Új hozzászólás Aktív témák

• #14666 Mr Dini addikt ekkold #14665

  Új Válasz 2021-09-18 18:12:42 #14666

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Mr Dini

  addikt

  válasz ekkold #14665 üzenetére

  Igen, tisztában vagyok azzal, hogy a blocking tűzfal szabályom miatt nem tudja elérni a VPN interface a routert.

  Ezért gondoltam azt, hogy akkor létrehozok egy szabályt, hogy ami az openvpn1 interfészről jövő input traffic a router dst ipjére, azt engedem. Viszont sajnos a VPN interface nem jelent meg a tűzfal szabályom alatt, mint lehetőség, ezért maradt az, hogy interfész helyett source ip-re szűröm a szabályt, nyilván a VPN IP-kre. Lehetne az, hogy statikus IP-t osztok a VPN-en belül és csak arra engedem a router elérést.

  Azonban elgondolkoztam, hogy a Magenta oldaláról nem teljesen lennék védve ezzel a megoldással. Sajnos az ISP-m nem igazán a hozzáértéséről híres, pl simán lehet ARP-ot mérgezni és a cmts továbbítja. Félek, hogy bár elég valószínűtlen, valahogy valaki mégis talál egy módot, hogy a magenta oldalról felvegye azt a src IP-t, amit az én VPN-em is kioszt jobb esetben és így elkezdheti brute forcolni a routeremet. Ezt szeretném elkerülni az interfész alapú szűréssel, de ahogy néztem ez nem lehetséges. Szóval alternatív megoldásokat keresek lehetőleg harmadik eszköz bevonása nélkül közvetlenül a routeren megvalósítva.

  Wan interfacen ARP letiltása sajnos nem játszik, mivel akkor a gateway-t se tudná megtalálni a router.

  A port knockingot meg overkillnek érzem otthonra. Igazából magát a VPN-t elég erős jelszó/key kombináció védi, max annak a veszélye áll fent, hogy brute forcolnak, vagy valami exploit alapján jutnak be. De hirtelen azt sem tudom, csak mikrotikkel hogyan tudnék port knockingot konfigurálni.

Új hozzászólás Aktív témák