ISPforum.cz

To už napsat určitě jde. Příkaz fetch existuje. Ale možná bych neshazoval VPNku celou, ale jen ovlivňoval firewall (např. address-listem).

ssh je secure shell. A jako takový je pro tento účel nepoužitelný. Sice lze používat forwarding portů, čili v podstatě VPN, ale nevím o tom jak to použít v ROS.
Nevymýšlej šílenost, použij něco co je na to přímo stavěné ROS toho umí docela dost.

bych řekl, že jsi ho naprosto vůbec nepochopil.

vencakubik píše:Na mikrotikách s procesorem tilera se to chová stejně. Management vytíží dva procesory na 100%.

Ani ne ...

Na některou ze stanic.

Beny44 píše:... Může mně někdo nasměrovat, kde bych to mohl najít?

Problémy typu "špatné heslo" jsou zjevně způsobeny winboxem jako binárkou. Vyšla 3.18 co to zjevně opravuje.

Víš, keksíku ... ne každý mikrotik má jednoznačně definovaný WAN. Ne každý mikrotik si lze odříznout z internetu. Proto nás zajímají i bugy jako takové, ne jenom obrana (která je v tomto případě prostě nemožná, neboť problém může nastat i z LAN strany, nebo po MAC-serveru).

Už jsem se v těch vnořených a leckdy neukončených citacích ztratil. Faktže se to chová jinak - limitace usera a limitace služby. Na usera to špatné jméno/heslo nahlásí. Na službu se ovšem divím také, čekal bych reject.

Limitace winboxu v ip/services samozřejmě špatné heslo nebo jméno nehlásí. Ale timeout, resp. čeká a čeká a čeká ...

Hapi ... 3.12, tři dvanáct stačí. Alespoň od ROS 3.30. pokud máš pouze v6 což by si měl mít tak stačí winbox v3.17. Pokud máš RouterOS v5 a níž tak prostě winbox v2.9. To jsou tedy max dva. MPCZ: pro v6 stačí 3.17. Sice osobně vyzkoušeno jen na 6.10, ale asi se to dá brát za bernou minci. Ale vzhled...

Je hlášeno dokonce zrušení všech hesel ... zůstalo jen přihlašování ssh s klíčem.

Ale já si to zkusil na CCR a žádný problém zatím nemám.

Brocadu koupil Broadcom. Nechal si divizi storage a zbytek prodal Ruckusu. A ten zatím v portfoliu pokračuje.

Čoveče ... verze 6.40.8 opravovala chybu, která umožňovala "to zjištění hesel". Ty scripty tu chybu využívaly. Fakt myslíš, že budou fungovat?

Ještě lze použít jako ochranu (pokud možno jako ne jedinou) toto: add action=drop chain=sshchain comment="prevent brute force attack" src-address-list=sys_ssh_blacklist add action=accept chain=sshchain src-address-list=nejaky_whitelist add action=add-src-to-address-list address-list=sys_ss...

Tu narážecí spojku mají snad v každém eshopu, co se zabývá alespoň trochu síťařinou.