Как развернуть MikroTik RouterOS в облаке и настроить VPN, PPTP, L2TP, Web Proxy сервер

Рет қаралды 15,559

Күн бұрын

Какие плюсы и минусы маршрутизаторов #MikroTik и #RouterOS по сравнению с маршрутизаторами Cisco и IOS. И как простые знания помогут Вам зарабатывать больше.
На мастер-классе Вы узнаете:
- Как развернуть MikroTik RouterOS в облаке;
- Как выполнить базовые настройки RouterOS;
- Что такое #VPN концентратор и как его настроить;
- Как настроить PPTP (туннельный протокол типа точка-точка) в облаке;
- Как выполняется настройка сервера IPsec на MikroTik по протоколу #L2TP;
- Что такое Web Proxy и как настроить веб-прокси в облаке.
Узнайте как получить бесплатную лицензию MikroTik RouterOS для домашнего VPN в облаке. Получите ответы на свои вопросы от эксперта.
Курсы по кибербезопасности с нуля до аналитика DevSecOps (Введение в кибербезопасность / Introduction to Cybersecurity). На мини-курсе «Как ИТшнику стать специалистом по #кибербезопасность с нуля до #аналитик #DevSecOps и начать зарабатывать больше $ 2 000 всего за 4 месяца» Вы получите базовые знания, первый сертификат от компании Cisco и узнаете, как новый навык может помочь Вам зарабатывать больше в сфере ИТ. Чтобы попасть на курс, просто подайте заявку здесь: edu-cisco.org/...
Какие знания по кибербезопасности Вы получите? В процессе прохождения курса, Вы:
изучите термины кибербезопасности и поймете ее важность;
научитесь различать характеристики и последствия разных типов кибератак;
оцените уровень влияния кибератак на различные сферы и отрасли;
поймете подход Cisco к обнаружению и защите от киберугроз;
сможете узнать, почему профессия специалиста по информационной безопасности становится все более востребованной;
освоите фундамент для получения сертификации в области сетевой безопасности;
получите навыки, необходимые в сфере ИТ.
Кроме этого, на отдельных занятиях мы рассмотрим как правильно учиться, и как с помощью новых навыков по кибербезопасности начать зарабатывать больше.
Чтобы узнать все детали программы и получить бонусный курс Cisco «Введение в Интернет Вещей (IoT)», перейдите по по этой ссылке: edu-cisco.org/...
Академия Cisco на платформе SEDICOMM University: edu-cisco.org/
Введение в кибербезопасность / Introduction to Cybersecurity: edu-cisco.org/...
Основы кибербезопасности / Cybersecurity Essentials: edu-cisco.org/...
Cyber Ops Associate / CCNA Cyber Ops: edu-cisco.org/...
Network Security / CCNA Security: edu-cisco.org/...
Безопасность облачной среды / Cloud Security: edu-cisco.org/...
Мы предлагаем Вам пройти кибербезопасность обучение, обучение на кибербезопасность, обучение по кибербезопасности, кибербезопасность обучение вузы, кибербезопасность обучение самостоятельно с нуля бесплатно, специалист по кибербезопасности обучение, кибербезопасность с чего начать обучение, обучение кибербезопасности, обучение кибербезопасности с нуля, кибербезопасность обучение с нуля, обучение специалист по кибербезопасности, кибербезопасность обучение самостоятельно с нуля, кибербезопасность обучение колледж, обучение по кибербезопасности дистанционно, кибербезопасность с чего начать обучение самостоятельно, машинное обучение в кибербезопасности, кибербезопасность обучение бесплатно.
Также Вы можете окончить кибербезопасность курсы, кибербезопасность курсы переподготовки, курс специалист по кибербезопасности , специалист по кибербезопасности курсы, специалист по кибербезопасности курс скачать, курсы кибербезопасности, специалист по кибербезопасности курс, курс кибербезопасность, курсы специалист по кибербезопасности, курсы по кибербезопасности, курс по кибербезопасности, скачать курс специалист по кибербезопасности, кибербезопасность курс, курсы кибербезопасность.

Пікірлер: 49

@cisconeslabo 2 жыл бұрын

Приглашаем на курcы с трудоустройством: Введение в кибербезопасность / Introduction to Cybersecurity: edu-cisco.org/courses/cybersecurity/ Linux с нуля до DevOps / DevNet / Linux Unhatched: edu-cisco.org/courses/lpi-linux-unhatched/ Введение в DevOps / DevNet: edu-cisco.org/courses/devnet-python-apic-em/ CCNA Маршрутизация и Коммутация / CCNA Routing & Switching: edu-cisco.org/courses/cisco-ccna-routing-and-switching/ Программируемые системы DevOps / DevNet: edu-cisco.org/courses/cisco-devnet-devops/ Основы Linux LPI / Linux Essentials LPI: edu-cisco.org/courses/lpi-linux-essentials/ Основы программирования Python / Programming Essentials in Python: edu-cisco.org/courses/python-programming-essentials/ СCNA / Network Security: edu-cisco.org/courses/cisco-ccna-security/ CCNP Enterprise: edu-cisco.org/courses/ccnp-enterprise/

@pavelnagopetyan1504 4 жыл бұрын

47 минута - в выборе списка протоколов аутентификации для L2tp сервера стоит оставить только mschap v2 остальные протоколы давно уязвимы и не отвечают современным требованиям безопасности (Оставленный просто самый устойчивый и представленного списка)

@ok-world 4 жыл бұрын

Прикольно. Брали инстанс во Франкфурте, а оказались в Торонто. :)

@Johann75 Жыл бұрын

Да, хороший хостинг…

@evgenijivanovych9911 4 жыл бұрын

Cisco Ne Slabo, спасибо за материал. Вот только Вы забыли рассказать за последнюю тему из Вашего плана - про WEB Proxy.

@ДенисРаспутько 4 жыл бұрын

Для проксей отлично заходят VPS и дедики от WELL-WEB NET. Цены от 490 руб. Нормальный проц с норм частотой (>3.5 GHz), трафик не ограничен, управление удобное. Главные плюсы - что они все настраивают сами все и бесплатно, нужно только сказать что поставить, а второе это то что в Нидерландах и США выдают IP из рандомных сетей, что для меня очень важно! Рекомендую попробовать и не мучаться с настройкой по видео - достаточно объяснить че надо и тебе все настроят и расскажут как пользоваться. Сейчас акция идет - платишь на 6 мес. - дарят до 1 года! Осталось совсем немного до конца!

@Johann75 Жыл бұрын

Ещё лучше Oracle Cloud Infrastructure. Там до четырёх машин бесплатно.

@IoganDobryi 4 жыл бұрын

31:55 RFC 5737 The blocks 192.0.2.0/24 (TEST-NET-1), 198.51.100.0/24 (TEST-NET-2), and 203.0.113.0/24 (TEST-NET-3) are provided for use in documentation. 4. Operational Implications Addresses within the TEST-NET-1, TEST-NET-2, and TEST-NET-3 blocks SHOULD NOT appear on the public Internet and are used without any coordination with IANA or an Internet registry [RFC2050]. Network operators SHOULD add these address blocks to the list of non- routeable address spaces, and if packet filters are deployed, then this address block SHOULD be added to packet filters.

@igorbeletsky1839 2 жыл бұрын

ссылки на используемые скрипты и основные моменты неплохо разместить в описании. развернули ubuntu. почему 16 а не 20? и что там сертификат ssh уже по умолчанию есть? или его все таки нужно настроить? .

@cisconeslabo 2 жыл бұрын

Какая убунта неважно. Мы её затерли, вместо её ставиться RouterOS. О сертификате в видео, но опять неважно, мы убунту забираем и вместо её ставим RouterOS.

@Hanigun 3 жыл бұрын

Все работает, спасибо, но вопрос чуть в ином теперь. Если впн туннель упадет, то автоматом падает и доступ в инет. Как сделать так чтобы при подключении к впн, весь трафик шел через него (это на видео есть), а когда впн отпадает, чтобы включался обычный инет. Буду очень благодарен!

@cisconeslabo 3 жыл бұрын

Нужно включить нат на выходной интерфейсе, который на провайдера. А дальше нужно выставить метрику, на провайдера больше, например 10, а на впн -- 5. Тогда будет автоматическое переключение.

@dmitriyd6437 2 жыл бұрын

1:04:00 т.е. по сути, сначала второй микрот стал клиентом L2TP (без шифрования), а уже потом зашифровал между микротом-сервером трафик уже в подсети L2TP ?

@cisconeslabo 2 жыл бұрын

Да. Шифрование делается посредством IPSec.

@dmitriyd6437 2 жыл бұрын

@@cisconeslabo да это понятно, хороший способ ipsec если один из микротов за серым ip

@cisconeslabo 2 жыл бұрын

Но, у меня все так ловко получилось из-за того что одинаковые версии RouterOS, а если разные, то как показывает практика, IPSec очень полнимается и настраивается.

@cisconeslabo Жыл бұрын

Ссылки из мастер-класса: Получить $100 на обучение для развертывания облачных серверов: try.digitalocean.com/performance/ Install Mikrotik CHR on a Digital Ocean droplet: gist.github.com/stroebs/54fc09734a3911e91eeeb43434f117df Ссылка для проверки CVE: cve.mitre.org/cve/search_cve_list.html

@Hanigun 3 жыл бұрын

Возможно странный вопрос. По VPN клиенты не получают DNS сервера. У моего провайдера стоит блок сайтов по DNS Замена например на гугл, разблокирует сайты. Возвращаясь к VPN. - IP > DNS , все прописано. Allow remote включено. В профиле ppp прописаны DNS. Но они не доходят до клиентов. В чем моя ошибка? Кстати все правила фаервола выключены, специально чтобы убедиться что я с ними не накосячил. Сейчас еще раз весь курс пересмотрю, где я что-то упустил....

@cisconeslabo 3 жыл бұрын

Проверьте: ping 8.8.8.8 nslookup google.com 8.8.8.8 Отпишитесь что система пишет после этих команд.

@Hanigun 3 жыл бұрын

@@cisconeslabo Комментарий с ответом на эти команды улетел на проверку ютубом

@pavelnagopetyan1504 4 жыл бұрын

Подход с защитой канала управления описанный на 20-24 минутах имеет право на жизнь но концептуально не верен Это скорее первое базовое действие в первый момент а не защита на длительное время Т.к. проверка из какой сети и с какого адреса пришел пакет в SSH или Winbox идет после прохождения всех цепочек фильтра на уровне реализации сервиса (SSH,WinBox) то не исключено нахождение уязвимостей в реализации этой проверки и на пути до самого сервиса которые позволят обойти алгоритм ограничений и скомпрометировать устройство Более правильный вариант защиты канала управления базируется на отбрасывании пакетов направленных в центры управления из не разрешенных источников на уровне таблиц IP-Firewall-RAW и/или IP-Firewall-Filter в наборе правил цепочки INPUT применение всех трех уровней дает увеличение шанса что случайное выключение цепочек фаервола не оставит канал управления открытым для перебора паролей и эксплуатации уязвимостей сервисов Отбрасывание сканирования ботами на уровне цепочки RAW наиболее эффективно т.к. пакеты минимально нагружают систему своим прохождением. Отбрасывание в Filters - тоже работает и является дублированием (в норме пока работает RAW правила эти цепочки будут не нагружены но если отключат RAW сработает Filters) И последний рубеж защиты это фильтр сетей и адресов в настройках сервиса. Применение фильтров адресов сервиса WEB не спасло его в свое время от компрометации в связи с найденной уязвимостью в реализации сервиса. Отбросив пакеты ботов на самой ранней стадии получите минимальную поверхность уязвимостей для атаки

@RustamLatypov 4 жыл бұрын

Какие порты для каждого протокола нужно открывать?

@Hanigun 3 жыл бұрын

Еще вопрос. В маршрутах прописываю Dst.address 0.0.0.0/0 Gateway: 192.168.0.1 reachable ether1. Исходя из написанного, в гейтвей я могу в теории, выбрать сам интерфейс ether1, для того чтобы не перепрописывать гейтвей каждому отдельно, а просто динамически подтягивать его с интерфейса ether1. Но это так не работает. Почему??? :) Зачем мне это? Затем что на руках 5 микротов, и у всех гейтвеи могут быть разными. Или когда гейтвей изменится, то мне придется идти к человеку и вписывать новый гейтвей руками. UPD. Решил вопрос при помощи Distance Не сразу понял что в DHCP client он тоже меняется, но на другой вкладке. Поставил 2 для основного инета.

@RomaRAW_ 3 жыл бұрын

Здравствуйте, не со всем понятно про указание доступа с одного ip, у меня например модем, у меня ip поменяется мне потом как быть?

@АндрейАндрей-б2ъ3у 3 жыл бұрын

мы включили NAT на routerOS, до этого действия доступ в интернет после подключения по pptp пропадал. А как сделать чтобы траффик для VPN шел на routerOS а остальной траффик в интернет шел через провайдера клиента? Чтобы не нагружать траффиком routerOS.

@00HAV00 4 жыл бұрын

Да сделал такое прикольно. Спасибо. Подскажите кто ни будь, а как сделать маррутизацию-пробросы. Что бы при обращении к айпи адресу облачного роутера на определнные порты, уходить на домашний роутер. (сижу на LTE роутере, а дома есть NAS, купио VPS установил CHR, VPN сделал. А дальше не могу). Спасибо.

@IoganDobryi 4 жыл бұрын

какая минимальная конфигурация виртуальной машины?

@cisconeslabo 4 жыл бұрын

1 GB оперативной памяти.

@ДляПрофи 3 жыл бұрын

Этот скрипт запускается только на digital ocean?

@alexey7360 3 жыл бұрын

Как локальную сеть организовать с помощью роутер ос?

@spb3970 4 жыл бұрын

настроил так же все но все равно не подключается почему то dhcp пул у меня 172.16.10.10-255 пул для l2tp 172.16.50-60 локальный хост 172.16.10.9 инет приходит по порту 1 еще создал ipsec пароль но что-то еще видно нужно не пойму что

@IoganDobryi 4 жыл бұрын

Можно было вместо RouterOS разместить в облаке линукс машину с OpenVPN?

@nikopolv 4 жыл бұрын

Почему нет. На сервере развернута полноценная ось. С ней можно делать все что хочешь.

@IT07source 4 жыл бұрын

Из Москвы

@Johann75 Жыл бұрын

А как запустить это дело на ARM?

@cisconeslabo Жыл бұрын

Скачать обрез для ARM: mipsle или mipsbe, там зависит от того какой ARM.

@Johann75 Жыл бұрын

@@cisconeslabo да? А где это? На сайте микромикрон ничего нет.

@Johann75 Жыл бұрын

@@cisconeslabo Нет таких...

@IT07source 4 жыл бұрын

Валейкум ассалям

@bylya82 4 жыл бұрын

Web Proxy сервер где ???

@IoganDobryi 4 жыл бұрын

Скиньте ссылку на облако сюда, плиз

@oljaolsa7261 4 жыл бұрын

як поєднати убунту мікротік та віндовс ??

@Johann75 Жыл бұрын

$2k в месяц на Cisco? Как-то маловато... Это как раз зарплата для начинающих на Mikrotik.

@cisconeslabo Жыл бұрын

Гребанная долларова инфляция уже все съела. Официально 5~7 %, но по факту роста цен ~ 40%.

@IoganDobryi 4 жыл бұрын

В чем смысл использовать тестовые сети?

@tonick74 4 жыл бұрын

Что еще за тестовые адреса? Вы о чем? Есть публичные, а есть приватные, про тестовые впервые слышу...

@cisconeslabo 4 жыл бұрын

The blocks 192.0.2.0/24 (TEST-NET-1), 198.51.100.0/24 (TEST-NET-2), and 203.0.113.0/24 (TEST-NET-3) are provided for use in documentation. tools.ietf.org/html/rfc5737

@IoganDobryi 4 жыл бұрын

Ссылку на 50$

@user-ramzes 3 жыл бұрын

Я хочу объединить дома три компьютера в закрытую сеть. На двух стоит W-8.1, а на третьем десятка. Есть роутер microtic. Восьмёрки нормально видят друг друга, а десятка ну ни как не вписывается. То она не видит, то её. Чё только не делал, причём даже напрямую 8.1+10ка, через пачкорд бастуют! На десятке хочу сервер.