+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Обеспечение безопасности подключения к серверу L2TP/IPsec

Обеспечение безопасности подключения к серверу L2TP/IPsec, RouterOS

karentom

Guest

20.01.2012 11:02:00

У меня успешно настроен сервер l2tp/ipsec на Mikrotik RB для работы с Windows-клиентом, использующим IPsec с предустановленным ключом. При поиске информации я наткнулся на очень интересный туториал http://www.jacco2.dds.nl/networking/openswan-l2tp.html#Firewallwarning по настройке l2tp/ipsec сервера на Linux, где даётся важное замечание по дополнительному укреплению безопасности l2tp.

На Mikrotik у меня настроен firewall фильтр, который пропускает только UDP порт 500, IP протокол 50 (ESP) и UDP порт 1701 (L2TP). Всё работает, но я всегда рад учиться и хочу сделать систему ещё более защищённой, особенно в части усиления безопасности L2TP, как рекомендовано в том туториале.

Может, кто-то более опытный подскажет советы или рекомендации по защите сервера Mikrotik, которые я упустил? Особенно меня интересует возможность сделать так, чтобы L2TP туннель работал ТОЛЬКО в связке с IPsec — чтобы доступ к L2TP интерфейсу/демону имели только прошедшие IPsec-аутентификацию клиенты.

В туториале упоминается ipsec интерфейс, и я этого не понимаю — я думал, что интерфейс только один, L2TP, а IPsec — это не интерфейс? Что-то я упускаю?

Буду очень-очень благодарен за любую помощь! Заранее спасибо!

andyanthoine

Guest

16.09.2015 04:59:00

Ребята, привет!!! Такая же история: настроил L2TP IPSEC с MKT и заметил, что люди могут подключаться вообще без использования IPSEC… то есть никакой безопасности. Кто-нибудь видел, как это «принудительно включить»? Спасибо!

marrold Guest	#3 0 16.09.2015 06:11:00 Обратите внимание на новенькие правила сопоставления политик IPSEC. Убедитесь, что у вас установлена свежая версия ROS. http://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Ipsec_Policy_Matcher

Kamaz

Guest

14.08.2017 19:50:00

Всем привет, я новичок в ROS, но надеюсь, что моё сообщение будет кому-то полезным. Чтобы защитить L2TP, я использую такие правила:
/ip firewall filter
add action=drop chain=input comment="Блокировка IP при переборе L2TP" connection-state=new dst-port=1701 protocol=udp src-address-list=l2tp-brutforce
add action=add-src-to-address-list address-list=l2tp-brutforce address-list-timeout=2w chain=input comment="Добавление IP перебора L2TP в список" connection-state=new dst-port=1701 protocol=udp src-address-list=probe3
add action=add-src-to-address-list address-list=probe3 address-list-timeout=2m chain=input comment="Этап 3 защиты от перебора L2TP" connection-state=new dst-port=1701 protocol=udp src-address-list=probe2
add action=add-src-to-address-list address-list=probe2 address-list-timeout=2m chain=input comment="Этап 2 защиты от перебора L2TP" connection-state=new dst-port=1701 protocol=udp src-address-list=probe1
add action=add-src-to-address-list address-list=probe1 address-list-timeout=1m chain=input comment="Этап 1 защиты от перебора L2TP" connection-state=new dst-port=1701 protocol=udp

b3h3m07h

Guest

17.08.2017 05:17:00

Я использую следующие правила с port knocking и сопоставлением политик ipsec (нет необходимости открывать порт 1701 UDP):

/ip firewall filter
add action=add-src-to-address-list address-list=port_knock_tcp_ph1 address-list-timeout=10s chain=input comment="PORT KNOCK" dst-port=51412 in-interface=ISP1 protocol=tcp
add action=add-src-to-address-list address-list=port_knock_tcp_ph2 address-list-timeout=10s chain=input comment="PORT KNOCK" dst-port=13231 in-interface=ISP1 protocol=tcp src-address-list=port_knock_tcp_ph1
add action=add-src-to-address-list address-list=port_knock_secure address-list-timeout=1d chain=input comment="PORT KNOCK" dst-port=32451 in-interface=ISP1 protocol=tcp src-address-list=port_knock_tcp_ph2
add action=accept chain=input comment=ESP in-interface=ISP1 protocol=ipsec-esp src-address-list=port_knock_secure
add action=accept chain=input comment=ESP in-interface=ISP1 protocol=ipsec-ah src-address-list=port_knock_secure
add action=accept chain=input comment="UDP 500" dst-port=500 in-interface=ISP1 protocol=udp src-address-list=port_knock_secure
add action=accept chain=input comment="UDP 4500" dst-port=4500 in-interface=ISP1 protocol=udp src-address-list=port_knock_secure
add action=accept chain=input comment="ipsec policy matcher" in-interface=ISP1 ipsec-policy=in,ipsec

Kamaz Guest	#6 0 19.08.2017 08:58:00 Как вы используете такую схему на клиентской стороне? И какие у вас типы клиентов? Я имею в виду Windows, Mikrotik или что-то другое.

Kamaz

Guest

20.08.2017 18:13:00

Я использую l2tp + IPSec, и в логах много записей типа: aug/20/2017 04:12:00 216.218.206.70 failed to get valid proposal. aug/20/2017 bla-bla-bla… 216.218.206.66, wrong password. Как мне вытащить эти IP из лога, чтобы заблокировать их через фаервол? Можно ли использовать обычные регулярные выражения?

b3h3m07h

Guest

21.08.2017 14:33:00

Клиентами являются Windows, Android и iOS. Я использую приложение для стука по порту из Play Market и App Store. После стука клиент добавляется в защищённый список, что является одним из требований для подключения. Без стука порт для этого устройства закрыт. Для Windows я просто загуглил port knocker. Завтра, когда буду перед компьютером, скину ссылку.

Kamaz Guest	#9 0 21.08.2017 14:54:00 Спасибо за быстрый ответ. Нет нужды искать ссылки и программы, я понял основную идею вашей схемы. Проблема была в том, что я не знал про софт для port-knocking на Android и iOS.

Kamaz Guest	#10 0 09.10.2017 18:34:00 Я нашёл способ защитить свой VPN https://github.com/Onoro/Mikrotik — похоже, работает.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры