pptp сервер mikrotik

[nik11]

Приветствую.
Есть pptp сеть на микротиках. Проблема следующая. Идёт огромное количество соединений на 1723й порт.
Подскажите как сменить 1723й порт например на 50000й?

З.Ы. Собираю банлист по десятку дефолтных портов. Там активности считай нет. Долбят именно 1723й порт. За пару часов 27 000+ ип адресов улетело в бан лист. Дропнуло 3 000 000 соединений за тоже время.

[Chupaka]

Здравствуйте. А как вы на клиентах порт будете менять? Вроде, лёгких путей нет, поэтому и на сервере его смену не предусмотрели.

Технически-то можно, конечно, DST-NAT'ом нужный порт перенаправить на 1723 и зафильтровать прямое подключение, но вопрос с клиентами остаётся.

[nik11]

Здравствуйте. А как вы на клиентах порт будете менять? Вроде, лёгких путей нет, поэтому и на сервере его смену не предусмотрели.

Технически-то можно, конечно, DST-NAT'ом нужный порт перенаправить на 1723 и зафильтровать прямое подключение, но вопрос с клиентами остаётся.

А на клиентах это невозможно тем же путём? Все клиенты - микротики.

З.Ы. У меня не очень хорошо с сетями + 5 утра, голова плохо варит. Не ругайтесь если туплю =)



---
Возможно вы предложите лучший вариант решения вопроса с этой порнографией:

Это менее чем за пол дня.

Я как понимаю бан лист один раз собрать и пользоваться им - затея так себе.
Была мысль разрешить только ип из подсетей клиентов обращение к 1723 порту. Но из некоторых из них тоже есть ип адреса что долбят 1723 порт.

Может быть как то можно автоматизировать порт кнокинг с клиентских микротиков (учитывая что я в скриптах деревянный)?

[Chupaka]

Не, на клиентах ещё сложнее. В идеале - через дополнительный роутер перед ним %) Потому что в Output нет прямого шага Dst-NAT.

А что-нибудь помимо PPTP не рассматривали? Если не Wireguard, то хотя бы L2TP какой... На L2TP вообще достаточно просто перейти - там всё похожее.

[nik11]

Я бы с удовольствием перешёл на l2tp с ipsec. Но железка не потянет. Но её в любом случае менять придётся.
В данный момент 11 тоннелей с постоянным трафиком +/- 20 мегабит. Нужно будет в этому году до 20 тоннелей + 1 на всякий случай и + 1 для адмнистрирования.

Сейчас сервером выступает 2011й. Его потолок 15 pptp в лучшем случае. Я удивлюсь если он потянет 5 л2тп тоннелей.

Что из микротиков можно взять, что бы потянул такое? Искал информацию. Но все молчат как партизаны.
Ну и финансовый вопрос, сколько оно стоит. Что нибудь типа 4011 потянут. Но потянет ли он? )

[Chupaka]

Ну, перейдите на L2TP без IPSec (хотя у 4011 аппаратное ускорение IPSec) - всё равно останетесь с шифрованием на уровне PPP, а это вроде как то же самое, что вы сейчас имеете на PPTP.

Вы всё ещё на шестой версии RouterOS, WireGuard не предлагать?

[nik11]

Ну, перейдите на L2TP без IPSec (хотя у 4011 аппаратное ускорение IPSec) - всё равно останетесь с шифрованием на уровне PPP, а это вроде как то же самое, что вы сейчас имеете на PPTP.

Вы всё ещё на шестой версии RouterOS, WireGuard не предлагать?

Проблема в том что ipsec картину с l2tp по нагрузке не сказать что радикально меняет. Те же 5 тоннелей для l2tp без ipsec, несколько лет назад пробовал. Картина +/- та же.

На последней стабильной. Если память не изменяет 6.49.12, или типа того.

Вопрос собственно не в самом протоколе. Если будет польза можно перешиться. Вопрос потянет ли 4011 (в данный момент 2011. или может вы предложите вариант вместо 4011? долларов 500 бюджет думаю выбью) столько тоннелей l2tp или WireGuard?

Есть ещё вариант конечно запихать роутерос на виртуалку и на ней поднять l2tp на паре х86 ядер. Но что то мне этот вариант не нравится =)))

[nik11]

З.Ы. Пока вышел из ситуации белым списком подсетей провайдеров клиентов и собираю чёрный список, который дропаю в прероуте.
Вроде бы не плохо. Но по мелочи всё равно лезут из нескольких подсетей белого списка (ip там динамические, где есть статика, из тех подсетей тихо).
Возникла идея/вопрос. А как бы закидывать на, допустим сутки, те ip адреса, с которых в 1723 порт постучались 2 или 3 раза за 30-60 минут? Вроде бы не звучит как бред?

[Chupaka]

Сразу скажу, что к количеству тоннелей вообще привязываться не надо. Вопрос в трафике. Тоннелей хоть сотня, хоть больше может быть поднята. Вы именно в процессор упираетесь? 20 Мбит/с - это суммарно или на каждый тоннель?

А как бы закидывать на, допустим сутки, те ip адреса, с которых в 1723 порт постучались 2 или 3 раза за 30-60 минут? Вроде бы не звучит как бред?

Это вам в Extra - Dst. Limit, там Limit By = src. address. Но насколько оно оправдано - тут меня гложат сомнения. Может, хотя бы чуть больше лимит, не 3 раза за час?

[nik11]

Сразу скажу, что к количеству тоннелей вообще привязываться не надо. Вопрос в трафике. Тоннелей хоть сотня, хоть больше может быть поднята. Вы именно в процессор упираетесь? 20 Мбит/с - это суммарно или на каждый тоннель?

Вот кстати этого нюанса я не понимал.
Это среднее значение по каждому тоннелю. Трафик постоянный (видеонаблюдение).
И тут возникает неприятный нюанс. Сейчас 11 тоннелей по 20 мегабит каждый (это примерное среднее значение, близкое к точному).
Так вот, таких будет ещё 1-2 с таким объёмом трафика.
Далее будет 7-8 с большим объёмом трафика (думаю 30, возможно больше. переход с аналога фуллхд тви на цифру с большим разрешением).

Да. Утыкаюсь в процессор.
Вот ломаю голову какой теперь брать. 4011й, или может что посерьёзнее? Всё таки хочется как минимум на l2tp + ipsec (+ с pptp бывали проблемы на уровне некоторых провайдеров, которые его блочили и не призновались ).

Это вам в Extra - Dst. Limit, там Limit By = src. address. Но насколько оно оправдано - тут меня гложат сомнения. Может, хотя бы чуть больше лимит, не 3 раза за час?

Лимиты я указал условные. Подбирать буду уже экспериментальным путём.
Клиенты у меня судя по наблюдениям отваливаются в среднем один раз в период от недели до месяца. Так что вряд ли перебаню своих же. Но доступ в любом случае не потеряю. В общем буду пробовать, а там видно будет.

[Chupaka]

Если есть возможность запустить RouterOS в виртуалке - почему не попробовать? С масштабированием проблем потенциально меньше...

С другой стороны, 2011-й - это одно ядро на 600 МГц. 4011 - четыре ядра 533-1900 MHz, плюс аппаратное ускорение IPSec, небольшой запас на будущее есть

[nik11]

Если есть возможность запустить RouterOS в виртуалке - почему не попробовать? С масштабированием проблем потенциально меньше...

С другой стороны, 2011-й - это одно ядро на 600 МГц. 4011 - четыре ядра 533-1900 MHz, плюс аппаратное ускорение IPSec, небольшой запас на будущее есть

Есть. Но не хочется валить всё на один сервер. Туда вечно что то повесить хотят. Отбиваюсь. От фтп для аудиорегистраторов вот на днях только отбился

Вот я тоже думаю что 4011 потянет с запасом. Про ас2 где то вычитал что 150-180 мегабит l2tp с ipsec прокачивает.
Я как то имел дело с 4011. На нём целое здание университета работало. Гостевой вифи 5 точек. Человек 60 персонала, 2 удалённых офиса по l2tp и ещё по мелочи. То есть железка то серьёзная.
Но вот потестить её тогда не вышло к большому сожалению.
Ну... Будет дорогой эксперимент =)))

[Chupaka]

Да, у ac2 тоже аппаратное ускорение IPSec есть. Ну и результаты тестов IPSec: https://mikrotik.com/product/hap_ac2#fndtn-testresults

Опять же, "здание университета" ни слова не говорит о трафике. Если там канал 100 Мбит/с - это одно, тут сильно много мощи не надо. Если надо тем же людям раздавать гигабит - тут сложнее

[nik11]

Да, у ac2 тоже аппаратное ускорение IPSec есть. Ну и результаты тестов IPSec: https://mikrotik.com/product/hap_ac2#fndtn-testresults

Опять же, "здание университета" ни слова не говорит о трафике. Если там канал 100 Мбит/с - это одно, тут сильно много мощи не надо. Если надо тем же людям раздавать гигабит - тут сложнее

Нагрузка там была приличная, если не ошибаюсь 500/500 канал и не сказать что простаивал . Ну да не суть =) Плюс видеонаблюдение из 2 удалённых офисов (один из них 4х этажное крыло утыканное ip камерами =)
Но да, без именно тестов всё это "лечу геморрой по фотографии". Это я прикидываю абстрактно и себя успокаиваю

З.Ы. Полазил по другим моделькам по ссылке, включая 4011. На фоне ас2 обнадёживает =)))