Et Lille powershell script som danner en mikrotik / routeros RSC script file, der kan bruges til at opdateret en addresse liste.

 ## senderbase.org / talsos
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
$blacklist = "https://talosintelligence.com/documents/ip-blacklist"

$data = Invoke-WebRequest $blacklist
$RosFirewallAddresslist = "/ip firewall address-list"
$RosAddList = "add list=blacklist address="
$RosComment = " comment=Talos"
$RosScriptOutput = "c:\temp\Talos.rsc"

$RosFirewallAddresslist | out-file $RosScriptOutput -Encoding unicode -Force

## https://chrisjwarwick.wordpress.com/2012/09/16/more-regular-expressions-regex-for-ip-v4-addresses/
Function ExtractValidIPAddress($String){
$IPregex=‘(?<Address>((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?))’
If ($String -Match $IPregex) {$Matches.Address}
}

foreach( $line in $data.RawContent.Split("") )
{
if ($line -and (ExtractValidIPAddress($line) )) {
$RosAddList + $line + $RosComment | out-file $RosScriptOutput -Encoding unicode -Append
}
}
#Get-Content $RosScriptOutput

Mit seneste lille aftens projekt, "mobil router" til når vi er på tur, sådan at ungerne også har lidt internet når vi er i Campingsvognen.

Jeg kunne egentligt blot have købt et færdig produkt pris, 500 til 1500 kr, men jeg ville gerne gøre det muligt for at kunne lave Ipsec/vpn fra enheden og  hjem, samt kunne tilkoblet en ekstern mobil antænde.

Min løsning blev følgende

Mikrotik mAP 2n pris 300 kr ( pc-lageret.dk )
ZTE MF823   Pris  200 kr (Ebay )

mAP2n + ZTE MF 823

Med det samme jeg tilsluttede ZTE 823 modemet Mikrotik enheden, kom der et LTE1 interface frem.
LTE1 Interfacet skal man huske at tilkoble som et DHCP client, sådan USB modemet, kan levere sin client IP til denne.
ZTE modemet leger egentlig selv netværks enhed, på den måde at den uddeler Ipaddresser til dennes klient på 192.16.0.0/24 netærket
Skal man adminstere zte web interfacet, skal der naturligtvis laves en NAT, sådan man kan gå fra mikrotik 192.168.88.0 netværket til ZTE MF823's 192.168.0.1 web interface addresse.

En hurtig speed test, på det 3G netværk, jeg kom på inde i vores hus, Telmore Data kort.

Speed på ZTE MF823


Speedtest data fra Waoo.dk / OOKLA

waoo speed test




Jeg kigget lidt på hvordan jeg kan beskytte mit netværk mod div. kendte bot'nets og faldt over denne artikel på  nettet, som beskriver hvordan man kan benytte listerne fra dshield, spamhaus med flere til at blokere trafik til og fra problematiske ipaddresser / ip subnets

http://joshaven.com/resources/tricks/mikrotik-automatically-updated-address-list/

Her er min version til at hente og lave en RouterOS.RSC file med indholdet fra https://zeustracker.abuse.ch

#!/bin/sh
 saveTo=.
 now=$(date);
 echo "# Generated $now" > $saveTo/zeustracker.rsc
 echo "/ip firewall address-list" >> $saveTo/zeustracker.rsc
 wget -q -O - https://zeustracker.abuse.ch/blocklist.php?download=ipblocklist | awk --posix '/^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/ { print "add list=blacklist address=" $1 " comment=zeustracker";}'  >> $saveTo/zeustracker.rsc

 

Fjern en ip adresse-list, sådan en ny og opdateret liste kan loades.

/ip firewall address-list remove [/ip firewall address-list find list=Sans_block]

skal have (read + write policy)

 

I aften har jeg leget lidt med at sænke krypteringen af en IPsec tunnel på min microtik for at se om det løste det cpu performance problem jeg har set.

Setup er:

Microtik routeren har en  30 Mbit internet forbindelse og jeg har en intel atom baseret debian gateway på 20 Mbit som der forbindes til.

Først testede jeg med default 3DES opsætningen.

3des = 100% cpu

Som kan ses er CPU load på 100% og forsætter man  i forlangtid med denne load, begynder mikrotik routeren at lave sjove ting.
Omkring 11 MBit kan jeg presse min file overførsel op til igennem tunnelen, skal jeg aflaste cpu skal jeg ned på 6 -7 MBit før jeg har en stabil mikrotik router igen.

En reconfiguration til AES 128 ar en stor effekt på cpu load vs file overførsels hastighed.

AES 128 Microtik IPSEC

Nu benytter jeg stort set de fulde 20 MBit som der er til rådighed og mikrotik kassen køre stabilt på 72% cpu. :-)

Naturligvis betyder dette at jeg vil køre med en laveret kryptering, men realt er IPSec tunnelen's primære formål at binde de forskellige lokalationers lokal net sammen, og data sikkerheden på de filer der overføres er ikke så vigtigt endda.

Dette er lavet helt adhoc, dvs. rigtigt perfomance test er det ikke, blot en rette snor at gå efter.