чтобы оно работало. Ну все, теперь хоть новую ветку создавай "на что поменять микротик" Изменено 3 июля, 2019 пользователем user71 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 3 июля, 2019 (изменено) · Жалоба 17 hours ago, user71 said: 45.1 тож стоит как уязвимая. теперь и фаервол не спасет. Это про SecurityLab видимо, которые ссылаются на чехов, у которых нет в уязвимых 6.45.1 ? Так как они пишут про уязвимости, закрытые в 6.45.1 :)) И где там про обход файрвола ? Изменено 3 июля, 2019 пользователем McSea Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
user71 Опубликовано 3 июля, 2019 · Жалоба 37 minutes ago, McSea said: И где там про обход файрвола ? я уже на питоне работающий скрипт нарисовал а вы все никак не можете найти где там про фаервол? ) ну может уже убрали отгреха а то опять все тики в мире отымеют. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 3 июля, 2019 · Жалоба 10 minutes ago, user71 said: вы все никак не можете найти где там про фаервол? Как найти в темной комнате черную кошку, которой там нет ? :)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...