Creare VPN su Mikrotik SXT 5 Lite

[abbio90]

Ho un'ip statico,un nas è una stampante di rete con porte aperte.

Per problemi di sicurezza sarebbe meglio creare una VPN.

Non ho mai fatto questo ma curiosando nel forum pare che basta avere qualcosa Router OS che si può abilitare da li il server VPN...potrei farlo da una sxt 5 lite??

Quote

 risposta di RADITION:

 

 

Effettivamente la VPN è sempre la soluzione migliore.C'è solo da valutare quale VPN utilizzare (escludendo la PPtP che è vulnerabilissima e finalmente è stata tolta anche da Microsoft) ragionando sui layer della pila OSID. Diciamo che per usi più comuni la L2TP è la più usata e semplice da usare; soprattutto se in road warrior. Altrimenti occorre anddare su OpenVPN (se la implementi su Mikrotik va messo ultimo firmware altrimenti non funziona correttamente) , IPsec (decisamente ostica se dall'altro lato non c'è Mikrotik), oppure anche la SSTP che a me piace un sacco i quanto sfruttando la 443 funziona anche in alberghi, hotspot e aree a navigazione limitata.

Puoi anche farla gestire a una SXT ma se l'"oggetto" Mikrotik non fa da router devi poi aprire le porte della VPN scelta  sul router verso tale device. Una volta scelta la policy per la VPN potrebbe essere necessario fare un masquerade per vedere poi la retre. Puoi scegliere poi se navigare mantenendo l'IP del PC/smartphone oppure presentarti sulla rete internet con l'IP del sito dove stai facendo la VPN; anche questo molto utile quando si è all'estero e si vogliono by-passare i blocchi  internazionali.

 

 

 

 

 

[abbio90]

Ho già delle porte aperte verso l'ip del nas e l'ip delle stampanti.

chiuderle e farne aprire altre sull'ip della SXT non sarebbe un problema..

Ma con la VPN potrò usare una porta per gestire traffico FPT dal NAS di rete tramite un'app android che utilizzo ora per la gestione via smartphone?? o devo per forza accedere da browser??

[radiation74]

In VPN sei come connesso alla tua rete locale e puoi sfruttare a pieno il protocollo TCP-UDP su layer 1-2, quindi una volta attivata la VPN sullo smartphone puoi usare tutte le APP che usi a casa/ufficio.

[abbio90]

Ok perfetto...questo posso farlo da qualunque pc o solo da una rete???

posso già iniziare ad impostare il tutto poi successivamente chiedo al gestore di chiudere le porte non più necessarie e aprire quelle che servono per la VPN??

[radiation74]

In che senso da qualunque PC o solo da una rete? La VPN la puoi attivare da tutti i device sìche la supportano: se la attivi dallo smartphone è solo lo smartphone che può accedere alle periferiche lato host.

Se invece la attivi da un router/firewall di una rete puoi creare regole tali per cui solo alcuni indirizzi, solo alcuni servizi o tutta la rete può vedere l'altra rete. Trattasi di site-to-site e in questo caso se hai IP pubblici statici ti conviene usare una IPsec che è molto più sicura e stabile.

 

Ma scusa perchè non ti fai dare la PPoE dal gestore o comuque ti fai "bridgiare" un IP sulla rete? Così ci metti un banale Mikrotik come router e fai tutto quello che vuoi senza aprire porte per VPN ecc.

[abbio90]

Ti spiego il mio utilizzo da remoto per trarre una coclusione sul da fare.

L'uso maggiore da remoto e da app smartphone per accedere via FTP ai file sul nas.

Accesso occasionale da browser da reti esterne, (casa della mia ragazza, ufficio) e quando faccio dei lavori tipo impianti d'allarme o reti cablate per salvare programmazioni e mappe di rete direttamente sul NAS (quindi da reti di clienti).

Tutto questo già lo faccio con IP pubblico statico e porte aperte sui vari IP con nat della porta 80 per utilizzarla sui vari IP interni.

La stampa da remoto non viene utilizzata quasi mai, è una cosa che ho voluto fare per emergenza, toner esausto nei momenti più strani, ecc.

Perchè pensavo ad una VPN onde evitare attacchi estranei sul NAS che è pieno di documenti...esso è protetto da nome utente e password ma come abbiamo parlato in un'altra discussione può essere comunque vulnerabile.

 

Da principiante ma appassionato in materia mi stai dicendo di prendere un router mikrotik su cui far aprire dal gestore tutte le porte in modo da poter gestire io l'indirizzamento a mio piacere verso l'IP interni??? senza VPN questo router che sicurezza mi garantisce a differenza di un router commerciale????

 

[radiation74]

Puoi creare anche più accessi VPN: ad esempio sul tuo smartphone e sul PC. Oppure dove ti interessa.

Direi che quindi la più semplice è la L2TP che è ampiamente supportata da tutti i sistemi senza bisogno di certificati o client appositi.

 

Ho detto Mikrotik perchè vedo che ti stai appassionando. Sono molto versatili e completi e per le applicazioni SOHO sono eccezzionali.

Sono molto più completi di un router commerciale, ma la sicurezza non c'entra nulla. Se apri le porte poco cambia.

Certo è che invece ha tutta usa serie di regole di firewalling, di routing che ti permettono di fare tutto quello che vuoi e oltre!

Se ti fai mettere in bridge il router allora poi puoi gestire in autonomia la tua rete aprendo o chiudendno porte o creando tutte le VPN che vuoi.

[abbio90]

Si, mi piace Mikrotik come prodotto. Ho una connessione con un'azienda privata locale tipo Linkem. Il segnale arriva da una Sextant mikrotik sul tetto, che io vedo dalla Winbox ma non ho possibilità di accederci...non so se l'antenna sia impostata come router o come bridge...ma chiaccherando con il gestore pare siano tutte impostate come bridge.Perchè lui dice che nel mio caso l'indirizzo IP pubblico viene consegnato direttamente sul cavo eth in uscita da essa, che l'antenna è come se non ci fosse.(come se si è collegati al ripetitore via LAN). Il limite di mega di connessione non è impostato nell'antenna sul tetto ma lo gestisce il gestore direttamente.

 

[radiation74]

Mi auguro fortemente per il gestore che non sia in bridge! Altrimenti è un invito a nozze!

comunque a mio avviso è in routing (aggiungo ovviamente); il loro server radius è quello che profila l'utente è lavora direttamente sul NAS di zona (quasi certamente mikrotik pure quello) creando delle simple queue.

Anche perché l'assegnazione dell'ip pubblico non sarebbe possibile. 

Anche io sono un piccolo WISP e uso molto mikrotik 

[abbio90]

Si hanno un server su ogni ripetitore...Io avevo provato ad aprire delle porte con un comune router e non si aprivano.....avevo dovuto fare la richiesta a loro via pec...un'altra cosa strana.....sulla winbox mi appare questo IP sulla loro antenna 192.168.219.249 mentre sul cavo in uscita mi esce come gateway l'indirizzo 192.168.159.1

 

Quindi dici di provare a chiedere a loro se possibile impostare l'antenna come bridge anzichè come router???

in modo che poi da un router faccio il tutto io??

 

[radiation74]

No no il server è solo uno. Su ogni ripetitore hanno un NAS (in questo caso NAS sta per Network Access Server) che spesso è un CCR (o comunque serie con un bel processore)  della Mikrotik.

Se apri le porte su un router che in realtà NON sta facendo il router non succede nulla.

L'IP che probabilmente ti appare sulla Winbox è il loro IP di managmet (brutta cosa che non hanno nemmeno tolto dai neighbor) e che ovviamente nulla a che vedere con la subnet degli utenti o comunque sul loro GW.

Io non conosco le policy del provider.......tecnicamente la cosa migliore è che ti lascino le credenziali della PPoE (mi voglio augurare che almeno usino questa autenticazione!!!!!!!!)  e te la tiri su tu da un tuo router. In questo modo hai la possibilità di fare quello che vuoi.

Altrimenti possono darti un IP che loro mettono in DMZ/Bridge sul tuo pubblico e tu lo metti nel tuo router (soluzione bruttissima perchè davvero c'è da giuocare con la rete del provider poi).

[abbio90]

Ho sentito il gestore...mi ha risposto così:

 

la Sua richiesta non può essere accolta inquanto gli apparati, essendo di nostra proprietà, hanno una configurazione  e dati che  possono essere gestiti solamente da noi.
Restiamo a disposizione per eventuali richiesta e apertura porte.

Cordiali saluti
Flynter Networking Srl

[radiation74]

Mamma mia.....che poca professionalità; ma questi sono dei cantinari? 

Qualcuno gli spieghi che la loro rete è più sicura se ti danno il PPoE (che lavora solo in layer2) piuttosto che lasciarla così! Se fai una tracciatura pacchetti e usi bene il comando ARP al 90% navighi gratis senza limitazioni di profilo.

 

Detto questo digli che hai un server che necessiti di esporre e ti fai aprire tutte le porte.

Altrimenti ancora dagli tutte le principali porte e un paio a tuo piacimento che poi potrai usare con un NAT-T per gestire applicazioni tue future 

[abbio90]

provo a spiegarli questo

Quote

Qualcuno gli spieghi che la loro rete è più sicura se ti danno il PPoE (che lavora solo in layer2) piuttosto che lasciarla così!

 

 

[abbio90]

digitando il comando arp salta fuori questo 

 

[radiation74]

Si ok, ma non è che lo devi lanciare dalla tua rete........

Studiati un po' di haking delle reti

 

Però da come mi hai descritto l'infrastruttura è decisamente pericolosa lasciare un IP in quel modo.......tra l'altro come mi hanno sempre insegnato: " non si sa mai chi  c'è che si attacca dall'altro capo della rete; può esserci la "sciura Maria", come può esserci il ragazzo sveglio e addentrato che fosse nulla qualche problema te lo causa".

Ed è proprio così! Alcune volte ho provato a essere in alberghi dove davvero l'infrastruttura era fatta male. Poi chi tra i malati Mikrotik non gira con almeno un mAP-Lite in borsa? Lo colleghi e ....ci provi.......e se poi sei stronzo gli blocchi pure la rete....e navighi solo tu

[abbio90]

cosa significa???

Quote

da come mi hai descritto l'infrastruttura è decisamente pericolosa lasciare un IP in quel modo

[radiation74]

Che è pericolo per il provdider. Per i motivi spiegati. Praticamente tutti i provider rilasciano la PPoE agli utenti ......più sicuro e meno problemi.

Al massimo la faccio fare in antenna.......ma in quel caso è tutto mascherato.

[abbio90]

Quindi non è sicura...pensi che non vogliono rilasciare la PPoe agli utenti o non utilizzino credenziali PPoE??

Penso che domani rispondano alla mia mail mandata ieri

[radiation74]

Si ma non è sicura per loro. A te non cambia nulla a livello sicurezza.

Lasciare un IP della loro rete e per giunta non mascherato offre la possbilità a uno smanettone di provare a "giocare" con la loro rete. E poi fosse nulla anche per un discorso di privacy .....nel senso che probabilmente si riesce a capire anche quali utenti ci sono collegati (e non aggiungo altro).

Per curiosità se vai nei neighbors delle sua SXT vedi qualcosa oltre alle tue?

 

Il PPPoE è quanto di più sicuro invece si può dare al cliente. Tra l'altro do per scontato che abbiano un server radius e quindi anche la profilazione utente è semplicissima.

In questo modo si mette proprio una barriera fisica tra il provider e i clienti. Meglio ancora quando si crea una Vlan dedicata solo al PPPoE degli utenti. In questa condizione anche se collego una Mikrotik dietro non vedrei assolutamente nulla (ovviamente ancher la CPE sul tetto deve avere delle regole di masquerade e firewalling .....ma quella è di proprietà provider).

 

[abbio90]

Sono andato nei neghtbors. Ci sono le due mie antenne più quella del gestore...

Su quella del gestore c'è scritto:  interface:BRIDGE

[radiation74]

OK quantomeno ha mascherato l'eth in modo da non vedere il resto.

[abbio90]

Se no avrei visto l'elenco di cpe connesse alla stessa settoriale al quale è connessa la mia..giusto??

[radiation74]

Si