+ Responder ao Tópico



  1. #1

    Unhappy Log acesso vpn pptp

    Bom dia a todos,
    Estou com o seguinte problema aqui na empresa que eu sou gerente, temos 3 rb e nelas configuradas vpn e em todas estão tendo log de TCP connection established from 000.000.000.000 uns ips aleatórios e além disso nas rb das filiais não consigo ativar o drop sem derrubar as vpns, estou desesperado pois já formos rackeado 3 vezes e trocamos os routes a pouco tempo e o cara nem config. de firewall fez.
    Quem puder me dar dicas e me ajudar agradeço de ♥ .

  2. #2

    Padrão Re: Log acesso vpn pptp

    PPTP utiliza TCP porta 1723 e GRE47

    # Primeiro cria uma lista de interfaces e adiciona a sua interface de entrada do link "WAN"
    - Isso é importante porque vai dizer em qual sentido a conexão vai ser filtrada.

    /interface list
    add name=WAN

    # depois adiciona a interface na lista criada, no caso utilizei a ether1 como exemplo.

    /interface list member
    add interface=ether1 list=WAN

    # Cria uma lista com os ips públicos fixos de suas filiais, Ou se o ip for dinâmico você pode utilizar o serviço de cloud do mikrotik que também vai funcionar.

    /ip firewall address-list
    add address=100.100.100.1 list=FILIAL
    add address=100.100.100.2 list=FILIAL

    #
    - exemplo da filial 1 = IP 100.100.100.1
    - exemplo da filial 2 = IP 100.100.100.2
    #

    # Por ultimo adiciona a regra de bloqueio no firewall

    /ip firewall filter
    add action=drop chain=input comment="Limitar acesso vpn pptp" dst-port=1723 in-interface-list=WAN protocol=tcp src-address-list=!FILIAL

    No exemplo acima o firewall vai bloquear qualquer ip de origem diferente dos ips da lista filial,
    na interface de entrada ether1 na porta tcp 1723, faça o teste e veja se vai parar o log de tentativas de conexão.
    Deste modo a regra vai permitir conexão externas de VPN PPTP somente para os ips das filiais e vai bloquear o restante.
    Outra dica é utilizar o profile default-encryption, nome de usuário extenso e uma senha aleatória bem forte.
    Esse tipo de serviço no mikrotik não é recomendado por ser vulnerável, mas se for a sua única opção espero que ajude. Você também pode utilizar vpn ipsec é mais segura.

  3. #3

    Padrão

    Boa Noite, fiz exatamente isso, eu criei uma add list com os ips das filiais, e fiz a seguinte regra,
    dropa tcp, input exceto ips da filiais e testei tudo e resolveu, porém estou com um outro problema em relação a conexão de usuários, pois tem funcionários que acessam de casa e o ip não é fixo.
    Futuramente vou criar outra ltp2+ipsec.

  4. #4

    Padrão Re: Log acesso vpn pptp

    Show.