2

Как видно из названия, мне нужно заблокировать все подключения к маршрутизатору mikrotik извне, кроме подключения к VPN-серверу. Затем разрешите удаленный рабочий стол для системы локальной сети через VPN(либо L2TP/IPSec или PPTP) из внешней локальной сети.

Какое правило в межсетевом экране маршрутизатора Mikrotik блокирует все соединения, кроме rdp через vpn?

Информация о дополнении:

В нашем офисе есть настройка локальной сети, и последний шлюз - маршрутизатор Mikrotik. Я знаю, как создать VPN-сервер, VPN-клиент в клиентской системе и сделать RDP из клиентской системы. Я хочу, чтобы внешний брандмауэр должен был пропускать только подключения к VPN-серверу vpn-файрволл rdp mikrotik

1 ответ1

5

PPTP использует

  • TCP-порт 1723
  • GRE (ID протокола 47) для туннелирования

Принимаем PPTP в Микротик:

/ip firewall filter add chain=input action=accept protocol=tcp dst-port=1723
/ip firewall filter add chain=input action=accept protocol=gre

L2TP/IPSec использует

  • TCP-порт 1701
  • UDP-порт 500 для Security Association (SA) - для согласования метода безопасности (пароль, сертификат, kerberos)
  • AH (ID протокола 50) - заголовок аутентификации
  • ESP (ID протокола 51) - инкапсулированная безопасная полезная нагрузка

Принять L2TP/IPSec в Микротик:

/ip firewall filter add chain=input action=accept protocol=tcp dst-port=1701
/ip firewall filter add chain=input action=accept protocol=udp dst-port=500
/ip firewall filter add chain=input action=accept protocol=ipsec-ah
/ip firewall filter add chain=input action=accept protocol=ipsec-esp

Блокировать все остальные входящие соединения (TCP)

/ip firewall filter add chain=input protocol=tcp action=reject reject-with=tcp-reset

Вы можете использовать action=drop вместо reject , но, согласно Ханнесу Шмидту , NMAP все еще может видеть, что порт открыт, но удален (отфильтрован) брандмауэром.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .