Пн, 21.08.2017, 15:02
Форум інформатиків України
Головна Реєстрація Вхід
Вітаю Вас, Гість · RSS
Вітання на форумі
Незнайомець
 Вітаємо на форумі,
Незнайомцю!

   
зареєструйтесь
Перед реєстрацією обов’язково прочитайте:
 Оновлення Учасники Пошук
Особисті повідомлення
Видавництво ’’Аспект’’ Видавництво

Сторінка 1 з 41234»
Модератор форуму: НІКОЛЯ, Ktara, Bandalak, volevikt 
Форум інформатиків » РОЗДІЛ ІХ: ІНТЕРНЕТ, МЕРЕЖІ, ХОСТІНГ » 9.2 Мережні технології » Шифрування в Mikrotik (обговорення)
Шифрування в Mikrotik
Ковальчук_Олександр Дата: Нд, 15.05.2011, 21:28 | Повідомлення № 1
Ветеран спілкування
Повідомлень: 3616
Нагороди: 17
Рейтинг: 192
В даній темі пропонується поговорити про можливі варіанти організації шифрування в Mikrotik 4.x

В чому суть моєї проблеми? Маємо 40 клієнтів, які підключені до 3х різних базових станцій на основі Mikrotik 411AH з встановленою Mikrotik Router OS 4.14. В перспективі розширення до 70 клієнтів. Шифрування відключено, тобто будь-який користувач може підключитись до станції і використовувати інтернет без обмеження швидкості. Але окрім того і існуючі клієнти змінюють ІР-адреси і отримують безлім по швикості, тим самим забираючи трафік на себе. Постала необхідність включити шифрування щоб, по-перше, ніхто лівий не міг підключитись і отримувати інтернет, а по-друге, не балувались існуючі клієнти. Кожному клієнту виділено 2 ІР-адреси: для точки доступу та локальної мережі.
Потрібно зробити щось типу прив’язки мак-адрес - ІР-адрес, щоб при зміні ІР-адреси на модемі і (або) на мережеві платі інтернет пропадав. Ну і щоб ніхто лівий не міг підключитись.
Хто підкаже як зробити такі налаштування або дасть посилання на мануал, буду дуже вдячний.
Як я розумію, шифрування включається тут (див. малюнок), але як його правильно налаштувати і які потрібні налаштування з боку клієнта, не ясно.

Andrey123q Дата: Нд, 15.05.2011, 23:11 | Повідомлення № 2
Досвідчений учасник
Повідомлень: 1236
Нагороди: 3
Рейтинг: 84
я конечно не большой специалист по mikrotik, но возникли такие соображения.
1) настроить DHCP-сервер в котором статически привязать IP к MAC-адресам
2) можно поднять VPN сервер (pptp) - создать пользователей, определить для них локальные адреса, адрес шлюза
3) в таблицах маршрутизации разрешить доступ во внешнюю сеть только адресам клиентов (например, которые выдаются при подключении по vpn)
4) ограничить скорости можно во вкладке winbox "Queues" (т.ск. "vpn адресам" адресам, чтобы не ограничивать скорость в локальной подсети)

Додано (15.05.2011, 22:11)
---------------------------------------------
Судя по скрину вы настраиваете Wi-Fi ?

Ковальчук_Олександр Дата: Нд, 15.05.2011, 23:12 | Повідомлення № 3
Ветеран спілкування
Повідомлень: 3616
Нагороди: 17
Рейтинг: 192
Без 100 грамм не разобраться :) Нужны скриншоты.
Andrey123q Дата: Пн, 16.05.2011, 00:09 | Повідомлення № 4
Досвідчений учасник
Повідомлень: 1236
Нагороди: 3
Рейтинг: 84
Если на виртуалках найду mikrotik - выложу :) а то по гуглу то что нужно не могу найти.
Несколько инструкций из инета:
1) по DHCP серверу - http://technovesti.ru/mikroti....fi.html
по-моему во вкладке Leases отображаются IP которые выдаются, там же кнопкой static (или make static) можно сделать IP статическим
2) по VPN: http://wiki.mikrotik.com/wiki/PPTP_Server_With_Profile

Додано (15.05.2011, 22:43)
---------------------------------------------
по VPN во вкладке PPP сначала создаете PPTP-сервер, а потом там же во вкладке secrets - пользователей
Т.е. логика такая:
1) при подключении к сети юзер получает IP от DHCP-сервера, но при этом выхода в инет у него еще нет
2) потом через созданное на кампе vpn-подключение вводит логин и пароль, которые были созданы во вкладке РРР->secrets, он подключается к vpn-серверу, при этом ему выдается второй IP-шник, который вводился там же во вкладке РРР->secrets
3) юзер получает выход в инет - если на шлюзе 2а интерфейса (WAN и LAN) то в winbox во вкладке IP-firewall (если не ошибаюсь), nat прописывается только для т.ск. "vpn-адресов"

Хотя может vpn тут лишний - можно просто привязать IP к MAC и ограничить для них скорости и все.

Додано (15.05.2011, 23:09)
---------------------------------------------
Как у вас сейчас выдаются айпишники клиентам? Прописываете вручную на машинах или выдаются с микротика по DHCP ?

Відредаговано: Andrey123q - Нд, 15.05.2011, 23:45
volodschool2 Дата: Пн, 16.05.2011, 01:00 | Повідомлення № 5
Досвідчений учасник
Повідомлень: 1328
Нагороди: 12
Рейтинг: 247
Я роблю так:
IP => ARP , ПКМ на кожному ІР і вибираю "Make Static". Можна натиснути "+" і добавити нову пару ІР-МАС. Тепер інтернет може отримувати тільки той, в кого співпадають ІР компа з МАС точки доступу. Але тут ще є один нюанс, в інтерфейсі, який дивиться в мережу клієнтів необхідно змінити значення ARP з "enabled" на "reply-only"

Відредаговано: volodschool2 - Пн, 16.05.2011, 01:02
Ковальчук_Олександр Дата: Пн, 16.05.2011, 01:17 | Повідомлення № 6
Ветеран спілкування
Повідомлень: 3616
Нагороди: 17
Рейтинг: 192
Дякую, хлопці!
volodschool2, взавтра спробую. Здається, це те, що я хотів. Тоді потреба вмикати шифрування відпадає?
volodschool2 Дата: Пн, 16.05.2011, 01:27 | Повідомлення № 7
Досвідчений учасник
Повідомлень: 1328
Нагороди: 12
Рейтинг: 247
Quote (Ковальчук_Олександр)
Тоді потреба вмикати шифрування відпадає?

Так
Andrey123q Дата: Пн, 16.05.2011, 02:20 | Повідомлення № 8
Досвідчений учасник
Повідомлень: 1236
Нагороди: 3
Рейтинг: 84
Хотя MAC конечно тоже можно подменить, но думаю вряд ли кто-то до такого дойдет.
Кстати, насчет шифрования: WPA WEP для Wi-Fi лучше не используйте - ломается за 5 мин. :)

Відредаговано: Andrey123q - Пн, 16.05.2011, 11:28
НІКОЛЯ Дата: Пн, 16.05.2011, 10:11 | Повідомлення № 9
Знавець вірусів
Повідомлень: 2877
Нагороди: 17
Рейтинг: 197
Quote (Andrey123q)
Кстати, насчет шифрования: WPA для Wi-Fi лучше не используйте - ломается за 5 мин

B) WPA PSK TIK 256 БІТНИЙ КЛЮЧ ЦІКАВО ПРИБЛИЗНО ЯК B)
volodschool2 Дата: Пн, 16.05.2011, 11:04 | Повідомлення № 10
Досвідчений учасник
Повідомлень: 1328
Нагороди: 12
Рейтинг: 247
Quote (Andrey123q)
Хотя MAC конечно тоже можно подменить

Так, можна все зробити. Але ж всі МАС+ІР мають бути записані в журналі адміна, який завжди може виявити підміну. Відправте його (юного хакера) в баню. А щодо шифрування, то я відмовився від нього, зайве гальмо для системи та й знайдуться юні хакери, що будуть пробувати його ломати. Використовую фільтри по МАС-адресах на базовій станції. До базової станції можуть підключитися тільки ті ТД, МАС котрих дозволений на базі. Тобто, фільтр по МАС на ТД і прив’язка МАС+ІР на мікротіку не дозволяє безконтрольно користуватись інтернетом.
Andrey123q Дата: Пн, 16.05.2011, 11:12 | Повідомлення № 11
Досвідчений учасник
Повідомлень: 1236
Нагороди: 3
Рейтинг: 84
Quote (НІКОЛЯ)
WPA PSK TIK 256 БІТНИЙ КЛЮЧ ЦІКАВО ПРИБЛИЗНО ЯК

извиняюсь, не wpa, a WEP :) %)
wpa по-моему только брутофорсом (в упрощенном варианте)

Відредаговано: Andrey123q - Пн, 16.05.2011, 11:18
volodschool2 Дата: Пн, 16.05.2011, 12:11 | Повідомлення № 12
Досвідчений учасник
Повідомлень: 1328
Нагороди: 12
Рейтинг: 247
Quote (Ковальчук_Олександр)
Шифрування відключено, тобто будь-який користувач може підключитись до станції і використовувати інтернет без обмеження швидкості

Щось тут не так, невже Ви в файрволі не створили список ІР, яким дозволено вихід в інтернет?
Ковальчук_Олександр Дата: Пн, 16.05.2011, 12:27 | Повідомлення № 13
Ветеран спілкування
Повідомлень: 3616
Нагороди: 17
Рейтинг: 192
Я поступив більш радикальніше - створив списки в Queues з ІР-адресами, які не зайняті і виставив для них нулеву швидкість. Зрозуміло, що це не оптимальний варіант, сьогодні буду пробувати Ваш.
Мені здається Фільтр по мак + мак+ІР хорошим варіантом.
volodschool2 Дата: Пн, 16.05.2011, 12:58 | Повідомлення № 14
Досвідчений учасник
Повідомлень: 1328
Нагороди: 12
Рейтинг: 247
Quote (Ковальчук_Олександр)
Я поступив більш радикальніше - створив списки в Queues з ІР-адресами, які не зайняті і виставив для них нулеву швидкість.

Може це й радикальне, але не оптимальне рішення. Я робив так: http://www.youtube.com/watch?v=plfanjnP5ps
Врахуйте, що тут треба прописувати тільки ІР компів, для ТД цього робити не потрібно.

Відредаговано: volodschool2 - Пн, 16.05.2011, 13:01
Andrey123q Дата: Пн, 16.05.2011, 13:36 | Повідомлення № 15
Досвідчений учасник
Повідомлень: 1236
Нагороди: 3
Рейтинг: 84
Quote (volodschool2)
Може це й радикальне, але не оптимальне рішення. Я робив так: http://www.youtube.com/watch?v=plfanjnP5ps

я делал немного не так. То же создается правило NAT как в видео, только без привязки к списку адресов из Address List.
Плюс во вкладке Filter Rules создаются правила, которые сначала разрешают (accept) форвардинг (forward) определенным адресам (src address), а после запрещают остальным (deny forward your_subnet) - важна последовательность, правила просматриваются сверху вниз (от меньших номеров к большим).

Відредаговано: Andrey123q - Пн, 16.05.2011, 13:40
Форум інформатиків » РОЗДІЛ ІХ: ІНТЕРНЕТ, МЕРЕЖІ, ХОСТІНГ » 9.2 Мережні технології » Шифрування в Mikrotik (обговорення)
Сторінка 1 з 41234»
Пошук:


© Форум інформатиків України, 2007-2017.