نمایش نتایج: از شماره 1 تا 5 از مجموع 5
سپاس ها 3سپاس
  • 1 توسط shahani
  • 2 توسط shahani

موضوع: مشکل در اتصال تانل در میکروتیک

  
  1. #1
    نام حقيقي: علیپور

    عضو عادی
    تاریخ عضویت
    Feb 2010
    محل سکونت
    تهران
    نوشته
    498
    سپاسگزاری شده
    20
    سپاسگزاری کرده
    87

    مشکل در اتصال تانل در میکروتیک

    با سلام
    ما در شبکه از میکروتیک استفاده میکنیم و برای ازتباط با اینترنت از رایود وایرلس به جای مودم استفاده کردیم. به این صورت که رادیو رو به یکی از پورتهای میکروتیک وصل کردیم و در میکروتیک برای اتصال به اینترنت از کانکشن pppoe استفاده کردیم.
    ما از isp تعداد 2 عدد ip static خریداری کردیم و چون تعداد ip بیش از یک عدد هست هنگام اتصال کانکشن pppoe به اینترنت به طور اتوماتیک ip static به کانکشن ppoe اختصاص داده نمیشه و خود میکروتیک رو با استفاده از nat اینترنت دار کردم.
    حالا میکروتیک اینترنت داره و ping هم به همه سایتها از طریق میکروتیک هست اما ما میخواهیم به یک شعبه دیگرمون تانل بزنیم همه تنظیمات تانل رو صحیح انجام میدیم و ping آی پی اون یکی شعبه رو هم داریم ولی تانل وصل نمیشه.
    چطوری اینو حلش کنم؟



    موضوعات مشابه:

  2. #2
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    573
    سپاسگزاری شده
    445
    سپاسگزاری کرده
    55
    اگه NAT کردین، باید از پورت فوروارد استفاده کنید و پورت های مورد استفاده تانل رو فوروارد کنید روی میکروتیک سرور.
    اما من واقعا درک نمیکنم چرا از آی پی های استاتیک خودتون در روتر استفاده نمیکنید؟ آی پی استاتیک خودتون رو میتونید از بخش IP/Address مستقیم به اینترفیس PPPoE اختصاص بدین یا به همون اینترفیسی که به رادیو متصل هست.
    بدون نیاز به NAT کردن باید خود روتر شما اینترنت داشته باشه و بعد شبکه پشت روتر رو فقط NAT کنید، اما اگه آی پی ها رو واسه دستگاه های داخل شبکه لازم دارید و روترتون هیچ آی پی برای استفاده نداره، باز میتونید پورت ها تانل خودتون رو ریدایرکت کنید روی خود روتر و نگذارید داده هاشون به دستگاه های دیگه بره


    javadkey سپاسگزاری کرده است.

  3. #3
    نام حقيقي: علیپور

    عضو عادی
    تاریخ عضویت
    Feb 2010
    محل سکونت
    تهران
    نوشته
    498
    سپاسگزاری شده
    20
    سپاسگزاری کرده
    87
    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    اگه NAT کردین، باید از پورت فوروارد استفاده کنید و پورت های مورد استفاده تانل رو فوروارد کنید روی میکروتیک سرور.
    اما من واقعا درک نمیکنم چرا از آی پی های استاتیک خودتون در روتر استفاده نمیکنید؟ آی پی استاتیک خودتون رو میتونید از بخش IP/Address مستقیم به اینترفیس PPPoE اختصاص بدین یا به همون اینترفیسی که به رادیو متصل هست.
    بدون نیاز به NAT کردن باید خود روتر شما اینترنت داشته باشه و بعد شبکه پشت روتر رو فقط NAT کنید، اما اگه آی پی ها رو واسه دستگاه های داخل شبکه لازم دارید و روترتون هیچ آی پی برای استفاده نداره، باز میتونید پورت ها تانل خودتون رو ریدایرکت کنید روی خود روتر و نگذارید داده هاشون به دستگاه های دیگه بره
    اگه از بخش IP/Address مستقیم به اینترفیس PPPoE اختصاص بدیم یا به همون اینترفیسی که به رادیو متصل هست مشکلی که پش میاد اینه که همه پورتها اتوماتیک از اینترنت و خارج از شبکه به سمت روتر فوروارد میشن اما از روشی که من استفاده کردم در ابتدا هیچ پورتی به هیچ جا در شبکه فوروارد نیست و اگه مثلا یکی از اینترنت و خارج از شبکه بخاد به پورت مثلا 8080 متصل بشه این پورت به هیچ جایی از شبکه وصل نمیشه مگر اینکه پورت رو با Dst-nat فورارد کنم و میتونه امنیت شبکه رو بالا ببره. حالا نمیدونم این برداشت من درسته که امنیت بالا میره یه نه؟ نظر شما چیه؟

    و یه سوال اینکه آیا اگه من روتر رو با nat اینترنت دار نکنم با روشی که شما گفتید روتر اینترنت دار میشه؟


    ویرایش توسط javadkey : 2020-09-11 در ساعت 03:52 PM

  4. #4
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    573
    سپاسگزاری شده
    445
    سپاسگزاری کرده
    55
    نقل قول نوشته اصلی توسط javadkey نمایش پست ها
    اگه از بخش IP/Address مستقیم به اینترفیس PPPoE اختصاص بدیم یا به همون اینترفیسی که به رادیو متصل هست مشکلی که پش میاد اینه که همه پورتها اتوماتیک از اینترنت و خارج از شبکه به سمت روتر فوروارد میشن اما از روشی که من استفاده کردم در ابتدا هیچ پورتی به هیچ جا در شبکه فوروارد نیست و اگه مثلا یکی از اینترنت و خارج از شبکه بخاد به پورت مثلا 8080 متصل بشه این پورت به هیچ جایی از شبکه وصل نمیشه مگر اینکه پورت رو با Dst-nat فورارد کنم و میتونه امنیت شبکه رو بالا ببره. حالا نمیدونم این برداشت من درسته که امنیت بالا میره یه نه؟ نظر شما چیه؟

    و یه سوال اینکه آیا اگه من روتر رو با nat اینترنت دار نکنم با روشی که شما گفتید روتر اینترنت دار میشه؟
    پاسخ سوال اول
    بله قطعا امنیت رو بالا میبره، دردسر های کانفیگ های امنیتی در روتر را بشدت کاهش میده، من خودم اکثرا همین روش را بکار میبندم و فقط پورت های مورد نیاز خودم رو از اینترنت به داخل شبکه پورت فوروارد و یا همون Dst-Nat میکنم
    اما شما باید به یک نکته خیلی مهم توجه کنید، اگه هیچگونه آی پی پابلیک و عمومی رو هیچ تجهیزات خودتون نداشته باشید، مسیریابی از اینترنت به دستگاه های شما انجام نمیشه و ارائه دادن سرویس رو براتون غیر ممکن میکنه، درست مثل زمانی که ای اس پی های ارزان قیمت بجای دادن آی پی پابلیک، مشترکین خودشون رو به سمت اینترنت NAT میکنن.
    بنابراین به عنوان مثال در شبکه من که میکروتیک و دیگر تجهیزات من توسط NAT اینترنت دار شدن، بازهم یک آی پی پابلیک وجود داره که روی اینترفیس مودم من تنظیم شده و درخواست های خارجی به سمت مودم میرن، حالا در مودم تصمیم گیری اولیه در مورد پورت فورارد شدن داده اولیه به سمت شبکه داخلی، در لبه شبکه انجام میشه.

    ----
    پاسخ پرسش دوم

    خب حالا شما بجای مودم، یک رادیو دارید، بنابراین در قدم اول، حتما آی پی های استاتیک دریافتی خودتون رو باید از بخش IP/Address به اینترفیس وایرلس رادیو خودتون اختصاص بدین تا کاربران روی اینترنت بتونن با شبکه شما و سرویس هاس شما ارتباط پیدا کنن و مسیریابی اولیه انجام بشه.

    اما در مرحله دوم، برای حفظ امنیت شبکه خودتون و قرار دادن اون پشت یک NAT ، حتما باید بریج موجود در رادیو خودتون رو که اینترفیس Wlan1 و eth1 رو باهم در سطح لایه دو متصل کرده، حذف کنید.
    در این حالت درسته که اینترفیس وایرلس شما از اینترنت در دسترس همه قرار داره، اما از این اینترفیس به اینترفیس Eth1 شما که حکم Gateway روتر میکروتیک رو داره هیچ ارتباط مستقیمی وجود نخواهد داشت. (مشابه زمانی که کانکشن PPPoE در مودم های ADSL روی خود اونها قرار میگیره و ارتباط داخل شبکه NAT میشه)

    همینطور شما میتونید در رادیو خودتون روی پورت Eth0 ، سرور DHCP راه اندازی کنید و همینطور یک NAT به جهت برقرار اینترنت روتر میکروتیک با اینترنت در رادیو تعریف کنید.

    در این حالت دیگه هیچ دسترسی مستقیم به هیچ پورتی از سرویس های شبکه داخلی شما، از روی شبکه اینترنت در دسترس نیست و میتونید در بخش فایروال فیلتر رادیو نیز، قوانین سخت گیرانه ای در خصوص عدم پینگ شدن ای پی های پابلیک شما از روی اینترنت، کنترل و حساسیت زیاد روی داده های ورودی به اینترفیس وایرلس رادیو، اعمال کنید.

    از طرف دیگه بیایید و در رادیو Dst-Nat بسازید و پورت یا پورت های مورد نظر تانل خودتون رو به سمت شبکه داخلی پورت فوروارد کنید.

    به عنوان مثال برای تونل PPTP یک dst-Nat مانند زیر نیاز است:

    کد:
    /ip firewall nat add chain=dstnat dst-address="Your-Public-IP" protocol=tcp dst-port=1723 in-interface=wlan1 action=dst-nat to-addresses=192.168.1.2
    (که مثلا آی پی eth1 رادیو برابر با 192.168.1.1 و eth1 روتر 192.168.1.2 هست)

    و برای L2TP+ipsec پورت فورواردی مانند وضعیت زیر :
    کد:
    /ip firewall nat add chain=dstnat dst-address="Your-Public-IP" protocol=udp dst-port=500,1701,4500 in-interface=wlan1 action=dst-nat to-addresses=192.168.1.2
    همینطور در روتر میکروتیک خودتون میتونید اجازه اتصال به تونل را فقط ای پی، استاتیک سایت دوم خودتون بدین.
    یا میتونید برای جلوگیری از بروت فورس شدن و مورد حمله قرار گرفتن تونل شما توسط هکر ها به هدف پیدا کردن یوزر و پسورد تونل هاتون ،
    مشابه تنظیمات زیر به هر آدرس آی پی بیشتر از سه مرتبه فرصت خطا وارد کردن، نام کاربری و رمز عبور را ندهید و در مرتبه خطا وارد کردن چهارم اون آی پی ارسال کننده بصورت خودکار ارتباطاتش با روتر دراپ بشه و یا معطل نگه داشته بشه ...

    کد:
    /ip firewall filter add action=tarpit chain=input comment="tarpit Attacker" protocol=tcp src-address-list="Attacker_BlockList" add action=drop chain=input comment="dropping Attacker" src-address-list="Attacker_BlockList" add action=add-dst-to-address-list address-list="Attacker_BlockList" address-list-timeout=2w chain=output comment="PPP Bruteforce Add BlockList" content="M=bad" dst-address-list=Login_stage3 log=yes add action=add-dst-to-address-list address-list=Login_stage3 address-list-timeout=15m chain=output content="M=bad" dst-address-list=Login_stage2 add action=add-dst-to-address-list address-list=Login_stage2 address-list-timeout=5m chain=output content="M=bad" dst-address-list=Login_stage1 add action=add-dst-to-address-list address-list=Login_stage1 address-list-timeout=2m chain=output content="M=bad" dst-address=!192.168.1.0/24



    ویرایش توسط shahani : 2020-09-12 در ساعت 12:58 AM
    EVERAL و javadkey سپاسگزاری کرده‌اند.

  5. #5
    نام حقيقي: علیپور

    عضو عادی
    تاریخ عضویت
    Feb 2010
    محل سکونت
    تهران
    نوشته
    498
    سپاسگزاری شده
    20
    سپاسگزاری کرده
    87
    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    پاسخ سوال اول
    بله قطعا امنیت رو بالا میبره، دردسر های کانفیگ های امنیتی در روتر را بشدت کاهش میده، من خودم اکثرا همین روش را بکار میبندم و فقط پورت های مورد نیاز خودم رو از اینترنت به داخل شبکه پورت فوروارد و یا همون Dst-Nat میکنم
    اما شما باید به یک نکته خیلی مهم توجه کنید، اگه هیچگونه آی پی پابلیک و عمومی رو هیچ تجهیزات خودتون نداشته باشید، مسیریابی از اینترنت به دستگاه های شما انجام نمیشه و ارائه دادن سرویس رو براتون غیر ممکن میکنه، درست مثل زمانی که ای اس پی های ارزان قیمت بجای دادن آی پی پابلیک، مشترکین خودشون رو به سمت اینترنت NAT میکنن.
    بنابراین به عنوان مثال در شبکه من که میکروتیک و دیگر تجهیزات من توسط NAT اینترنت دار شدن، بازهم یک آی پی پابلیک وجود داره که روی اینترفیس مودم من تنظیم شده و درخواست های خارجی به سمت مودم میرن، حالا در مودم تصمیم گیری اولیه در مورد پورت فورارد شدن داده اولیه به سمت شبکه داخلی، در لبه شبکه انجام میشه.

    ----
    پاسخ پرسش دوم

    خب حالا شما بجای مودم، یک رادیو دارید، بنابراین در قدم اول، حتما آی پی های استاتیک دریافتی خودتون رو باید از بخش IP/Address به اینترفیس وایرلس رادیو خودتون اختصاص بدین تا کاربران روی اینترنت بتونن با شبکه شما و سرویس هاس شما ارتباط پیدا کنن و مسیریابی اولیه انجام بشه.

    اما در مرحله دوم، برای حفظ امنیت شبکه خودتون و قرار دادن اون پشت یک NAT ، حتما باید بریج موجود در رادیو خودتون رو که اینترفیس Wlan1 و eth1 رو باهم در سطح لایه دو متصل کرده، حذف کنید.
    در این حالت درسته که اینترفیس وایرلس شما از اینترنت در دسترس همه قرار داره، اما از این اینترفیس به اینترفیس Eth1 شما که حکم Gateway روتر میکروتیک رو داره هیچ ارتباط مستقیمی وجود نخواهد داشت. (مشابه زمانی که کانکشن PPPoE در مودم های ADSL روی خود اونها قرار میگیره و ارتباط داخل شبکه NAT میشه)

    همینطور شما میتونید در رادیو خودتون روی پورت Eth0 ، سرور DHCP راه اندازی کنید و همینطور یک NAT به جهت برقرار اینترنت روتر میکروتیک با اینترنت در رادیو تعریف کنید.

    در این حالت دیگه هیچ دسترسی مستقیم به هیچ پورتی از سرویس های شبکه داخلی شما، از روی شبکه اینترنت در دسترس نیست و میتونید در بخش فایروال فیلتر رادیو نیز، قوانین سخت گیرانه ای در خصوص عدم پینگ شدن ای پی های پابلیک شما از روی اینترنت، کنترل و حساسیت زیاد روی داده های ورودی به اینترفیس وایرلس رادیو، اعمال کنید.

    از طرف دیگه بیایید و در رادیو Dst-Nat بسازید و پورت یا پورت های مورد نظر تانل خودتون رو به سمت شبکه داخلی پورت فوروارد کنید.

    به عنوان مثال برای تونل PPTP یک dst-Nat مانند زیر نیاز است:

    کد:
    /ip firewall nat add chain=dstnat dst-address="Your-Public-IP" protocol=tcp dst-port=1723 in-interface=wlan1 action=dst-nat to-addresses=192.168.1.2
    (که مثلا آی پی eth1 رادیو برابر با 192.168.1.1 و eth1 روتر 192.168.1.2 هست)

    و برای L2TP+ipsec پورت فورواردی مانند وضعیت زیر :
    کد:
    /ip firewall nat add chain=dstnat dst-address="Your-Public-IP" protocol=udp dst-port=500,1701,4500 in-interface=wlan1 action=dst-nat to-addresses=192.168.1.2
    همینطور در روتر میکروتیک خودتون میتونید اجازه اتصال به تونل را فقط ای پی، استاتیک سایت دوم خودتون بدین.
    یا میتونید برای جلوگیری از بروت فورس شدن و مورد حمله قرار گرفتن تونل شما توسط هکر ها به هدف پیدا کردن یوزر و پسورد تونل هاتون ،
    مشابه تنظیمات زیر به هر آدرس آی پی بیشتر از سه مرتبه فرصت خطا وارد کردن، نام کاربری و رمز عبور را ندهید و در مرتبه خطا وارد کردن چهارم اون آی پی ارسال کننده بصورت خودکار ارتباطاتش با روتر دراپ بشه و یا معطل نگه داشته بشه ...

    کد:
    /ip firewall filter add action=tarpit chain=input comment="tarpit Attacker" protocol=tcp src-address-list="Attacker_BlockList" add action=drop chain=input comment="dropping Attacker" src-address-list="Attacker_BlockList" add action=add-dst-to-address-list address-list="Attacker_BlockList" address-list-timeout=2w chain=output comment="PPP Bruteforce Add BlockList" content="M=bad" dst-address-list=Login_stage3 log=yes add action=add-dst-to-address-list address-list=Login_stage3 address-list-timeout=15m chain=output content="M=bad" dst-address-list=Login_stage2 add action=add-dst-to-address-list address-list=Login_stage2 address-list-timeout=5m chain=output content="M=bad" dst-address-list=Login_stage1 add action=add-dst-to-address-list address-list=Login_stage1 address-list-timeout=2m chain=output content="M=bad" dst-address=!192.168.1.0/24
    ممنون و تشکر جهت توضیحات کامل و خوب



کلمات کلیدی در جستجوها:

هیچ کلمه ای ثبت نشده است.

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •