Как развернуть MikroTik RouterOS в облаке и настроить VPN, PPTP, L2TP, Web Proxy сервер

Приглашаем на курcы с трудоустройством:
Введение в кибербезопасность / Introduction to Cybersecurity: edu-cisco.org/courses/cybersecurity/
Linux с нуля до DevOps / DevNet / Linux Unhatched: edu-cisco.org/courses/lpi-linux-unhatched/
Введение в DevOps / DevNet: edu-cisco.org/courses/devnet-python-apic-em/
CCNA Маршрутизация и Коммутация / CCNA Routing & Switching: edu-cisco.org/courses/cisco-ccna-routing-and-switching/
Программируемые системы DevOps / DevNet: edu-cisco.org/courses/cisco-devnet-devops/
Основы Linux LPI / Linux Essentials LPI: edu-cisco.org/courses/lpi-linux-essentials/
Основы программирования Python / Programming Essentials in Python: edu-cisco.org/courses/python-programming-essentials/
СCNA / Network Security: edu-cisco.org/courses/cisco-ccna-security/
CCNP Enterprise: edu-cisco.org/courses/ccnp-enterprise/

Ссылки из мастер-класса:
Получить $100 на обучение для развертывания облачных серверов:
try.digitalocean.com/performance/
Install Mikrotik CHR on a Digital Ocean droplet:
gist.github.com/stroebs/54fc09734a3911e91eeeb43434f117df
Ссылка для проверки CVE:
cve.mitre.org/cve/search_cve_list.html

47 минута - в выборе списка протоколов аутентификации для L2tp сервера стоит оставить только mschap v2 остальные протоколы давно уязвимы и не отвечают современным требованиям безопасности (Оставленный просто самый устойчивый и представленного списка)

Прикольно. Брали инстанс во Франкфурте, а оказались в Торонто. :)

1:04:00 т.е. по сути, сначала второй микрот стал клиентом L2TP (без шифрования), а уже потом зашифровал между микротом-сервером трафик уже в подсети L2TP ?

ссылки на используемые скрипты и основные моменты неплохо разместить в описании. развернули ubuntu. почему 16 а не 20? и что там сертификат ssh уже по умолчанию есть? или его все таки нужно настроить?
.

Еще вопрос. В маршрутах прописываю Dst.address 0.0.0.0/0 Gateway: 192.168.0.1 reachable ether1. Исходя из написанного, в гейтвей я могу в теории, выбрать сам интерфейс ether1, для того чтобы не перепрописывать гейтвей каждому отдельно, а просто динамически подтягивать его с интерфейса ether1. Но это так не работает. Почему??? :) Зачем мне это? Затем что на руках 5 микротов, и у всех гейтвеи могут быть разными. Или когда гейтвей изменится, то мне придется идти к человеку и вписывать новый гейтвей руками.
UPD. Решил вопрос при помощи Distance Не сразу понял что в DHCP client он тоже меняется, но на другой вкладке. Поставил 2 для основного инета.

мы включили NAT на routerOS, до этого действия доступ в интернет после подключения по pptp пропадал. А как сделать чтобы траффик для VPN шел на routerOS а остальной траффик в интернет шел через провайдера клиента? Чтобы не нагружать траффиком routerOS.

Cisco Ne Slabo, спасибо за материал. Вот только Вы забыли рассказать за последнюю тему из Вашего плана - про WEB Proxy.

Возможно странный вопрос. По VPN клиенты не получают DNS сервера. У моего провайдера стоит блок сайтов по DNS Замена например на гугл, разблокирует сайты.
Возвращаясь к VPN. - IP > DNS , все прописано. Allow remote включено. В профиле ppp прописаны DNS. Но они не доходят до клиентов. В чем моя ошибка? Кстати все правила фаервола выключены, специально чтобы убедиться что я с ними не накосячил. Сейчас еще раз весь курс пересмотрю, где я что-то упустил....

Здравствуйте, не со всем понятно про указание доступа с одного ip, у меня например модем, у меня ip поменяется мне потом как быть?

31:55 RFC 5737
The blocks 192.0.2.0/24 (TEST-NET-1), 198.51.100.0/24 (TEST-NET-2),
and 203.0.113.0/24 (TEST-NET-3) are provided for use in
documentation.
4. Operational Implications
Addresses within the TEST-NET-1, TEST-NET-2, and TEST-NET-3 blocks
SHOULD NOT appear on the public Internet and are used without any
coordination with IANA or an Internet registry [RFC2050]. Network
operators SHOULD add these address blocks to the list of non-
routeable address spaces, and if packet filters are deployed, then
this address block SHOULD be added to packet filters.

Какие порты для каждого протокола нужно открывать?

Для проксей отлично заходят VPS и дедики от WELL-WEB NET. Цены от 490 руб. Нормальный проц с норм частотой (>3.5 GHz), трафик не ограничен, управление удобное. Главные плюсы - что они все настраивают сами все и бесплатно, нужно только сказать что поставить, а второе это то что в Нидерландах и США выдают IP из рандомных сетей, что для меня очень важно! Рекомендую попробовать и не мучаться с настройкой по видео - достаточно объяснить че надо и тебе все настроят и расскажут как пользоваться.
Сейчас акция идет - платишь на 6 мес. - дарят до 1 года! Осталось совсем немного до конца!

Все работает, спасибо, но вопрос чуть в ином теперь. Если впн туннель упадет, то автоматом падает и доступ в инет. Как сделать так чтобы при подключении к впн, весь трафик шел через него (это на видео есть), а когда впн отпадает, чтобы включался обычный инет. Буду очень благодарен!

какая минимальная конфигурация виртуальной машины?

Этот скрипт запускается только на digital ocean?

Как локальную сеть организовать с помощью роутер ос?

А как запустить это дело на ARM?

настроил так же все но все равно не подключается почему то
dhcp пул у меня 172.16.10.10-255 пул для l2tp 172.16.50-60 локальный хост 172.16.10.9 инет приходит по порту 1 еще создал ipsec пароль но что-то еще видно нужно
не пойму что

Подход с защитой канала управления описанный на 20-24 минутах имеет право на жизнь но концептуально не верен
Это скорее первое базовое действие в первый момент а не защита на длительное время
Т.к. проверка из какой сети и с какого адреса пришел пакет в SSH или Winbox идет после прохождения всех цепочек фильтра на уровне реализации сервиса (SSH,WinBox) то не исключено нахождение уязвимостей в реализации этой проверки и на пути до самого сервиса которые позволят обойти алгоритм ограничений и скомпрометировать устройство
Более правильный вариант защиты канала управления базируется на отбрасывании пакетов направленных в центры управления из не разрешенных источников на уровне таблиц IP-Firewall-RAW и/или IP-Firewall-Filter в наборе правил цепочки INPUT
применение всех трех уровней дает увеличение шанса что случайное выключение цепочек фаервола не оставит канал управления открытым для перебора паролей и эксплуатации уязвимостей сервисов
Отбрасывание сканирования ботами на уровне цепочки RAW наиболее эффективно т.к. пакеты минимально нагружают систему своим прохождением. Отбрасывание в Filters - тоже работает и является дублированием (в норме пока работает RAW правила эти цепочки будут не нагружены но если отключат RAW сработает Filters)
И последний рубеж защиты это фильтр сетей и адресов в настройках сервиса.
Применение фильтров адресов сервиса WEB не спасло его в свое время от компрометации в связи с найденной уязвимостью в реализации сервиса.
Отбросив пакеты ботов на самой ранней стадии получите минимальную поверхность уязвимостей для атаки

Можно было вместо RouterOS разместить в облаке линукс машину с OpenVPN?

Скиньте ссылку на облако сюда, плиз

$2k в месяц на Cisco? Как-то маловато... Это как раз зарплата для начинающих на Mikrotik.

Web Proxy сервер где ???

Валейкум ассалям

як поєднати убунту мікротік та віндовс ??

Из Москвы

Да сделал такое прикольно. Спасибо.
Подскажите кто ни будь, а как сделать маррутизацию-пробросы. Что бы при обращении к айпи адресу облачного роутера на определнные порты, уходить на домашний роутер. (сижу на LTE роутере, а дома есть NAS, купио VPS установил CHR, VPN сделал. А дальше не могу).
Спасибо.

В чем смысл использовать тестовые сети?

Что еще за тестовые адреса? Вы о чем? Есть публичные, а есть приватные, про тестовые впервые слышу...

Я хочу объединить дома три компьютера в закрытую сеть. На двух стоит W-8.1, а на третьем десятка. Есть роутер microtic. Восьмёрки нормально видят друг друга, а десятка ну ни как не вписывается. То она не видит, то её. Чё только не делал, причём даже напрямую 8.1+10ка, через пачкорд бастуют! На десятке хочу сервер.

Ссылку на 50$