แชร์บันทึกการทำ VPN อุปกรณ์ MikroTik แบบมีการป้องกัน Brute Force
โดยพื้นฐานแล้วผม Copy ตัว script ที่เขาแชร์กันในเน็ตมาใช้
แล้วจึงปรับปรุงต่อเติมส่วนที่จำเป็น
รุ่นที่ใช้คือ RB850Gx2
ทำ VPN แบบ L2TP
Port ที่ใช้คือ 1701, 500, 4500
โดยปกติ L2TP ตอนที่ Login จะมีทั้ง Username, Password และ Secret
ทำให้มีความยากในการมั่ว (Brute Force) ยกกำลัง 3 เลยทีเดียว
(เมื่อเทียบกับการมั่วแต่ Password อย่างเดียว)
แต่ถ้ามี Brute Force จริงมันอาจจะไปถม Log หรือเกะกะอื่นๆได้
ผมก็เลยไปตั้งค่าใน Firewall ให้เช็คแล้ว Drop ทิ้งไป ถ้าเชื่อมต่อหลายครั้งแล้วไม่สำเร็จ
สูตรแรก (ข้างล่างไม่ใช่ code นะครับ)
-ตั้ง rule L2TPBruteforceDrop
cond new connection & srcaddr in L2TPBruteforceBAN_list
action drop
-ตั้ง rule L2TPBruteforceBan
cond new connection & srcaddr in L2TPBruteforceStage3_list
action add IP to L2TPBruteforceBAN_list
-ตั้ง rule L2TPBruteforceStage3
cond new connection & srcaddr in L2TPBruteforceStage2_list
action add IP to L2TPBruteforceStage3_list
-ตั้ง rule L2TPBruteforceStage2
cond new connection & srcaddr in L2TPBruteforceStage1_list
action add IP to L2TPBruteforceStage2_list
-ตั้ง rule L2TPBruteforceStage1
cond new connection
action add IP to L2TPBruteforceStage1_list
ปรากฏว่าเกิดปัญหาคือ แม้จะต่อ VPN ติด แต่ IP Address ก็ยังไปอยู่ใน Stage1 กับ Stage2
และเมื่อตัดแล้วต่อซ้ำก็จะไปอยู่ใน BAN ทันที ทำให้ใช้งานไม่ได้จนกว่าจะปลด
เรื่อง Port ก็ด้วย เนื่องจากต้องใช้หลาย Port ตอนเชื่อมต่อเลยนับเป็นหลาย Connection
การแก้ไข ตอนนี้แก้ไปแล้ว
แยก Stage1-3 ของแต่ละ Port
ตั้ง Profiles script ให้ Add whitelist และลบ IP นั้นออกจาก Stage1-3/BAN เมื่อเชื่อมต่อสำเร็จ
และตั้งเวลาลบจาก whitelist เมื่อเลิกเชื่อมต่อ
แก้ Stage1 ให้ยกเว้น IP ใน whitelist
ข้อมูล script ที่แก้แล้วเป็นความลับบริษัท ไม่สามารถแชร์ได้
ส่วนเทคนิคที่ผมใช้นั้นไม่ได้ห้ามเลียนแบบนะครับ
จุดประสงค์ที่ต้องใช้ VPN
1. เพื่อใช้ทรัพยากรภายในเครือข่าย
มีข้อเดียวครับ ถ้ามีข้ออื่นแสดงว่าต่อยอดมาจากข้อนี้ เช่น
- เมืองจีน block LINE อยากเล่น LINE ต้อง VPN เข้า office ไทยเพื่อใช้เน็ตที่ office เข้า LINE
- ต้องการใช้ intranet จึงต้อง VPN เข้า office
- ต้องการ LAN game กับเพื่อน (ใช้พวก Tunngle ไปเถอะลงทุน VPN router ไม่คุ้ม ยกเว้นมีอยู่แล้ว)