-
IT café
Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.
Új hozzászólás Aktív témák
-
net84
őstag
Sziasztok!
Van valami olyan rendszer, amivel figyelni lehetne a routerben a különböző bejelentkezési kísérleteket? Magyarán, valami, ami elemzi a LOG-ot ilyen téren (pptp/l2tp/stb.)? ...és természetesen riasztást is tud küldeni kiugró érték esetén.
Óránként van 5-10 csatlakozási kísérlet különböző user nevekkel, illetve jó lenne jelzést kapni, ha valamely kollégánál hiba van pl. a VPN kapcsolatban, esetleg kikerült hitelesítő adat illetéktelen irányba.
Persze ott van minden a LOG-ban, de ahhoz be kell jelentkezni, aktívan figyelni és lapozgatni kell azt.
PRTG - Mikrotik monitorozásban esetleg van valakinek gyakorlata?Read only...
-
net84
őstag
válasz Reggie0 #17004 üzenetére
Attól kevésbé, hogy kitalálják valamelyik user (admin) nevet a routeren, de lehetetlen ugyebár nincs.
Röviden visszapörgettem, nem egészen 3 óra alatt 25+ bejelentkezési kísérlet. Csak az utolsó 1 órában 8... Ez teljesen természetes, nem nevezhető soknak?
Nagy gondunk szerencsére eddig nem volt, de a felhasználói hibát sosem lehet kizárni. Pl. ezért lenne jó a VPN-es csatlakozásokat is monitorozni valamilyen formában. Ezzel azért nagyobb az esély a bejutásra...Read only...
-
net84
őstag
Sziasztok!
Mitől kaphat fix IP-s gép DHCP-n további 10db IP címet? Nem tudom mióta megy ez így, de 3 eszköz esetén is ez a jelenség játszódik le.
[kép]RB3011 oldja meg a DHCP-t. A 3 eszköz mindegyike egy-egy IBM szerver. Nem teljesen egyformák, de mindháromban ugyanolyan hálókártya van. Más-más feladatot látnak el.
Leases-ből kitörlés után az látszik, hogy 1-2 perc elteltével percenként újabb és újabb IP-t kap.Read only...
-
net84
őstag
(és #18024 Audience)
TS is van, igen. Részben meg is lett a hiba, de nem volt köze hozzá. Egyéb kapcsolat címén volt egy virtuális hálózat még régről. Tiltottnak kellett volna lennie, de mégis aktiválta magát (vagy az MS "segített"). Törölve lett a két érintetten és el is dobták a 10-10 IP címet. A harmadiknak más szerepe van, de azon is meg van az IP lopkodó szolgáltatás és kordában tartva most csak kettőt kér be a fizikai címe mellé.Tanuló pénz volt a tegnapi nap... Kicsit többször kell ellenőrizni a Leases-t és a LOG-ot. Most sem piszkáltuk volna, ha nem fogy el az IP a tartományból. De akárhogyan is számoltuk, nem jött ki a matek és sokkal több cím volt kiosztva, mint amennyi eszköz egy időben lóghat az adott tartományban.
Read only...
-
net84
őstag
Sziasztok!
Adott egy RB3011 router. A VPN kapcsolatokat ez az eszköz kezeli. Emögött van egy tartományi hálózat AD-vel, sok okos szabállyal.
Gond akkor van, ha eltér az AD user/pass a VPN user/pass-tól. Ez elég gyakran eltér, mert 30-60 naponta kötelesek jelszót cserélni a felhasználók. Ilyenkor a Windows AD hitelesítés nem teljesül és hibás bejelentkezés miatt tiltja a szerver a felhasználót.
Tudom, ez részben a Windows hibája, mert nem néz a VPN mögé és annak a hitelesítési adataival ellenőrzi a jogosultságot, amin egyből meg is bukik.
Van valami "egyszerűbb" módszer arra, hogy működjön a belső hitelesítés a routeren keresztül, VPN kapcsolat esetén? RADIUS szerveres megoldást használ valaki?Read only...
-
net84
őstag
Igen, aki jogosult azt felvesszük a Mikrotikbe. Ha jól nézem most annyi változás lesz, hogy csinálok pl. egy VPN group-ot az AD-ben és ezt adom meg a beállításoknál. Így aki bent van, az be tud hitelesíteni.
A Secrets-ből ki kell szednem a jelenleg beállított profilokat (a felhasználónévben van azonosság), ha ezután a RADIUS-t akarom használni?
Read only...
-
net84
őstag
-
net84
őstag
L2TP/IPsec VPN-nél:
ipsec,error no suitable proposal found.
ipsec,error x.x.x.x failed to pre-process ph2 packet.
Ezt addig dobálja a log-ba, amíg nincs mégsézve a VPN kapcsolat. (X helyén az IP cím)
PPTP VPN-nél:
pptp,ppp,error <1215>: user tesztuser authentication failed - radius timeout
Ezt nagyjából azonnal dobja, ahogy kapcsolódni próbál.Ha viszont rossz felhasználó nevet írok be (pl. olyat, ami nem is létezik), akkor újra kéri a hitelesítést.
Eszerint átjárható a dolog, csak a hitelesítéssel van gond?A teszt felhasználó nincs beállítva a Mikrotik-en. A routerben eszerint van beállítva a RADIUS szerver. A Windows szerveren is ezzel a rendszeren van beállítva.
Read only...
-
net84
őstag
Gondolkodtam a RADIUS tesztelésén, no de hogyan...
Nincsenek blokkolva a portok és másik szolgáltatás sem használja azokat.
Hitelesítésnél az első kettő nálunk aktív. Nem is akarja engedni a levételt így utólag...A furcsa, hogy a kísérletekről nincs LOG bejegyzés a RADIUS szerveren. Így már szinte biztos, hogy a Mikrotik nem kér hitelesítést az AD-ből, mert nem kommunikálnak (nincs forgalmazás sem abba az irányba a VPN kapcsolódási kísérletkor).
Közben egy másik szerveren is lepróbáltuk és oda is beállítottuk a RADIUS szervert. A routerben is átállítottuk az újra a beállításokat, de semmi változás.Read only...
-
net84
őstag
A ping működik a szerver IP-re.
A portok "szabadok" a tűzfalon.
A bekarikázott részek így épülnek fel Nálad a Mikrotik-ben?Úgy néz ki, hogy a routerből nem jut ki a hitelesítési kérés (nem a fentiek szerint van nálunk a VPN beállítva) és ezért nincs a log-ban sem bejegyzés szerver oldalon.
#18138 Audience - Köszi! Nekem ez most magas...Ha jól néztem és értelmeztem, szövegesen adom meg a hitelesítési adatokat routeren belül?
Read only...
-
net84
őstag
Köszönöm, lepróbálom eszerint (nagyon nem így van belőve a PPP profil sem).
#18147 vkp - Köszönöm! Hasznos appnak ígérkezik.
Parancssorból és a Tik-ből is tudom pingelni a szerver IP-t.
NTRadping-el viszont: No response from server (time out) - belső hálóból, tartományból a 1812 és 1813 portokon is. Mégsem jó a RADIUS a Windows szerveren (és akkor nem a Mikrotik-ot kellene csesztetnem)?Read only...
-
net84
őstag
Szegény Mikrotik... és a végén nem is az a hunyó.
RADIUS Client beállítva, az Address a router IP-je. Shared secret szintén beállítva.
Network Policies is be van állítva a lenti link(ek) szerint.A beállításoknál az alap kiindulás ez volt, majd eszerint mentünk tovább. De ez utóbbi már inkább a Mikrotik beállításai miatt.
Túrtam a netet és néztem a Network Policies beállításait, mintha ez-az hiányozna...Read only...
-
net84
őstag
Abban esetleg tudsz segíteni, hogy a felvett Network Policy-nél mi a jó beállítás? Főként az Authentication Methods (használható több?) és a Settings - Standard Attributes fülön...
Illetve jelenleg (most a Mikrotik kezeli a VPN felhasználókat és oda vannak felvéve az user-ek) a VPN-el becsatlakozó gépek teljesen más IP tartományba kerülnek (szándékosan). Ez nem zavarhat be a RADIUS szerveres hitelesítésbe?Read only...
-
net84
őstag
válasz Audience #18175 üzenetére
Tiszta sor. Radius kliens be van állítva, ott a Mikrotik IP-je. A Mikrotik-ben be van állítva a RADIUS server is.
A Network Policy beállításokra gondoltam fentebb. Azt mégsem lehet elhagyni, hiszen ott állítok be minden fontosat (?)...
NTRadPing Test-el viszont hálón belül sem érem el a szervert (time out). Kívülről próbálkozva pedig a Mikrotik log-ban jelenik meg Radius server time out bejegyzés.Ma pl. átállítottam erre a Win szervert (MikroTik bekezdés szerint). Így sem lett változás.
Read only...