CHR, VPS\VDS, VPN l2t+ipsek настройка и проблемы

mitsu13 · 05 ноя 2018, 21:23

Может кому пригодится. Но на данный момент я уперся. И нужна помощь.

1.Находим сервер KVM с прямыми IP адресами на интерфейсе (много у кого в алиасе или еще через какие-то правила)
Покупаем. Настраиваем на базе Centos 6.
Далее предустановка системы. По установке ничего сложного, когда делаешь это 10 раз.
Заходим под рутом через vnc или внутренний терминал.

2.скачиваем и развертываем.
wget https://download.mikrotik.com/routeros/ ... .4.img.zip
echo u > /proc/sysrq-trigger && gunzip -c chr-6.43.4.img.zip | dd of=/dev/vda
reboot

3.Если все хорошо, то появится приветствие для авторизации.
Если появится ошибка, то что - то пошло не так. Так как перебирал разные сервисы, с разной ценой, то не у всех все так хорошо.

4. Авторизируемся под admin без пароля.
Первым делом ставим пароль для авторизации. Когда вы пропишете IP адрес на сетевой интерфейс, то к вам сразу начнут пытаться подключиться по telnet и ssh.

/user set admin password=PassWord$

По умолчанию ssh и ftp под этим пользователем. Так что, обязательно, в первую очередь меняем пароль.

Прописываем Ip адрес на интерфейс ether1

/ip address add address=185.224.247.21/22 interface=ether1

Прописываем шлюз.

/ip route add gateway=185.224.246.1

Проверяем ping 8.8.8.8

Должно все идти.

/ip dns set servers-8.8.8.8

Подключаем DNS

Маленькая защита от подбора пароля по telnet ssh ftp

Правила не мои, но работают.

/ip firewall filter

add action=drop chain=input comment="SSH drop" dst-port=22 protocol=tcp src-address-list=ssh_blacklist

add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input \

connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3

add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=\

new dst-port=22 protocol=tcp src-address-list=ssh_stage2

add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=\

new dst-port=22 protocol=tcp src-address-list=ssh_stage1

add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=\

new dst-port=22 protocol=tcp

add action=drop chain=input comment=telnet_drop dst-port=23 protocol=tcp src-address-list=telnet_blacklist

add action=add-src-to-address-list address-list=telnet_blacklist address-list-timeout=1w3d chain=input \

connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage3

add action=add-src-to-address-list address-list=telnet_stage3 address-list-timeout=1m chain=input \

connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage2

add action=add-src-to-address-list address-list=telnet_stage2 address-list-timeout=1m chain=input \

connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage1

add action=add-src-to-address-list address-list=telnet_stage1 address-list-timeout=1m chain=input \

connection-state=new dst-port=23 protocol=tcp

add action=drop chain=input comment="ftp drop ftp brute forcers" dst-port=21 protocol=tcp src-address-list=\

ftp_blacklist

add action=accept chain=output content="530 Login incorrect" dst-limit=1/1m,4,dst-address/1m protocol=tcp

add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output content=\

"530 Login incorrect" protocol=tcp

Далее, на всякий случай, сохраняем конфигурацию для восстановления, если что - то пойдет не так

/system backup save name=05112018_135

Далее VPN l2tp ipsec

Тут уже буду делать через winbox.

1.Создаем ip pool.
ip pool add name=vpn_pool ranges=172.16.3.100-172.16.3.200

2.Создаем ppp профиль
ppp profile add name=vpn_profile local-address=172.16.3.1 remote-address=vpn_pool

3. Настраиваем Secret
ppp secret add name=vpn_mag4 password=PassWord123 service=l2tp profile=vpn_profile local-address=172.16.3.1 remote-address=172.16.3.10

4. Активируем l2tp server
/interface l2tp-server server set authentication=mschap2 enabled=yes ipsec-secret=PassWord123 use-ipsec=yes

сохраняем конфигурацию
/system backup save name=05112018_1411

Теперь идем на mag4

/interface l2tp-client add connect-to=185.224.247.21 disabled=no ipsev-secret=PassWord123 name=vpn_mag4 password=PassWord123 use-ipsec=yes user=vpn_mag4

Чтоб сети видели между собой

На Сервере

/ip route add distance=1 dst-address=192.168.10.0/24 gateway=172.16.3.10

Тепень микротик 21 видит сеть 192.168.10.0

Компьютеры из сети 192.168.10.0 видят компьютеры 172.16.3.0

system backup save name=05112018_1502

теперь то, что не получается:

1. От mag4 завернуть весь трафик через VPN.?
2. От mag1,2,3 завернуть весь трафик, кроме 10 подсети.?
3. Перенаправить порт для сервисов.?
4. Что лучше и безопаснее? Пробросить порт RDP, или сделать отдельную учетную запись VPN для компьютеров сотрудников (работа из дома).

Если делать проброс RDP, то это:

/ip firewall nat add action=dst-nat chain=dstnat comment=test dst-address=185.224.247.21 dst-port=61001 protocol=tcp to-addresses=172.16.2.19 to-ports=3389

Для почтового сервера 80,443,:

/ip firewall nat
add action=dst-nat chain=dstnat comment=test dst-address=185.224.247.21 dst-port=80 in-interface=inetTest protocol=tcp to-addresses=172.16.2.10 to-ports=80
add action=dst-nat chain=dstnat comment=test dst-address=185.224.247.21 dst-port=443 in-interface=inetTest protocol=tcp to-addresses=172.16.2.10 to-ports=443

про 25 и остальные еще не надумал как.

Конфигурация выделенного сервера:

Конфигурация выделенного сервера:

mitsu13 · 10 ноя 2018, 23:54

Из нового:
Решил разбивать задачу на части.
1. Создал пользователя ipsec vpn в роутере.
2. Подключился с Windows клиента. Ipsec грузит процессор но работает.
В настройках указал пароль для Ipsec. По умолчанию он не спросил ничего.
3. Компьютер видит ip сервер сети но не выходит через него.
ping 172.16.3.1 пингуется.
ping 8.8.8.8 не пингуется.

Прописал нат для сети.
/ip firewall nat add action=masquerade chain=srcnat src-address=172.16.3.0/24

пинг пошел, из сети наружу.
При тесте скорости загрузка процессора виртуальной машины подлетает до 60%. При том что одно ядро и 2700mghz.

Задачи которые в процессе:
1.VPN на роутере подключается но трафик не заворачивается. Надо завернуть весь трафик в VPN.
ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.3.11 routing-mark=tst scope=30 target-scope=10
ip firewall mangle add action=mark-routing chain=prerouting disabled=no new-routing-mark=tst passthrough=yes src-address=192.168.10.23

пинг хороший 5-10мс.
но Браузер как будто тормозит
Тесты скорости почему-то вываливаются с ошибками и с диким пингом.

PING forummikrotik.ru (217.107.219.12): 56 data bytes
64 bytes from 217.107.219.12: icmp_seq=0 ttl=56 time=5.106 ms
64 bytes from 217.107.219.12: icmp_seq=1 ttl=56 time=4.690 ms
64 bytes from 217.107.219.12: icmp_seq=2 ttl=56 time=4.709 ms
64 bytes from 217.107.219.12: icmp_seq=3 ttl=56 time=4.609 ms
64 bytes from 217.107.219.12: icmp_seq=4 ttl=56 time=4.512 ms
64 bytes from 217.107.219.12: icmp_seq=5 ttl=56 time=4.654 ms

raceroute to forummikrotik.ru (217.107.219.12), 64 hops max, 52 byte packets
1 router.lan (192.168.10.10) 1.346 ms 0.650 ms 0.787 ms
2 172.16.3.1 (172.16.3.1) 4.010 ms 3.465 ms 3.470 ms
3 gw.infra.ds.melbicom.net (213.183.48.1) 4.015 ms * 3.986 ms
4 185.131.64.113 (185.131.64.113) 3.852 ms 4.072 ms 3.863 ms
5 82.138.2.153 (82.138.2.153) 8.238 ms 6.981 ms 7.848 ms
6 188.254.60.169 (188.254.60.169) 4.909 ms 7.860 ms 4.924 ms
7 213.59.211.245 (213.59.211.245) 4.565 ms 4.624 ms
213.59.212.231 (213.59.212.231) 6.512 ms
8 188.254.8.154 (188.254.8.154) 4.719 ms 4.440 ms 4.473 ms
9 msk-bgw1-xe-1-3-0-0.rt-comm.ru (217.106.0.14) 4.618 ms 4.533 ms
msk-bgw1-xe-0-2-0-0.rt-comm.ru (217.106.6.166) 5.041 ms
10 srv192-vps-st.jino.ru (217.107.219.12) 5.007 ms !Z 4.801 ms !Z 4.695 ms !Z

2. Заворачивать Весь трафик кроме 10 подсети. (подсеть провайдера)
3. По списку 1-2 правило. Остальное через обычное подключение в wan.

CHR, VPS\VDS, VPN l2t+ipsek настройка и проблемы

Вход • Регистрация