[prodigy]

29 минут назад, jffulcrum сказал:

Тьфу ты, еще есть люди, не чистящие дефолтный конфиг.

так что сразу то не сказали )))) я день потерял

 

странно что суппор до сих пор не пофиксили баг

Изменено 18 ноября, 2020 пользователем prodigy

[prodigy]

11 часов назад, jffulcrum сказал:

Тьфу ты, еще есть люди, не чистящие дефолтный конфиг.

На самом деле дефолтный конфиг достаточно серьезно защищает конфигурацию от атак извне.

И отключение правила defconf: drop all not coming from LAN  открывает железку для любых подключений.

Это не правильно.

Покурив англоязычный форум решение нашлось.

 

Отключать вышеописанное правило не нужно, достаточно разрешить протокол GRE на внешний интерфейс тика и запустится любое количество EoIP туннелей с любым номером ID

[Saab95]

3 часа назад, prodigy сказал:

На самом деле дефолтный конфиг достаточно серьезно защищает конфигурацию от атак извне.

И отключение правила defconf: drop all not coming from LAN  открывает железку для любых подключений.

В списке ip-services отключаете не нужное или разрешаете доступ только с внутренних адресов.

В списке администраторов разрешаете доступ только с внутренних адресов.

Для спокойного сна в настройках файрвола так же запрещаете доступ на эти порты с внешних адресов.

Сами подключаетесь к микротику по VPN и уже получаете доступ через него.

 

Дефолтный конфиг кроме проблем ничего не решает.

[jffulcrum]

13 часов назад, prodigy сказал:

На самом деле дефолтный конфиг достаточно серьезно защищает конфигурацию от атак извне.

И отключение правила defconf: drop all not coming from LAN  открывает железку для любых подключений.

Это не правильно.

На самом деле пора освоить матчасть и заполнить в Firewall правильно цепочки input и forward, а не полагаться на кучу неявных условностей дефолта, вроде динамических списков интерфейсов - вы админ, вы должны определить, что у вас LAN, что не-LAN, какие протоколы откуда и куда разрешены, а дефолты оставьте хомячкам (которые купили роутер домой, не подумав).

[prodigy]

В 19.11.2020 в 22:43, jffulcrum сказал:

На самом деле пора освоить матчасть и заполнить в Firewall правильно цепочки input и forward

В чем "неправильность" дефолтных цепочек в firewall? что конкретно не устраивает? и что значит "правильно заполнить"

Вы хотите сказать что производитель оборудования ставит неправильной дефолтный конфиг?

Правил  дефолтного конфига секции firewall в 90% случаев достаточно для безопасной работы.

 

А правило defconf: drop all not coming from LAN отметает вообще любое подключение извне.

С ним и службы микротика отключать нет необходимости

 

И речь идет о баге, при которым с этим правилом все же туннель EoIP все равно поднимается с ID=0

 

Не в ту сторону что то повело вас, нет?

Изменено 26 ноября, 2020 пользователем prodigy

[jffulcrum]

Производитель делает дефолтный конфиг для случая, когда роутер подключает полный нуб, чтобы он у него вообще заработал (в лучшем случае, то есть подключения Ethernet по DHCP без доп.туннелей) и чтобы его не тут же не взломали снаружи. Если вы в дефолтный конфиг начинаете добавлять свои вещи, туннели, маршруты, сети, VLAN и т.п., то либо столкнетесь, что какие-то протоколы по-умолчанию не включены, либо с тем, что какой-то функционал вообще не работает из-за включенного fasttrek. Также, изнутри LAN (в который попасть может всякое) роутер открыт всем ветрам.

[Saab95]

2 часа назад, prodigy сказал:

А правило defconf: drop all not coming from LAN отметает вообще любое подключение извне.

С ним и службы микротика отключать нет необходимости

Я знаю много людей, которые пытались на базе этого дефолтного конфига сделать свои настройки, многие создавали чуть ли не 50 правил файрвола, десятка 2 правил в манглах, и все равно через пол года мучений сносили всю эту ерунду и приводили настройки к виду 2-3 правила в фильтрах, в манглах вообще пусто. И при этом роутер точно так же был защищен извне.