Jump to content

MikroTIK IKEv2


MR_Sample
 Share

Recommended Posts

Sveiki tātad ir darbojos satups mikrotik SXT LTE6  un HIKVISION KAMERA kas darbojas no Priekšapmaksas kartes  BEZ DDNS vai STATISKĀS IP

Tas viss darbojas ar IKEv2 tuneli kam pa virsu ir EOIP.

 

Jautājums kā izveidot NAT lai varētu piekļūt HIKVISION kamerai ar jau iedotu STATISKO IP (Man ir vairākas ip no ISP) tobiš ideja tāda kad ejot uz Statisko ip piemeram 85.255.X.X tu caur tuneli pa taisno tiec pie ip kameras. PARASTAIS NAT nedarbojas

 

Ja kādam intresē viss setups darbojas ļoti stabili un nav kolhoza variants :D:D

20210614_140854.jpg

20210614_235421.jpg

Link to comment
Share on other sites

Rūterī jāveido porta forwards. Ārējo portu, pie kura arī slēdzies no ārpuses, liec kādu gribi(saprāta robežās), forwardē to uz portu , pa kādu pie kameras slēdzies no iekšienes. Neticu, ka port forwards nedarbosies. 

Ja domā VPN... tad rūterī liec VPN servisu, pie kura arī slēdzies. 

Jebkurā gadījumā paliek aktuāls jautājums par to  kā identificēt ārējo IP, kura var dinamiski mainīties. Tādiem mērķiem parasti izmanto DynDNS, https://www.noip.com/ vai līdzīgus servisus.

Link to comment
Share on other sites

MR_Sample
(labots)
26 minutes ago, rubb said:

Rūterī jāveido porta forwards. Ārējo portu, pie kura arī slēdzies no ārpuses, liec kādu gribi(saprāta robežās), forwardē to uz portu , pa kādu pie kameras slēdzies no iekšienes. Neticu, ka port forwards nedarbosies. 

Ja domā VPN... tad rūterī liec VPN servisu, pie kura arī slēdzies. 

Jebkurā gadījumā paliek aktuāls jautājums par to  kā identificēt ārējo IP, kura var dinamiski mainīties. Tādiem mērķiem parasti izmanto DynDNS, https://www.noip.com/ vai līdzīgus servisus.

🤦‍♂️ Paldies par atbildi bet laikam neiedziļinājies jautājumā runā par ko visam citu!

Labots - MR_Sample
Link to comment
Share on other sites

Pēc būtības tā arī dara.
'Hub' pusē, kur ir statiskā ip taisa portu forwardu un inside adresi norādi kameras IP, kas ir EOIP tuneļa 'spoke' galā.

Klasiskajā IPSEC variantā tieši tā tas arī strādā - galvenais tāpat tuneli pacelt, routingu uztaisīt un firewall rulles sadefinēt. done.

 

Kāpē NAT nearbojas? - eoip ierobežojums? 

Ja ierobežojums, tad kāpēc vajag taisīt EOIP? kamera ar kaut ko sazinās caur L2 uz 'hub'? Ja eoip nav obligāta prasība - pārmet to uz klasiskāku tuneli.

 

Ja jāpaliek pie eoip, tad alternatīva ir taisīt Remote vpn savienojumu (ovpn piemēram) uz centrālo (hub) mikrotiku un tad jau konektēties uz iekšējo kameras IP bez NAT translācijas.

 

 

 

 

Link to comment
Share on other sites

  • 2 years later...
VebKamera
(labots)

Baigi negribējās cept jaunu tēmu. Bet varbūt pat būtu jātaisa atsevišķa tēma ar MT konfigurācijas lietām.

 

Klau, MT guru - kā vienkāršākajā bet korektākajā veidā taisīt MT hairpin, ja tas hairpin vajadzīgs uz daudziem nestandarta portiem (ne tikai uz slaveno 80-to).

Es te esmu vairākus klasiskos variantus mēģinājis, man kaut kā nestrādā pareizi, ja grib lai no iekšējā tīkla aiziet uz https://domēns.com tieši 1235 portu. Kas, protams, ir tajā pašā iekšējā tīklā.

 

Varbūt sintaksi kāc var uzrakstīt?

 

Nu piemēram, klienc ir 192.168.1.x, bet https://domēns.com serveris sēž uz 192.168.1.10 un cītīgi klausās uz 1235 portu

Labots - VebKamera
Link to comment
Share on other sites

Pat tuvu neesmu guru, bet man plex serveris, kas sēž uz iekšējās adreses, rakstot servera nosaukumu un portu, strādā šādi:

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.88.20 protocol=tcp dst-address=!192.168.88.0/24 dst-address-type=local dst-port=32400 comment="Hairpin to Plex"
/ip firewall nat add chain=srcnat action=masquerade protocol=tcp src-address=192.168.88.0/24 dst-port=32400 comment="Local to Local Plex"

Link to comment
Share on other sites

uldise

vienam portam tas strādā, biedrs prasija kā var uzreiz vairākiem portiem. es pats šādi esmu taisijis pavienam portam tikai.

Link to comment
Share on other sites

Cik daudziem? Find/replace, un pasto tik komandrindā iekšā. Ja simtiem, tad protams nav aršana.

Link to comment
Share on other sites

VebKamera

Izskatās līdzīgi, kā jau iepriekš taisīju, bet patestēšu kā darbojas un padošu ziņu. Thnx.

Link to comment
Share on other sites

HIGH-Zen
pirms 16 stundām , VebKamera teica:

Baigi negribējās cept jaunu tēmu. Bet varbūt pat būtu jātaisa atsevišķa tēma

Kas tev pirksti nokaltīs, ja izveidosi jaunu tēmu? Atkal viens kabinātājs sačakarē random tēmu.

Link to comment
Share on other sites

HIGH-Zen
22.06.2021. , 11:07, MR_Sample teica:

Jautājums kā izveidot NAT lai varētu piekļūt HIKVISION kamerai ar jau iedotu STATISKO IP

Tāds bija jautājums. Un attiecīgas atbildes. Tagad jāpārtin visas atbildes, lai saprastu, ka kāds pēc 2 gadiem ir piekabinājis tēmai savu jautājumu un atbildes ir atkal nākošajam jautājumam.

  • Patīk 1
Link to comment
Share on other sites

VebKamera
1 stundu atpakaļ, HIGH-Zen teica:

Atkal viens kabinātājs sačakarē random tēmu.

 

 

😘💗🥰

Link to comment
Share on other sites

VebKamera

Starp citu, stilīgi - ielīdu ka savā MT. Sen nebiju līdis. Burtiski izmisīgi kāds centies ielīst no krievijas :) Un nav man tāds jūzeris "admin" aktīvs :)

 

image.png.50935032c8ca03affa1b45a036db5f4f.png

 

image.png.d23b82d2312c59b4f08a3b88291da18a.png

 

 

Link to comment
Share on other sites

AndrisBB

Maz jau ticams ka tur kāds maunuāli mēģina ielīst.

Kautkādi boti skanē visas IP addreses pēc kārtas un testē uz vienkāršākajām kļūdām, varbūt kāds atstājis defaulto passwordu.

 

 

 

 

 

  • Patīk 4
Link to comment
Share on other sites

VebKamera

uzrādās kā winbox?

 

Link to comment
Share on other sites

uldise

nu tikko tu atstāj Winbox uz āru vaļā, uzreiz viņu mēģina atlauzt. pareizi jau biedrs saka, ka to manuāli neviens nedara, bet skanē visu cauri.

Link to comment
Share on other sites

AndrisBB
Pirms 9 minūtēm , uldise teica:

nu tikko tu atstāj Winbox uz āru vaļā, uzreiz viņu mēģina atlauzt.

Un diezgan liela iespēja ka arī atradīs kādu 'caurumu'. (ja atstāj pieeju 'uz āru')

Link to comment
Share on other sites

maize

Vienīgais par ko jāsatraucas, ka tas vispār ir iespējams - no ārpuses visu ir jābloķē.

Pieslēdzot pasaulei "tīru" IP, kura gadiem nav bijusi nevienam, roboti ir klāt pēc pāris minūtēm - nebeidzami un automātiski skenē visas IP.

Mikrotikam, diemžēl, ir bijušas vairākas nopietnas ievainojamības, kas tika un, joprojām, tiek izmantotas, lai pārņemtu iekārtu un izmantotu dažādām vajadzībām.

Link to comment
Share on other sites

AndrisBB

Nu ja IP ir nonākusi 'redzeslokā', kautkāda informācija ievākta, kas pa devaisu pieslēgts, kādi servisi eksistē utt, tad jau tiks tiks padota tālāk 'specializētākiem' botiem, kur maz ticams kāda aktivitāte tiks manīta log failos.

Link to comment
Share on other sites

pauls
17 hours ago, uldise said:

vienam portam tas strādā, biedrs prasija kā var uzreiz vairākiem portiem. es pats šādi esmu taisijis pavienam portam tikai.

Ja porti ir sekvenciāli, vari norādīt arī portu diapazonu. T.i.

dst-port=32400-33400

 

Link to comment
Share on other sites

VebKamera
pirms 3 stundām , maize teica:

Bez variantiem, tur viss ir atstrādāts, tas ir reāls bizness.

 

Incanti, ir vērts bleklistot šitās IP adreses, jebvai viņi katru reizi mauc no citas?

Link to comment
Share on other sites

Var teorijā blaclistot, bet kā pieredze rāda, tad vislabāk ir izmantot konfigurāciju, kurā ''viss ir aizliegts'' un atļauts ir tikai tas, ko tu pats atļauj. Respektīvi, pēdējā rule- drop=all.

Winbox protams nav ieteicams ''spīdināt'' uz ārpasauli. Ja izmanto vpn, tad arī var izveidot address-listus , no kuriem ir iespējama pieslēgšanās un tad tavi ''log'' logi būs tīri un bez sarkaniem ierakstiem.

Link to comment
Share on other sites

maize
(labots)
Pirms 38 minūtēm , VebKamera teica:

Incanti, ir vērts bleklistot šitās IP adreses, jebvai viņi katru reizi mauc no citas?

Vienīgais drošais risinājums ir liegt jebkādu piekļuvi no ārpuses. Ja pašam ir vajadzība attālināti pieslēgties - tunelis vai @Boņs minētā klauvēšanās.
"Viņu" ir daudz un, ja pārņem jaunu iekārtu var turpināt skenēt no tās un tā tālāk pa ķēdi.

Tīri intereses nolūkos viens dzelzis taisa 7 dienu blacklistu, tur, piemēram, SSH ir 2k+ IP, "tava" interesanta IP gan tur neredzu :)
Un blacklisti nekādā veidā nepalīdzēs pret ievainojamībām kurām nav nepieciešams veikt ielogošanos, vai portu skenēšanu.

+ nekas neliedz portu skenēšanu vai ielogošanos veikt ilgā laika periodā, pāris failed login, blaklistā neliek un pienāk nākamajā dienā, kad atkārto to pašu

 

Labots - maize
Link to comment
Share on other sites

Pirms 3 minūtēm , maize teica:

Tīri intereses nolūkos viens dzelzis taisa 7 dienu blacklistu

kā tu tik lietu listi dabū gatavu? :)  Tava IP ir trāpījusi kādā ''divainā vietnē?

 

Link to comment
Share on other sites

AndrisBB
Pirms 59 minūtēm , VebKamera teica:

Incanti, ir vērts bleklistot šitās IP adreses, jebvai viņi katru reizi mauc no citas?

Kapēc tu domā ka bots ir vispār no RU? Varbūt vienkārši kautkāds VPN servers pa vidam. Varbūt ķīnieši tevi tur grib uzhakot un rītdien IP būs no Portugāles. 

Link to comment
Share on other sites

AlCohol

ja pašam no ārpuses nekas nav nepieciešams, var vispār no wan visu aizliegt. tā, parasti, tiek darīts ar parastu front end useru mikrotikiem, lai nav jālauza galva ar apdeitiem.

Link to comment
Share on other sites

mafijs
pirms 9 stundām , VebKamera teica:

Burtiski izmisīgi kāds centies ielīst no krievijas

Vajag izveidot adresu listi ar "atļautajām IP' , parasti LV adreses vajadzīgās, un frewall uz input winbox portam to iekabināt. viss. nekādas kreisās adreses netraucē.

 

image.png.973b82f90a8b7e1897b4240a94bb665d.png

Link to comment
Share on other sites

Stepselis
pirms 1 stundas , mafijs teica:

izveidot adresu listi ar "atļautajām IP'..... viss. nekādas kreisās adreses netraucē.

Ir jau tā izdarīts, bet bombordē tāpat.

 

Winbox.jpg

Link to comment
Share on other sites

1) aiztaisam ciet visus neizmantojamos portus

2) nespīdinam to 8291 uz ārpasauli

3) ja tik ļoti vajag piekļūt pie winbox, izmantojam ipsec vpn, wiregurd.....

4) ja vēl kāds bombī no ārpuses, tas nozīme ka ir biku kļūda firewall filtrācijā un nav tomēr aizvērts viss, ko vajadzētu aizvērt

 

Link to comment
Share on other sites

mafijs
Pirms 15 minūtēm , Stepselis teica:

Ir jau tā izdarīts, bet bombordē tāpat.

Nezinu gan, man klusums, pie tam vismaz piecās vietās tā uzlikts un klusums.

 

Link to comment
Share on other sites

AndrisBB
Pirms 1 minūtes , mafijs teica:

Nezinu gan, man klusums, pie tam vismaz piecās vietās tā uzlikts un klusums.

 

Kāds IP?

Link to comment
Share on other sites

Stepselis
Pirms 3 minūtēm , mafijs teica:

vismaz piecās vietās tā uzlikts un klusums.

Man vismaz divreiz vairāk, bet tikai vienā vietā čamda.

Link to comment
Share on other sites

mafijs

Varbūt tur kaut kās no iekšpuses dzivojas kāds zvērudārzs ? Un izsauc "uguni uz sevi" ,  tā nevarētu būt?
Nekas jau nenāk prātā cits, Konfgi gan jau identiski, iespēju robežās.

Link to comment
Share on other sites

uldise
Pirms 22 minūtēm , mafijs teica:

LMT , Tet, Bite.

un visiem šiem ir ārējās IP adreses, lai kāds tur varētu tikt vispār ?

Link to comment
Share on other sites

maize

@Stepselis tev gadījumā netiek logots viss, tai skaitā jebkurš mēģinājums izveidot konekciju? Bez firewall export grūti ko vairāk iekomentēt.

 

 

Link to comment
Share on other sites

Izveido kontu, vai pieraksties esošajā, lai komentētu

Jums ir jābūt šī foruma biedram, lai varētu komentēt tēmas

Izveidot jaunu kontu

Piereģistrējies un izveido jaunu kontu, tas būs viegli!

Reģistrēt jaunu kontu

Pierakstīties

Jums jau ir konts? Pierakstieties tajā šeit!

Pierakstīties tagad!
 Share

×
×
  • Izveidot jaunu...