Поиск 0
8 499 455-06-82
с 9:00 до 18:00 по будням
info@digitalangel.ru
Draytek VPN

Как заблокировать неизвестный IP-адрес, который продолжает звонить через VPN на DrayTek Vigor Router

В качестве VPN-сервера Vigor Router всегда прослушивает порты VPN для приема VPN-подключений из Интернета. Иногда мы можем видеть, что некоторые неизвестные IP-адреса продолжают отправлять VPN-запрос на маршрутизатор Vigor в системном журнале, но не можем определить, кто является удаленным узлом. Это раздражает и может быть угрозой безопасности. В этом документе показано, как заблокировать неизвестный IP-адрес, который постоянно подключается к маршрутизатору Vigor через VPN.

 

Начиная с прошивки 4.4.0, Vigor Router поддерживает локальный фильтр, который можно применить к самому Vigor Router. С помощью локального фильтра мы можем заблокировать некоторые неизвестные IP-адреса, которые продолжают набирать VPN или пытаются получить доступ к маршрутизатору по протоколу HTTP. Кроме того, мы также можем заблокировать IP-адреса из определенных стран, чтобы предотвратить атаку с IP-адреса из указанной страны. В этой статье мы демонстрируем некоторые практические применения локального фильтра.

1: добавьте неизвестный IP-адрес в черный список IP-адресов

  1. Перейдите в Firewall >> Defense Setup и включите Dos Defense.

 2.Нажмите « White/Black IP List Option» .

Выберите журнал, если вы хотите видеть из Syslog Explorer.
Введите IP-адрес неизвестного узла и нажмите «Добавить», чтобы добавить IP-адрес в черный список IP-адресов.

Примечание :

  • Исходный IP-адрес поддерживает 4 параметра для определения свойств IP-адреса. 
  • IP может вводить один IP-адрес. 
  • IP Object может применяться к профилю объекта, определенному в Objects Setting >> IP Object заранее. 
  • IP Group может применяться к профилю объекта группы, определенному в Objects Setting >> IP Group заранее. 
  • Country Object может применяться только к профилю объекта, определенному в Objects Setting >> Country Object заранее.

В системном журнале мы получим предупреждение от маршрутизатора, когда IP-адрес из черного списка попытается получить доступ.

2: разрешите службу VPN из указанной страны

  1. Перейдите в «Objects Setting >> Country Object» , чтобы создать профиль.
    1. Дайте имя профиля.
    2. Добавьте страну, которую мы хотели бы разрешить.
    3. Нажмите OK, чтобы сохранить.


  2. Перейдите в «Objects Setting >> Service Type Object» , чтобы создать профиль.
  3. Здесь мы возьмем, например, SSL VPN.
    1. Дайте имя профиля.
    2. Выберите протокол, который использует эта служба.
    3. Введите порт, который эта служба будет использовать в поле Порт назначения.
    4. Нажмите OK, чтобы сохранить.
  4. Примечание :
    • Разные службы используют разные сервисные порты 
    • PPTP -> TCP 1723, GRE (протокол 47) 
    • L2TP -> TCP 1701, UDP 500/4500 
    • IPsec -> UDP 500/4500, ESP (протокол 50) 
    • SSL -> TCP 443 
    • OpenVPN -> TCP 443/1194, UDP 1194
  5. (Необязательно) Если мы хотим заблокировать множество служб, мы можем добавить эти объекты служб в группу типов служб.
  6. Перейдите в Firewall >> Filter Setup , чтобы создать правило, которое блокирует службу VPN с любого исходного IP-адреса.
    1. Включите это правило.
    2. Выберите WAN-> Localhost для направления.
    3. Выберите Любой в исходном IP-адресе/стране.
    4. Выберите объект службы (или группу служб), созданный на шаге 2, в разделе «Тип службы».
    5. Выберите Блокировать, если больше нет совпадений для фильтра. (Проверьте системный журнал, чтобы просмотреть журналы этого правила.)
    6. Нажмите OK, чтобы сохранить.

  7. Создайте еще одно правило, чтобы разрешить указанной стране использовать эту службу.
    1. Включите это правило.
    2. Выберите WAN-> Localhost для направления.
    3. Выберите объект страны, созданный на шаге 1, в исходном IP-адресе/стране.
    4. Выберите объект службы (или группу служб), созданный на шаге 2, в разделе «Тип службы».
    5. Выберите Пропустить немедленно для фильтра. (Проверьте системный журнал, чтобы просмотреть журналы этого правила.)
    6. Нажмите OK, чтобы сохранить.

  8. Примечание. Если служба использует SSL, измените порт управления маршрутизатора. В противном случае правило брандмауэра также заблокирует доступ к странице WUI маршрутизатора.
  9. В системном журнале мы увидим журналы брандмауэра, когда IP-адрес из этой страны пытается установить VPN-соединение.

3: Блокировка VPN-подключения с помощью защиты от грубой силы

Vigor Router поддерживает параметры VPN-сервера в защите от грубой силы, которая позволяет пользователям блокировать попытки входа в учетную запись VPN от атаки грубой силы.

  1. Перейдите в раздел « System Maintenance >> Management» , чтобы настроить защиту от грубой силы.
    1. включить Brute Force Protection .
    2. выберите вариант VPN-сервера .
    3. Выберите Maximum login failures от 1 до 255 раз.
    4. Выберите Penalty period от 1 до 31536000 секунд.

  2. В системном журнале мы увидим журналы брандмауэра о том, что одноранговый узел с тем же IP-адресом будет запрещен защитой грубой силы после того, как он превысит максимальное время неудачного входа в систему.

 


Сравнение товаров {{compareItems.length}}

Например termit irz модем rl21 atm21 антенна 906 sma 45791
Например termit irz модем rl21 atm21 антенна 906 sma 45791
Мы используем cookie-файлы