потому что pptp/l2tp/sstp/openvpn - идеологически сервисы доступа извне. и с мобилок в том числе. обезопасить их jn ботнетов несложно тем же fail2ban. а резать - зло - поменялся адрес /провайдер у буха и всё. лезь в энидекс и чини. зачем?

благодать скоро придёт с ipv6

и geoip

либо делать радикально и доплачивать бухам по 100р чтобы у провадеров статику купили.

по-моему я дал начало холивару...

винбокс брутфорсят. как и ssh поменяв порт вы спасёте себя от ботнетов.

Ребятушки, вот как раз в тему. Есть два микротика между ними тунель pptp, при подключении клиента к серверу, клиент наглухо умирает и сбрасывает подключение к винбоксу и прочее. Умирает все в плоть до коннекта с ппрвайдером

так у него извне вроде всё закрыто сейчас (кроме прописанного мной l2tp), или нет?

Когда нужно отдавать сервисы неизвестному количеству неизвестных людей с неизвестных IP - согласен. А для решения конкретной обозначенной задачи @Kompumaster - излишне. Инструмент подбираем под задачу. Зачем городить fail2ban, если кнокинг снимает проблему долбежки снаружи с неизвестных IP в принципе?

mtu/mss копайте

Именно. Просто. Надежно. Неубиваемо.
Если всё же сменился провайдер или надо поработать из аэропорта - кнокинг. Закинуть им скрипт из трёх строк и .rdp файл - в тыщщу раз проще, чем настраивать ВПН. Из макоси, например.  Или из андроида.
Масштабирование опять же. Сколько клиентов потянет тот же мой любимый hap ac2 с ipsec (пусть он там даже аппаратный), и сколько - простым dstnat. А канал и там и там зашифрован. RDP современный вполне себе криптостойкий, и к man-in-the-middle устойчивый.

fail2ban иснтрумент на микротике - работает сам каши не просит. батник с порткнокингом Светлана Андревна удалит либо сама, либо это сделает её сын хакер.

Покопал не дало результатов

Это работало лет 5 назад. Сейчас ботнеты умные пошли. Сканируют все 65535 потртов, и определяют, где ssh, где rdp, а где winbox. Либо надо их еще на этапе сканирования обрезать, либо волшебный пингкнокинг просто убережет от последствий скана. Микрот просто не ответит ни на один syn. Просканили - пошли дальше. Куда им и дорога.
Тарпит хорошо, но привлекает лишнее внимание. Его лучше ставить на отдельно висящем CHR, за которым ничего нет. Пущщай кулхацкеры развлекаюцца. )

Ну так она и ярлык к RDP файлу удалит. Это не аргумент. )
Зачем усложнять то, что можно решить просто?

нет, опровергаю. всё что выше 60000 не трогают. у меня на даче на реальнике висит хиковский регистратор с открытыми 80-м портом. с тех пор как выше 60000 сделал порт - перестали брутить.

Закрыто. Но l2tp - то открыт. ) Понаблюдайте за логами пару недель - увидите много интересного. )

Посмотрим как будет )

l2tp+ipsec пусть ломают. глючик приватный ещё можно с энтропией в 12+символов сделать. если бесят сильно - опять же повторяюсь в инете лежит fail2ban для ssh микротика - переделывается на l2tp на раз.

Это работает. Но до момента, когда кто-то из вашей внутренней сети попытается открыть TCP соединение с порта выше 60000 и совпадет с вашим опубликованным.