- Log acesso vpn pptp
+ Responder ao Tópico
-
Log acesso vpn pptp
Bom dia a todos,
Estou com o seguinte problema aqui na empresa que eu sou gerente, temos 3 rb e nelas configuradas vpn e em todas estão tendo log de TCP connection established from 000.000.000.000 uns ips aleatórios e além disso nas rb das filiais não consigo ativar o drop sem derrubar as vpns, estou desesperado pois já formos rackeado 3 vezes e trocamos os routes a pouco tempo e o cara nem config. de firewall fez.
Quem puder me dar dicas e me ajudar agradeço de ♥ .
-
Re: Log acesso vpn pptp
PPTP utiliza TCP porta 1723 e GRE47
# Primeiro cria uma lista de interfaces e adiciona a sua interface de entrada do link "WAN"
- Isso é importante porque vai dizer em qual sentido a conexão vai ser filtrada.
/interface list
add name=WAN
# depois adiciona a interface na lista criada, no caso utilizei a ether1 como exemplo.
/interface list member
add interface=ether1 list=WAN
# Cria uma lista com os ips públicos fixos de suas filiais, Ou se o ip for dinâmico você pode utilizar o serviço de cloud do mikrotik que também vai funcionar.
/ip firewall address-list
add address=100.100.100.1 list=FILIAL
add address=100.100.100.2 list=FILIAL
#
- exemplo da filial 1 = IP 100.100.100.1
- exemplo da filial 2 = IP 100.100.100.2
#
# Por ultimo adiciona a regra de bloqueio no firewall
/ip firewall filter
add action=drop chain=input comment="Limitar acesso vpn pptp" dst-port=1723 in-interface-list=WAN protocol=tcp src-address-list=!FILIAL
No exemplo acima o firewall vai bloquear qualquer ip de origem diferente dos ips da lista filial,
na interface de entrada ether1 na porta tcp 1723, faça o teste e veja se vai parar o log de tentativas de conexão.
Deste modo a regra vai permitir conexão externas de VPN PPTP somente para os ips das filiais e vai bloquear o restante.
Outra dica é utilizar o profile default-encryption, nome de usuário extenso e uma senha aleatória bem forte.
Esse tipo de serviço no mikrotik não é recomendado por ser vulnerável, mas se for a sua única opção espero que ajude. Você também pode utilizar vpn ipsec é mais segura.
-
Boa Noite, fiz exatamente isso, eu criei uma add list com os ips das filiais, e fiz a seguinte regra,
dropa tcp, input exceto ips da filiais e testei tudo e resolveu, porém estou com um outro problema em relação a conexão de usuários, pois tem funcionários que acessam de casa e o ip não é fixo.
Futuramente vou criar outra ltp2+ipsec.
-
Re: Log acesso vpn pptp