gentoo 2018-10

어차피 l2tp+ipsec기반이면 인증서/psk(pre-shared-key) 인증 방식인데 안뚫립니다. broot-force같은걸로는...
정 걱정되시면 psk 말고 인증서로 인증 받게 하시고 인증서를 들고다니시는 방법 정도가 있겠네요. 아니면 /ip firewall filter에 가셔서 address-list와 address-list-timeout을 잘 활용하시면 특정 시간 안에 특정 횟수 이상 접속시 해당 ip를 블록할 수도 있습니다.
geoip라는 국가별 ip db가 csv로 나온게 있는데 이걸 파이썬으로 파싱하셔서 미크로틱 address-list에 집어넣는 스크립트를 대충 짜실 수 있다면 국가별 ip 기반 패킷 필터링도 그리 어렵지 않게 하실 수 있고요. 물론 이건 원래 리눅스 커널에 있는 xtables라는 네트웍 패킷 필터 애드온에 들어가는 또다른 애드온에 쓰는거라 이런 다소 복잡한 삽질을 해야하는거지만요

알토냥 2018-10

위의 gentoo님이 말씀한대로 인증서을 이용하면 뚫릴 가능성은 사실상 거의 없습니다.

다만 이게 귀찮으시다면 Source를 PortKnocking을 이용하여 임시지정하는 방법이 있습니다.

https://wiki.mikrotik.com/wiki/Port_Knocking

알토냥 2018-11

흠 저도 최근에 IPSEC VPN을 회사에 구축하고 너무 공격 시도가 많이 들어오길래 UDP포트 500에 대해 방화벽으로 BruteForce 공격 차단을 걸었습니다.

설정법은 다음과 같습니다.

https://wiki.mikrotik.com/wiki/Bruteforce_login_prevention

ps. 제가 이용한 스크립트입니다.

/ip firewall filter
#  Jump 룰의 경우 Input룰에서 전체 차단 룰 보다 위쪽으로 놓아두시면 됩니다.
add action=jump chain=input comment="in: Jump -> IPsec (New IPsec connection to UDP:500 WAN)" connection-state=new dst-port=500 in-interface-list=WAN jump-target=IPsec protocol=udp

# 나머지 룰은 아무곳이나 원하는 곳에 박아두세요. 어짜피 체인에 따라서 움직이기 때문에..
add action=add-src-to-address-list address-list=BlackList address-list-timeout=none-dynamic chain=IPsec comment="IPsec: Black List" log=yes log-prefix="IPsecBlackList] " src-address-list=IPsec_stage3
add action=add-src-to-address-list address-list=IPsec_stage3 address-list-timeout=10m chain=IPsec comment="IPsec: Stage 3" src-address-list=IPsec_stage2
add action=add-src-to-address-list address-list=IPsec_stage2 address-list-timeout=10m chain=IPsec comment="IPsec: Stage 2" src-address-list=IPsec_stage1
add action=add-src-to-address-list address-list=IPsec_stage1 address-list-timeout=10m chain=IPsec comment="IPsec: Stage 1"

# 그리고 BlackList를 차단하는 룰을 원하시는 방법으로 추가하세요. 저는 RAW룰에 추가했습니다.
/ip firewall raw
add action=drop chain=prerouting comment="Pre: Drop anyone in Black List" in-interface-list=WAN src-address-list=BlackList