電訊茶室 - Powered by Discuz! Board

標題: mikrotik 951 setup problem [打印本頁]

作者: vpn-learner 時間: 2017-1-4 13:15 標題: mikrotik 951 setup problem

刚刚从大陆回香港老家，把刚买的mikrotik 做设定，好不容易连到网络及设定了WiFi，再跟网上教程设置PPTP及L2TP的VPN。但到现在仍未能成功，不知道是script file 设置 dyndns 的问题还是还有其他问题，希望师兄能指教一下。
另外，当我检视我的log file 是，发觉它不停地跳动，有很多的error message，不知那里出现问题，希望师兄帮我看看改正。
谢谢！[attach]3809[/attach]

作者: 角色 時間: 2017-1-4 13:50

上面两个IP地址是你的吗？

作者: vpn-learner 時間: 2017-1-4 14:52

回復 2# 角色

你是指 114.35.181.135 和 189.34.125.240 ？
两个都不是我的地址！！不知道那里来的！是不是有很多黑客入侵？请问如何挡住？

作者: vpn-learner 時間: 2017-1-4 15:19

情况越来越严重！
[attach]3810[/attach]

作者: 角色 時間: 2017-1-4 16:03

你的秘密够长就可以，不能用普通的符号。

作者: vpn-learner 時間: 2017-1-4 16:29

为什么我的router会有这么多黑客企图入侵？能否改login的admin名字，而用其它login name?

作者: Qnewbie 時間: 2017-1-4 21:01

本帖最後由 Qnewbie 於 2017-1-4 21:20 編輯

1. As a basic firewall rull, allow login with "admin" only from your local network, Allowed address from 0.0.0.0/0 to something like 192.168.88.0/24.
System => user, double click admin.
[attach]3811[/attach]
2. You can change your login name.
Add your own username to your router with same rights as admin(full) with winbox.
System => user => +
[attach]3812[/attach]

作者: Qnewbie 時間: 2017-1-4 21:15

One more thing, you can block brute force attacks after you change your username:

/ip firewall filter
add chain=input protocol=tcp dst-port=8291 src-address-list=winbox_blacklist action=drop \
comment="drop winbox brute forcers" disabled=no
add chain=input protocol=tcp dst-port=8291 connection-state=new \
src-address-list=winbox_stage3 action=add-src-to-address-list address-list=winbox_blacklist \
address-list-timeout=10d comment="" disabled=no
add chain=input protocol=tcp dst-port=8291 connection-state=new \
src-address-list=winbox_stage2 action=add-src-to-address-list address-list=winbox_stage3 \
address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=8291 connection-state=new src-address-list=winbox_stage1 \
action=add-src-to-address-list address-list=winbox_stage2 address-list-timeout=1m comment="" disabled=no
add chain=input protocol=tcp dst-port=8291 connection-state=new action=add-src-to-address-list \
address-list=winbox_stage1 address-list-timeout=1m comment="" disabled=no

複製代碼

Source: http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention with modification for winbox.

作者: vpn-learner 時間: 2017-1-4 21:19

回復 8# Qnewbie

Thanks 师兄！

作者: Qnewbie 時間: 2017-1-4 21:56

本帖最後由 Qnewbie 於 2017-1-4 22:00 編輯

Other basic firewall scripts might help you:

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

Scripts with following link might be modified after your need(be carefull!):
http://wiki.mikrotik.com/wiki/Basic_universal_firewall_script

作者: vpn-learner 時間: 2017-1-4 22:21

回復 8# Qnewbie

请教师兄 [attach]3813[/attach]

图中语法 disable=no 是什么意思？我在winbox 里是否按住 <ok> 键就可以呢？还是要按《disable》键？
但是如果我按《disable》键，我之前输入的东西就没有了？
[attach]3814[/attach]

作者: Qnewbie 時間: 2017-1-4 22:23

Just click OK, it is alright.

作者: Qnewbie 時間: 2017-1-4 22:55

"disabled=no" seems to be indicator to the packet processing for the firewall. I cannot find information from http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter.

作者: vpn-learner 時間: 2017-1-5 04:18

回復 8# Qnewbie

sorry 师兄，请不要怪我问些傻问题。[attach]3815[/attach]
图中的文字是否其实是一个 Firewalls 的 script，只要在 system > scripts 增加一个 script 项目，把图中的text 复制上去就可以了？
而不用在 winbox 里逐条逐条指令去输入？

因为我在winbox 里有时都找不到一些位置/项目/command等输入的地方。
谢谢！

作者: Qnewbie 時間: 2017-1-5 19:06

回復 14# vpn-learner
In winbox, you simply click "New terminal", a terminal pops up and you can use copy&paste these codes in #8 to build you firewall rules. Firewall works according to these rules. Script is saved in a file(winbox: system =>script) and executed by schedular or by hand.

作者: Qnewbie 時間: 2017-1-5 19:10

More info, see http://wiki.mikrotik.com/wiki/Manual:Console

作者: edmond25 時間: 2017-1-6 12:22

你开port 用 telnet 非常吸引人来攻击，用 SSH 加数码证书，安全好多

歡迎光臨電訊茶室 (http://telecom-cafe.com/forum/)