Как защитить сеть
-
- Сообщения: 58
- Зарегистрирован: 19 май 2016, 14:52
Как защитить сеть
Для связи 2 офисов через сеть провайдера выделили vlan, как спрятать свою локалку от провайдера.
-
- Сообщения: 562
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Как защитить сеть
За натом она сама по себе спрятана.
А теперь хотя-бы настройки в студию, а то телепаты в отпуске
А теперь хотя-бы настройки в студию, а то телепаты в отпуске
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
- Сообщения: 58
- Зарегистрирован: 19 май 2016, 14:52
Re: Как защитить сеть
#1
/interface bridge
add fast-forward=no name=bridge1 protocol-mode=none
/interface eoip
add mac-address=02:53:A2:2D:41:02 name=eoip-tunnel1 remote-address=\
192.168.22.2 tunnel-id=11
/interface vlan
add interface=ether1 name=vlan11 vlan-id=11
add interface=eoip-tunnel1 name=vlan22 vlan-id=22
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=vlan22
/ip address
add address=192.168.22.1/24 interface=ether1 network=192.168.22.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=bridge1
/system identity
set name=MikroTik1
#2
/interface bridge
add fast-forward=no name=bridge1 protocol-mode=none
/interface eoip
add mac-address=02:B7:3A:3C:1A:CB name=eoip-tunnel1 remote-address=\
192.168.22.1 tunnel-id=11
/interface vlan
add interface=ether1 name=vlan11 vlan-id=11
add interface=eoip-tunnel1 name=vlan22 vlan-id=22
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=vlan22
/ip address
add address=192.168.22.2/24 interface=ether1 network=192.168.22.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=bridge1
/system identity
set name=MikroTik2
/system routerboard settings
set silent-boot=no
ether1 -кабель от провайдера
ether2 -локалка внутренная сеть
vlan11 -это влан провайдера а как такая схема нормально будет работать ?
/interface bridge
add fast-forward=no name=bridge1 protocol-mode=none
/interface eoip
add mac-address=02:53:A2:2D:41:02 name=eoip-tunnel1 remote-address=\
192.168.22.2 tunnel-id=11
/interface vlan
add interface=ether1 name=vlan11 vlan-id=11
add interface=eoip-tunnel1 name=vlan22 vlan-id=22
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=vlan22
/ip address
add address=192.168.22.1/24 interface=ether1 network=192.168.22.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=bridge1
/system identity
set name=MikroTik1
#2
/interface bridge
add fast-forward=no name=bridge1 protocol-mode=none
/interface eoip
add mac-address=02:B7:3A:3C:1A:CB name=eoip-tunnel1 remote-address=\
192.168.22.1 tunnel-id=11
/interface vlan
add interface=ether1 name=vlan11 vlan-id=11
add interface=eoip-tunnel1 name=vlan22 vlan-id=22
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=vlan22
/ip address
add address=192.168.22.2/24 interface=ether1 network=192.168.22.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=bridge1
/system identity
set name=MikroTik2
/system routerboard settings
set silent-boot=no
ether1 -кабель от провайдера
ether2 -локалка внутренная сеть
vlan11 -это влан провайдера а как такая схема нормально будет работать ?
-
- Сообщения: 562
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Как защитить сеть
ВЛан во влане - нормально изолированно. Вы же не видите сеть провайдера, соответственно и он вашу не видит
Можно, конечно, ещё один туннель сверху навесить, но зачем? Если что-то секретное, тогда надо отказываться от vlan провайдера и своё делать, если нет, то и так пойдёт
Можно, конечно, ещё один туннель сверху навесить, но зачем? Если что-то секретное, тогда надо отказываться от vlan провайдера и своё делать, если нет, то и так пойдёт
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
- Сообщения: 58
- Зарегистрирован: 19 май 2016, 14:52
Re: Как защитить сеть
если позволяет оборудование провайдера прогонять
-
- Сообщения: 562
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Как защитить сеть
А причём здесь оборудование провайдера? Это обычное TCP соединение. И, если, vlan даёт пров, то естественно оно может его прогнать
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Как защитить сеть
Хм... Подозреваю, вилан поверх вилана заработает, только если у провайдера QinQ нормально настроен.
Но если так работает - то для добавления шифрования у EoIP нужно просто с обеих сторон указать ipsec-secret - и вуаля, провайдер даже при желании не увидит, что там в тоннеле
Но если так работает - то для добавления шифрования у EoIP нужно просто с обеих сторон указать ipsec-secret - и вуаля, провайдер даже при желании не увидит, что там в тоннеле
-
- Сообщения: 58
- Зарегистрирован: 19 май 2016, 14:52
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Как защитить сеть
Ну, просто "Выделили VLAN" и "Выделили QinQ-вилан" - всё же разные вещи. И в первое пролезет не всё, что пролезет во второе.
-
- Сообщения: 58
- Зарегистрирован: 19 май 2016, 14:52
Re: Как защитить сеть
EoIP с ipsec-secret работает,а как проц нагрузит сильно ? у меня rb 750 20 МБит нужно прокинуть,а если все таки заработает QinQ-вилан то как у провайдера защититься он по идее увидит созданные мои веланы ?
-
- Сообщения: 562
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Как защитить сеть
Я вообще не понимаю смысла защиты от провайдера, что имеется ввиду? Если хотите защиты от провайдера - отказывайтесь от его влана и стройте свои туннели поднимайте pptp поверх него ipsec ну и поверх него ipip, можно ещё сверху ovpn намутить. тогда скорости никакой - зато защита. А паранойя не лечится. Вам-же говорят - влан во влан не входит. Можете ещё и TLS выкрутить до 1, тогда пров вообще ни одного компа не увидит.
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Как защитить сеть
По идее, увидит. В FDB. Но там всё равно ведь сверху тоннель eoip - там там трафик инкапсулированный, без снифера не суйся. А вот зашифровать его ещё дополнительно нужно.
-
- Сообщения: 562
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Как защитить сеть
Ну если в mangle prerouting'ом сделать смену TTL на 1 - то нифига не увидит, особенно при включённом фаере где стоят запрещающие правила доступа со стороны ip прова
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Как защитить сеть
Кхм... Если трафик пойдёт по каналам провайдера - то провайдер его определённо увидит. Телепортировать трафик изменением TTL вряд ли получится
-
- Сообщения: 562
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Как защитить сеть
С умом можно сделать, кто мешает влан прова вешать на заглушку и в маршрутах указать явный запрет на этот трафф?
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Как защитить сеть
А можно развернуть вашу мысль более подробно? А то пока это звучит для меня как "Кто мешает не слать трафик провайдеру, чтобы он вообще никаких пакетов не видел и ничего не передавал, только деньги за услугу брал?"
-
- Сообщения: 562
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Как защитить сеть
Могу попытаться, я так часть траффиа заворачиваю на заглушку.
Создаём пустой интерфейс с вланом провайдера (по сути он нужен нам только для соединения по серым адресам)
Далее, маркируем это траффик и кидаем его в блекхол
Далее создаём собственный влан внутри этого влана (или поднимаем впн интерфейс - любой) и настраиваем свою маршрутизацию на основе своего интерфейса. Вуаля, подсеть прова в блекхоле, он сеть не видит, а у нас наш трафф бегает по нашему каналу.
Но, повторюсь, я не понимаю смысла влана от прова, в моём регионе этот трафф дороже чем если я возьму на обоих концах ip access. И это проверено, у меня 3 разных магистрала и около 40 точек. Тоже хотел влан от провоа забирать, даже внутри себя - это дороже чем я подниму свой
Создаём пустой интерфейс с вланом провайдера (по сути он нужен нам только для соединения по серым адресам)
Далее, маркируем это траффик и кидаем его в блекхол
Далее создаём собственный влан внутри этого влана (или поднимаем впн интерфейс - любой) и настраиваем свою маршрутизацию на основе своего интерфейса. Вуаля, подсеть прова в блекхоле, он сеть не видит, а у нас наш трафф бегает по нашему каналу.
Но, повторюсь, я не понимаю смысла влана от прова, в моём регионе этот трафф дороже чем если я возьму на обоих концах ip access. И это проверено, у меня 3 разных магистрала и около 40 точек. Тоже хотел влан от провоа забирать, даже внутри себя - это дороже чем я подниму свой
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Как защитить сеть
К сожалению, понятнее не стало. Если интерфейс пустой (без IP-адресов) - то в маршрутизации трафика он не участвует. Что вы маркируете и куда "кидаете"?Sir_Prikol писал(а): ↑10 авг 2018, 23:19 Создаём пустой интерфейс с вланом провайдера (по сути он нужен нам только для соединения по серым адресам)
Далее, маркируем это траффик и кидаем его в блекхол
Вилан внутри вилана пров должен вполне видеть, он же не шифруется, в отличие от ВПН Если это L2 - то MAC-адреса будут светиться. Не будет же пров ваш трафик по всей своей сети широковещательно рассылать.Sir_Prikol писал(а): ↑10 авг 2018, 23:19 Далее создаём собственный влан внутри этого влана (или поднимаем впн интерфейс - любой) и настраиваем свою маршрутизацию на основе своего интерфейса. Вуаля, подсеть прова в блекхоле, он сеть не видит, а у нас наш трафф бегает по нашему каналу.
Вилан (L2VPN) как правило подразумевает некие гарантии по пропускной способности и всему остальномуSir_Prikol писал(а): ↑10 авг 2018, 23:19 Но, повторюсь, я не понимаю смысла влана от прова, в моём регионе этот трафф дороже чем если я возьму на обоих концах ip access. И это проверено, у меня 3 разных магистрала и около 40 точек. Тоже хотел влан от провоа забирать, даже внутри себя - это дороже чем я подниму свой