Mikrotik RouterOS новая функция Cloud

[SPAX]

xvo
2. бегло глянул, там тоже получается нужен белый лист...а это физически не возможно, ведь заходить могу с разных устройств...
3. пока гремучий лес для меня...вообще не разбирался...

Сейчас столкнулся с очередной проблемой... на камеру то в браузере заходит, а вот приложения по Onvif не могут цепануться...при попытке счётчик в NATе прибавляется, но приложение в телефоне пишет не получилось....

[xvo]

2. бегло глянул, там тоже получается нужен белый лист...а это физически не возможно, ведь заходить могу с разных устройств...

Не нужен. Там весь смысл - добавить на время в белый список тот адрес, с которого правильно постучались.

3. пока гремучий лес для меня...вообще не разбирался...

Ничего сложного, l2tp + ipsec настраивается на трех вкладках. Плюс пара правил firewall'а.

Сейчас столкнулся с очередной проблемой... на камеру то в браузере заходит, а вот приложения по Onvif не могут цепануться...при попытке счётчик в NATе прибавляется, но приложение в телефоне пишет не получилось....

Может там ещё какой-то порт дополнительно нужно пробросить?

В общем и в этом тоже прелесть впн - настраивается один раз, а доступ есть везде куда надо, не надо для каждого нового сервиса снова пробрасывать порты.

[Vlad-2]

Сейчас исход такой, сделал 2.1 и 3 и теперь пускает на камеру по клоуд адресу + порт! Но на сам МТ не пускает (на 2ip пишет порт 80 и 8291 закрыты)...
Вопрос в следующем, сейчас у меня будет пускать всех кому не лень на камеру, верно? Т.е. её надо защитить хорошим паролем? (доступ по IP не варик, могу заходить с разных устройств всегда....)
Тот же вопрос и касается самого МТ, как его защитить от левых?

Вам xvo ответил почти по всем вопросам, я бы наверно исходил так,
если это одна камера и Вы пока плаваете с настройками, то сделать
хороший пароль на камеру и пока всё, на какой-то период хватит, естественно,
как и посоветовал xvo - выбрать не стандартный номер порта.
Обычно китайцем взламывать камеру мало интересно.
На крайний случай -раз в месяц можно порт менять.
У нас так или иначе повально открывают порты, и открывают и для камер,
а и для видеорегистраторов и для прочего.

На счёт доступа к МТ из вне, Вам надо разобраться в файрволе, он у Вас заводской,
я с ним не работаю, мне проще свой использовать, порт винбокса тоже можете
сменить, главное заведите себя (отдельная учётка) с хорошим паролем, зайдите
под ней, и уже будучи под новым аккаунтом - отключите админа.
НЕТ админа - уже намного легче. Также как я и советовал ранее, надо отключить
все службы роутера (почти все, в целом отключить можно всё, кроме винбокса).

Не забудьте сделать копию конфига.

P.S.
Если кол-во камер, надёжность и прочее будут расти - вот тут уже ВПН думаю самое то.
Чем сеть и её функционал больше, проще уже не сеть открывать наружу, а сделать
ВПН, чтобы попадать в сеть и уже будучи внутри ней, работать полноценно, по любым
внутренним адресам и портам.

P.P.S.
Если сделаете доступ на микротик, можно тогда с мобильного приложения заходить
на роутер, включать правило проброса, заходить на камеру, потом проброс на камеру
отключать и всё. Лишнее движение, зато порт камеры у Вас будет отключён всегда.
Мобильное приложение (аля винбокс) Микротиковцы сделали и поддерживают,
в целом в нём уже приятно работать. НЕ идеальный вариант, такой промежуточный,
но считаю что и он имеет право на жизнь.

[xvo]

P.P.S.
Если сделаете доступ на микротик, можно тогда с мобильного приложения заходить
на роутер, включать правило проброса, заходить на камеру, потом проброс на камеру
отключать и всё. Лишнее движение, зато порт камеры у Вас будет отключён всегда.
Мобильное приложение (аля винбокс) Микротиковцы сделали и поддерживают,
в целом в нём уже приятно работать. НЕ идеальный вариант, такой промежуточный,
но считаю что и он имеет право на жизнь.

Ой. Ну вот это вообще неудобно: подключить единожды настроенный впн на любом компе/телефоне - это пара кликов. А каждый раз заходить что-то менять в конфигурации - да ну. Уж пусть лучше тогда эта несчастная камера светится на каком-нибудь левом порту.

Тут же вопрос не стоит ребром: проброс vs впн.
Для каких-то задач, и в каких-то определенных условиях, одно удобнее и логичнее, для других вводных - другое.

В моём понимании, порты - это когда:
1) какой-то сервис делается общедоступным (пример: любой вебсайт).
2) делается для себя, но подключения должны происходить в фоне, без участия пользователя (пример: прокси для телеграма).

Для тех случаев когда подключение к сервису это осознанное, атомарное, пусть даже и достаточно частое, действие пользователя - тогда впн.

[Vlad-2]

Ой. Ну вот это вообще неудобно: подключить единожды настроенный впн на любом компе/телефоне - это пара кликов. А каждый раз заходить что-то менять в конфигурации - да ну. Уж пусть лучше тогда эта несчастная камера светится на каком-нибудь левом порту.

1) ну я же его предложил как средний такой варианчик
2) ВПН не всегда уместен, ни в организациях (не хотят/не могут), иногда не согласовывается (ниже опишу),
не всегда есть технические моменты (нету адресации внешней, нету наличие железки под это дело), и прочее.

Тут же вопрос не стоит ребром: проброс vs впн.
Для каких-то задач, и в каких-то определенных условиях, одно удобнее и логичнее, для других вводных - другое.

Согласен, но ВПН это всё же я считаю определённый сервис, который надо правильно настраивать и администрировать.
А не так, бац-бам и готово.

На счёт несогласованности:
есть разные конторы (скажем два офиса), один хочет так подключаться (к примеру по L2TP), второй
хочет лишь по OpenVPN - вот и оба и не могут согласоваться.
Бывает и нет желания, один админ хочет чтоб было только по его, другой хочет иначе.

На счёт ВПНа и в рамках клиентских моментов (это с телефонов/планшетов и т.д):
а) есть ряд провайдеров которые режут ВПН-овские протоколы
б) где-то это вообще не работает (начиная от ПО в телефоне, до... ограничения каких-то)
в) не всегда уместно в рамках простого клиента (то есть когда клиент обычный пользователь
домашний, только-только начал пользоваться чем-то и сразу ему ВПН изучать и настраивать,
это всё равно что на рыбалку брать не генератор, а сразу с собой атомную станцию возить).

Кажется я Sertik'у говорил в своё время - ВПН это новый уровень, новый подход, к нему
каждый пользователь/админ должен подойти осознанно, выбрав стратегию, логику,
изучить и настроить.

[xvo]

Да, это в общем все понятно.
Но, во-первых, большая часть технических или административных трудностей все-таки решаема, при должном желании/умении. Во-вторых, часть того, что все-таки решить нельзя для впн, так же нельзя решить и для простого проброса - отсутствие внешнего адреса, засады на стороне провайдера и т.д.
Ну и самое главное, конкретно в текущий "исторический" период, в связи со всем хайпом вокруг блокировок и их обходов, впн проникает, можно сказать, даже на "уровень домохозяек": куча сервисов, куча статей/мануалов/гайдов по настройке, у каждого второго личная VPS на хетцнере и т.д. Так что почитать, разобраться в теме, очень даже полезно, и в духе времени.

[SPAX]

Спасибо за ответы, поизучаю ещё port-knocking. ВПН точно не вариант, я хочу малинку, как сервер для Blynk повесить, а к ней будут цепляться девайсы с разных мест...там точно впн не сделать....
Не понятно, почему все пишут поменять пользователя...нельзя что ли просто в админе поменять всё?

[xvo]

Спасибо за ответы, поизучаю ещё port-knocking. ВПН точно не вариант, я хочу малинку, как сервер для Blynk повесить, а к ней будут цепляться девайсы с разных мест...там точно впн не сделать....

Это получится, что на всех девайсах надо будет зашивать алгоритм простукивания портов, так что лучше тогда вообще не заморачивайтесь.

Не понятно, почему все пишут поменять пользователя...нельзя что ли просто в админе поменять всё?

А что "всё" то? Пользователь - это просто пара логин/пароль и набор прав доступа.
И вот если брутфорсят пароль, то именно к дефолтному логину.
А когда имя пользователя нестандартное, то взломать могут, только используя какую-то уязвимость.
А если и порт поменять на нестандартный, то тогда никто даже с открытой уязвимостью вас ломать не станет и можно спокойно дожить до того, как уязвимость закроют.

[SPAX]

Это получится, что на всех девайсах надо будет зашивать алгоритм простукивания портов, так что лучше тогда вообще не заморачивайтесь.

Понял, тогда оставляю так...

А что "всё" то? Пользователь - это просто пара логин/пароль и набор прав доступа.
И вот если брутфорсят пароль, то именно к дефолтному логину.
А когда имя пользователя нестандартное, то взломать могут, только используя какую-то уязвимость.
А если и порт поменять на нестандартный, то тогда никто даже с открытой уязвимостью вас ломать не станет и можно спокойно дожить до того, как уязвимость закроют.

Понятно. Заменил.

На счёт доступа к МТ из вне, Вам надо разобраться в файрволе, он у Вас заводской,
я с ним не работаю, мне проще свой использовать, порт винбокса тоже можете
сменить, ......

Я не трогаю файрвол т.к. не знаю как правильно его настроить и боюсь оставить дыру...везде где смотрел по-разному делают....
Если подскажете, какие параметры конкретно сделать, то настрою, попробуем проверить))

[Vlad-2]

Я не трогаю файрвол т.к. не знаю как правильно его настроить и боюсь оставить дыру...везде где смотрел по-разному делают....

Ну файрволл = это как сочинение, нет правильно или не правильно, у каждого свои вкусы, виды, предпочтения.

Если подскажете, какие параметры конкретно сделать, то настрою, попробуем проверить))

Увы, по файрволам можно книги писать и будет мне кажется мало.

Задача основная = те порты, что у Вас открыты, надо защитить, порт ДНСа, 53,
вот его надо снаружи (на внешнем интерфейсе) закрыть, при этом внутри он должен
обязательно быть доступен в полном объёме.

А в целом логика простая:
а) описываем что можно, как можно и так далее
б) описываем что-то ещё не типичное
в) последними правилами закрываем явно всё не определённое.
(это если очень кратко и сжато).