1 - Russian Users MikroTik

Sertik · 11 ноя 2021, 09:16

Для чего у Вас NAT для подключаемого клиента по VPN ?
Напишите правило NAT

daniil.inyutin · 11 ноя 2021, 10:33

Sertik писал(а): ↑11 ноя 2021, 09:16 Для чего у Вас NAT для подключаемого клиента по VPN ?
Напишите правило NAT

Приветствую.
Мне не надо дописывать доп. правила. Мне просто нужен скрипт и все.

Sertik · 11 ноя 2021, 13:31

А мне чтобы Вам помочь нужно понимать что у Вас и как работает. Я же не ясновидящий.

daniil.inyutin · 11 ноя 2021, 13:54

Sertik писал(а): ↑11 ноя 2021, 13:31 А мне чтобы Вам помочь нужно понимать что у Вас и как работает. Я же не ясновидящий.

У меня это все устроено внутри своего микротика. Создал правило, создал юзеров. VPN я даже не трогал. Т.к только начинаю изучать микрот

Sertik · 11 ноя 2021, 21:04

Тогда боюсь Вам никто не поможет ибо вообще не ясно что Вы хотите и делаете ...

dima.plut · 17 ноя 2021, 10:36

daniil.inyutin писал(а): ↑10 ноя 2021, 14:32 Приветствую.
Мне нужна помощь с написании скрипта. Его суть:
В PPP secrets уже созданные клиенты. В Firewall (NAT) есть правила, прописанные адреса. Надо скрипт, который будет проверять адреса у PPP клиентов в secrets. Если айпи есть в Firewall (NAT), то клиент не удаляется. А если клиент есть, но его айпи не прописан в Firewall (NAT), то он удаляется.

P.S я знаю, что в PPP profile можно вписать Address List и уже на этот AL ПРАВИЛО файрвола прописать.

Мне просто нужна помощь с скриптом)

Не совсем понятно "удаление клиента", имеется виду запрет на сессию или удаление профайла из Secrets ?
Если определенным ip просто запретить устанавливать соединение? Если использовать другое VPN (l2tp например) подключение с персональным ключем?

Описали бы подробнее для чего вам такая задача.

daniil.inyutin · 17 ноя 2021, 11:52

Не совсем понятно "удаление клиента", имеется виду запрет на сессию или удаление профайла из Secrets ?
Если определенным ip просто запретить устанавливать соединение? Если использовать другое VPN (l2tp например) подключение с персональным ключем?

Описали бы подробнее для чего вам такая задача.

Удаление клиента идет из PPP Secrets, если для него в NAT правила нет. Мне не нужно ничего запрещать и не надо использовать какие либо подключения.

dima.plut · 23 ноя 2021, 17:17

Удаление клиента идет из PPP Secrets, если для него в NAT правила нет. Мне не нужно ничего запрещать и не надо использовать какие либо подключения.

То есть предположем что у некого Иванова Ивана есть ip vpn сервера и логин пароль для создания vpn подключения. Если Иванов И. подключается с ip не из "белого списка" то его логин и пароль удаляется?! Зачем?!

Извините я не самый умный человек но ваши объяснения для чего "козе баян" я пока не понял. Объясните нормально и полностью суть задачи и я уверен вам помогут, а не по фразе в трех постах.

- Идем в адрес лист firewall и создаем белый и чёрный списки нужный блокируем не нужный разрешаем.
- Создали черные и белые списки и в профиле VPN указываем в соответственной строке нужный адрес лист и пользователь сможет подключатся только с одного IP.

23 ноя 2021, 18:45

dima.plut писал(а): ↑23 ноя 2021, 17:17
Удаление клиента идет из PPP Secrets, если для него в NAT правила нет. Мне не нужно ничего запрещать и не надо использовать какие либо подключения.
То есть предположем что у некого Иванова Ивана есть ip vpn сервера и логин пароль для создания vpn подключения. Если Иванов И. подключается с ip не из "белого списка" то его логин и пароль удаляется?! Зачем?! Извините я не самый умный человек но ваши объяснения для чего "козе баян" я пока не понял. Объясните нормально и полностью суть задачи и я уверен вам помогут, а не по фразе в трех постах.

- Идем в адрес лист firewall и создаем белый и чёрный списки нужный блокируем не нужный разрешаем.
- Создали черные и белые списки и в профиле VPN указываем в соответственной строке нужный адрес лист и пользователь сможет подключатся только с одного IP.

При таком раскладе администратор должен удалять профиль, содержащий скомпрометированую пару логин-пароль до того, как ею кто-то соберётся воспользоваться. А не городить огород вокруг своих ошибок. В идеальном варианте каждому профилю свой сервер запускаем. Как только профиль скомпрометирован, удаляется и профиль и server-binding. При невозможности отделить профили ( например не вёлся учёт или только пришёл на новое рабочее место) правила безопасности требуют перевыпуск ВСЕХ профилей с выдачей их ФАКТИЧЕСКИМ юзерам и никак не "в бухгалтерию надо 23 пары логин-пароль". Всё с занесением ФИО в журнал и привязкой по времени. В противном случае это борьба с ветряными мельницами. Так же пишется докладная на руководство с пояснением, что в обходной лист при увольнении должен быть включен IT-отдел (именно для контроля и своевременного удаления профилей увольняющихся). Ну и дальше по протоколам безопасности...

P.S.: Пользователь daniil.inyutin предупреждён, тема закрыта. Не стоит прятать свои ошибки, на них нужно учиться самому и позволять учиться другим...

1

Вход • Регистрация