GRAND FORCE Project Community: แชร์บันทึกการทำ VPN อุปกรณ์ MikroTik

Panel

GRAND FORCE

Panel

Loading...

Contents may not display properly in a sub-frame. If no content is displayed please click here to proceed.
ส่วนเนื้อหาอาจแสดงผลไม่สมบูรณ์ในเฟรมย่อย หากเนื้อหาไม่แสดงผลกรุณาคลิ๊กที่นี่เพื่อดำเนินการต่อ

	Home Active Topics Memberlist ImgBoard Calendar Search Help
	GF Chat Airport News Port Alliance Register Login

Computer & Internet
GRAND FORCE Project Community : Computer and Entertainment System Field : Computer & Internet

Topic: แชร์บันทึกการทำ VPN อุปกรณ์ MikroTik

Author

Message

Administrator

Administrator

Penguin in the Sky
Joined: 17 Aug 2006
Location: GRAND FORCE Department of Defense
Online Status: Offline

Offline

Posts: 2784

Reputation: 16009

Activity: 59

Next Level: 100.00%

Mutation: 0%

Mileage: 296.957km
Rating: 288.67 %

Fit-Img()

Quote PenguinO

Reply

bullet4

bullet6

Topic: แชร์บันทึกการทำ VPN อุปกรณ์ MikroTik
Posted: 24 Oct 2017 at 14:06

แชร์บันทึกการทำ VPN อุปกรณ์ MikroTik แบบมีการป้องกัน Brute Force

โดยพื้นฐานแล้วผม Copy ตัว script ที่เขาแชร์กันในเน็ตมาใช้

แล้วจึงปรับปรุงต่อเติมส่วนที่จำเป็น

รุ่นที่ใช้คือ RB850Gx2

ทำ VPN แบบ L2TP

Port ที่ใช้คือ 1701, 500, 4500

โดยปกติ L2TP ตอนที่ Login จะมีทั้ง Username, Password และ Secret

ทำให้มีความยากในการมั่ว (Brute Force) ยกกำลัง 3 เลยทีเดียว

(เมื่อเทียบกับการมั่วแต่ Password อย่างเดียว)

แต่ถ้ามี Brute Force จริงมันอาจจะไปถม Log หรือเกะกะอื่นๆได้

ผมก็เลยไปตั้งค่าใน Firewall ให้เช็คแล้ว Drop ทิ้งไป ถ้าเชื่อมต่อหลายครั้งแล้วไม่สำเร็จ

สูตรแรก (ข้างล่างไม่ใช่ code นะครับ)

-ตั้ง rule L2TPBruteforceDrop

cond new connection & srcaddr in L2TPBruteforceBAN_list

action drop

-ตั้ง rule L2TPBruteforceBan

cond new connection & srcaddr in L2TPBruteforceStage3_list

action add IP to L2TPBruteforceBAN_list

-ตั้ง rule L2TPBruteforceStage3

cond new connection & srcaddr in L2TPBruteforceStage2_list

action add IP to L2TPBruteforceStage3_list

-ตั้ง rule L2TPBruteforceStage2

cond new connection & srcaddr in L2TPBruteforceStage1_list

action add IP to L2TPBruteforceStage2_list

-ตั้ง rule L2TPBruteforceStage1

cond new connection

action add IP to L2TPBruteforceStage1_list

ปรากฏว่าเกิดปัญหาคือ แม้จะต่อ VPN ติด แต่ IP Address ก็ยังไปอยู่ใน Stage1 กับ Stage2

และเมื่อตัดแล้วต่อซ้ำก็จะไปอยู่ใน BAN ทันที ทำให้ใช้งานไม่ได้จนกว่าจะปลด

เรื่อง Port ก็ด้วย เนื่องจากต้องใช้หลาย Port ตอนเชื่อมต่อเลยนับเป็นหลาย Connection

การแก้ไข ตอนนี้แก้ไปแล้ว

แยก Stage1-3 ของแต่ละ Port

ตั้ง Profiles script ให้ Add whitelist และลบ IP นั้นออกจาก Stage1-3/BAN เมื่อเชื่อมต่อสำเร็จ

และตั้งเวลาลบจาก whitelist เมื่อเลิกเชื่อมต่อ

แก้ Stage1 ให้ยกเว้น IP ใน whitelist

ข้อมูล script ที่แก้แล้วเป็นความลับบริษัท ไม่สามารถแชร์ได้

ส่วนเทคนิคที่ผมใช้นั้นไม่ได้ห้ามเลียนแบบนะครับ

จุดประสงค์ที่ต้องใช้ VPN

1. เพื่อใช้ทรัพยากรภายในเครือข่าย

มีข้อเดียวครับ ถ้ามีข้ออื่นแสดงว่าต่อยอดมาจากข้อนี้ เช่น

- เมืองจีน block LINE อยากเล่น LINE ต้อง VPN เข้า office ไทยเพื่อใช้เน็ตที่ office เข้า LINE

- ต้องการใช้ intranet จึงต้อง VPN เข้า office

- ต้องการ LAN game กับเพื่อน (ใช้พวก Tunngle ไปเถอะลงทุน VPN router ไม่คุ้ม ยกเว้นมีอยู่แล้ว)

IP Logged

Post Reply

Post New Topic


Printable version

You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot delete your posts in this forum
You cannot edit your posts in this forum
You cannot create polls in this forum
You cannot vote in polls in this forum

Tag Cloud

GRAND FORCE Project Community

This page was generated in 0.141 seconds.

Hit Counter

Network Information Network Information

GRAND FORCE PROJECT Community
http://www.gfcom.info/

IP=35.172.111.47

Social Network