Как защитить сеть

Базовая функциональность RouterOS
Аватара пользователя
Sir_Prikol
Сообщения: 38
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Как защитить сеть

Сообщение Sir_Prikol » 10 авг 2018, 20:09

Я вообще не понимаю смысла защиты от провайдера, что имеется ввиду? Если хотите защиты от провайдера - отказывайтесь от его влана и стройте свои туннели поднимайте pptp поверх него ipsec ну и поверх него ipip, можно ещё сверху ovpn намутить. тогда скорости никакой - зато защита. А паранойя не лечится. Вам-же говорят - влан во влан не входит. Можете ещё и TLS выкрутить до 1, тогда пров вообще ни одного компа не увидит.
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 988
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Как защитить сеть

Сообщение Chupaka » 10 авг 2018, 22:53

По идее, увидит. В FDB. Но там всё равно ведь сверху тоннель eoip - там там трафик инкапсулированный, без снифера не суйся. А вот зашифровать его ещё дополнительно нужно.

Аватара пользователя
Sir_Prikol
Сообщения: 38
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Как защитить сеть

Сообщение Sir_Prikol » 10 авг 2018, 23:04

Ну если в mangle prerouting'ом сделать смену TTL на 1 - то нифига не увидит, особенно при включённом фаере где стоят запрещающие правила доступа со стороны ip прова :)
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 988
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Как защитить сеть

Сообщение Chupaka » 10 авг 2018, 23:07

Кхм... Если трафик пойдёт по каналам провайдера - то провайдер его определённо увидит. Телепортировать трафик изменением TTL вряд ли получится :)

Аватара пользователя
Sir_Prikol
Сообщения: 38
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Как защитить сеть

Сообщение Sir_Prikol » 10 авг 2018, 23:11

С умом можно сделать, кто мешает влан прова вешать на заглушку и в маршрутах указать явный запрет на этот трафф?
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 988
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Как защитить сеть

Сообщение Chupaka » 10 авг 2018, 23:13

А можно развернуть вашу мысль более подробно? А то пока это звучит для меня как "Кто мешает не слать трафик провайдеру, чтобы он вообще никаких пакетов не видел и ничего не передавал, только деньги за услугу брал?"

Аватара пользователя
Sir_Prikol
Сообщения: 38
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Как защитить сеть

Сообщение Sir_Prikol » 10 авг 2018, 23:19

Могу попытаться, я так часть траффиа заворачиваю на заглушку.

Создаём пустой интерфейс с вланом провайдера (по сути он нужен нам только для соединения по серым адресам)
Далее, маркируем это траффик и кидаем его в блекхол
Далее создаём собственный влан внутри этого влана (или поднимаем впн интерфейс - любой) и настраиваем свою маршрутизацию на основе своего интерфейса. Вуаля, подсеть прова в блекхоле, он сеть не видит, а у нас наш трафф бегает по нашему каналу.

Но, повторюсь, я не понимаю смысла влана от прова, в моём регионе этот трафф дороже чем если я возьму на обоих концах ip access. И это проверено, у меня 3 разных магистрала и около 40 точек. Тоже хотел влан от провоа забирать, даже внутри себя - это дороже чем я подниму свой
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
Chupaka
Сообщения: 988
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Как защитить сеть

Сообщение Chupaka » 14 авг 2018, 11:07

Sir_Prikol писал(а):
10 авг 2018, 23:19
Создаём пустой интерфейс с вланом провайдера (по сути он нужен нам только для соединения по серым адресам)
Далее, маркируем это траффик и кидаем его в блекхол
К сожалению, понятнее не стало. Если интерфейс пустой (без IP-адресов) - то в маршрутизации трафика он не участвует. Что вы маркируете и куда "кидаете"?
Sir_Prikol писал(а):
10 авг 2018, 23:19
Далее создаём собственный влан внутри этого влана (или поднимаем впн интерфейс - любой) и настраиваем свою маршрутизацию на основе своего интерфейса. Вуаля, подсеть прова в блекхоле, он сеть не видит, а у нас наш трафф бегает по нашему каналу.
Вилан внутри вилана пров должен вполне видеть, он же не шифруется, в отличие от ВПН :) Если это L2 - то MAC-адреса будут светиться. Не будет же пров ваш трафик по всей своей сети широковещательно рассылать.
Sir_Prikol писал(а):
10 авг 2018, 23:19
Но, повторюсь, я не понимаю смысла влана от прова, в моём регионе этот трафф дороже чем если я возьму на обоих концах ip access. И это проверено, у меня 3 разных магистрала и около 40 точек. Тоже хотел влан от провоа забирать, даже внутри себя - это дороже чем я подниму свой
Вилан (L2VPN) как правило подразумевает некие гарантии по пропускной способности и всему остальному :)

Ответить