- Cloud – Удаленный доступ к роутеру Mikrotik при динамическом IP адресе
- Включаем функцию Mikrotik Cloud
- Прописываем правило в Firewall
- Заключение
- Настройка удалённого доступа к MikroTik
- Что есть у Mikrotik
- Основное
- Winbox
- SSH
- Web
- Подключение к микротику за микротиком RoMON
- 89 вопросов по настройке MikroTik
- Настройка удаленного доступа MikroTik через интерфейс и командную строку
- Настройка удаленного доступа через интерфейс
- Настройка удаленного управления через командную строку
Cloud – Удаленный доступ к роутеру Mikrotik при динамическом IP адресе
Что делать, если вам нужен удаленный доступ к роутеру Mikrotik, а у вас динамический IP адрес, можно конечно воспользоваться каким нибудь сервисом по типу No IP. Но, на можно воспользоваться и встроенной функцией, которая присутствует в данном оборудовании, речь идет о функции Cloud. Данная функция позволяет получить удаленный доступ к роутеру при динамическом IP адресе. Подключение к роутеру будет осуществляться по серийному номеру оборудования, в итоге вы получите примерно такой DNS name – ****************.sn.mynetname.net где звездочками будет серийный номер вашего оборудования и, по нему вы сможете подключаться к роутеру вместо IP адреса. Отмечу сразу, все действия будем совершать через утилиту winbox, а так же у вас должен быть уже настроен Mikrotik, как это сделать, читайте тут.
Включаем функцию Mikrotik Cloud
И так, запускаем утилиту winbox, в случае, если вы используете Linux, то данная утилита отлично работает через Wine, про установку которого на сайте имеется не одна статья, для Debian, Ubuntu, Fedora. Авторизуетесь и переходите в пункт IP и в выпадающем списке выбираете Cloud:
В появившемся окне необходимо активировать функцию DDNS Enable, вторая функция Update Time обычно уже активирована по умолчанию, если же по какой-то причине она не активна, то активируйте ее. В итоге вы получите DNS Name, тот самый с серийным номером, по которому вы в будущем сможете подключаться к оборудованию Mikrotik с помощью Cloud:
По понятным причинам, я замазал свой серийный номер роутера Mikrotik. Но, на этом еще не все, так как в правилах Firewall скорей всего у вас стоят правила, которые могут запрещать какое-либо подключение из вне, по этой причине необходимо задать новые правила.
Прописываем правило в Firewall
Переходим к настройке правил для удаленного доступа к оборудованию Mikrotik, открываем снова вкладку IP и в выпадающем окне выбираем пункт Firewall:
В открывшемся окне нажимаем на плюсик и переходим к вкладке “General”, в пункте “Chain” указываем “input”, а в пункте “Src. Address” задаем IP адрес с которого будет осуществлять подключение. Если в данном поле оставить одни нули, то подключение будет осуществляться с любого IP адреса, что в свою очередь представляет опасность в плане взлома вашего устройства:
Затем переходим к вкладке “Action”, в поле “Action” выбираем “accept”, на этом настройку Firewall можно завершить, нажимаем на кнопку “Apply” и потом на “OK” и перетаскиваем это правило вверх списка:
Все то же самое можно проделать введя в терминале Mikrotik команду, не забыв поменять в команде нули (0.0.0.0/0) на ваш IP адрес, с которого будет осуществляться подключение:
/ip firewall filter add chain=input action=accept src-address=0.0.0.0/0 place-before 0
Заключение
Таким образом, вы сможете получить удаленный доступ к роутеру Mikrotik при динамическом IP адресе, благодаря встроенной в данное оборудование функции Cloud. Как уже говорилось в начале статьи, подключаться вы будете по DNS Name, достаточно его ввести в winbox вместо IP адреса. Что собственно, весьма удобно и отпадает необходимость в использовании сторонних сервисов. А тем у кого имеется статический IP адрес и необходим удаленный доступ, можете его получить прочитав эту статью.
А на этом сегодня все. Надеюсь данная статья будет вам полезна.
Журнал Cyber-X
Настройка удалённого доступа к MikroTik
Давайте разберём тему по настройке удалённого доступа к MikroTik через интернет, поговорим о нюансах, с которыми вы столкнитесь в реальном мире, а также ответим на вопрос «Как подключаться к микротику, который находится за микротиком?»
В повседневной жизни администратора, есть необходимость подключения к различным консолям управления. Будь то телефония (через веб), RDS ферма (через RDP) и другие системы по SSH. Находясь в периметре компании вы не сталкиваетесь с проблемой подключения к ним. Но что делать, если вы за пределами ее и нужно внести изменения в конфигурацию пограничного маршрутизатора или свечей и точек доступа за ним? Да, у Mikrotik есть множество сервисов (в том числе и API) для удалённого его управления (Winbox, WEB, SSH, Telnet etc…).
Обращаю ваше внимание, что основополагающим в схеме удалённого подключения через интернет является наличие хотя бы одного публичного IP адреса на пограничном маршрутизаторе.
Что есть у Mikrotik
Давайте взглянем для начала, что вообще есть из сервисов удалённого управления. Открываем IP-Services.
Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.
- Первый пункт это обычный API интерфейс без шифрования, второй – соответственно то же самое, но только шифрованный.
- FTP – это не сервис управления, а в принципе сервис, по которому можете сделать свой Mikrotik FTP-сервером для приёма и передачи файлов.
- Telnet и SSH – доступ к командной строке роутера. Telnet — все команды, а так же логин и пароль подключения остаются не зашифрованные (открытым текстом). SSH – все данные зашифрованы.
- Winbox — это подключение к роутеру через специальное приложение (этот способ чаще всего используется).
- WWW и WWW-SSL – аналогично пункту выше только через веб.
- Для пунктов с SSL в названии нужен сертификат.
Как видно из скриншота выше, все порты установлены стандартные и все сервисы включены (т.е. по ним можно подключиться).
Основное
Самое важное – это определиться какие методы управления вам необходимы. Рекомендую оставлять 2, максимум 3, остальное отключаем. В моей демонстрации я буду показывать подключение по Winbox, SSH и WEB.
Выделяем все сервисы через CTRL + A, зажимаем CTRL и кликаем на нужные сервисы, отключаем через крестик. В итоге должна получиться следующая картина.
Winbox
Пожалуй, самая любимая моя вещь. Здесь есть нюанс. Многие для доступа к управлению с телефона оставляют включённый WWW или в лучшем случае WWW-SSL. Я не сторонник выставления любых веб-сервисов наружу т.к. это довольно популярное направление атак. Хитрость заключается в том, что если вы выставляете порт Winbox наружу, то вы легко подключитесь через мобильное приложение TikApp (работает на Android), тем самым двух зайцев одним выстрелом.
Чтобы совсем спокойнее было, я ещё ставлю не стандартный порт. Двойным кликом открываем настройку сервиса и меняем порт.
Далее открываем данный порт на input в firewall.
Подключаемся внутри сети к Winbox по не стандартному порту.
Аналогично и снаружи, по прямому белому адресу или по доменному имени, или по DDNS Mikrotik.
Если нажата галочка «Сохранить пароль», то в случае успешного подключения, данные коннекта сохранятся во вкладке «Сохранённые»
SSH
Аналогично предыдущего пункта, изменим порт по умолчанию. Почему мы это делаем? Потому что «желтолицые» ребята не дремлют и сканируют/брутфорсят девайсы с публичными адресами.
И создадим правило фаервола на input с action accept.
В принципе, вы можете не создавать новое, а дописать в предыдущее дополнительный порт через запятую. Но тогда вы не поймёте, что относится к Winbox, а что к SSH. Тут уже все зависит от ваших предпочтений, но конечно, чем меньше правил, тем лучше.
Web
Ранее я говорил, что лучше http-сервисы не выставлять наружу. Сейчас мы разрешим подключаться по web только изнутри компании. Открываем сервис для редактирования и указываем нашу подсеть, применяем.
Столбец Available From изменился. Вы можете указать сколько угодно подсетей и адресов не только для данного сервиса, а для любого в целом.
Если указано хотя бы одна сеть Available From, то сервис не позволит подключиться с других, не подпадающих в диапазон.
В некоторых ситуациях может не устроить, что Winbox и SSH доступны снаружи, тогда в их свойствах добавляете нужные подсети и адреса, к примеру локальную и VPN.
Следующий важный момент в правиле фаервола, это указание Src. Address
В чем вы спросите изюминка?
- Мы защитили сервис на уровне его собственных настроек;
- Запретим доступ к нему (и девайсу в целом) следующими правилами фаервола.
/ip firewall filter
add action=accept chain=input comment=in-E&R-Allow connection-state=established,related
add action=drop chain=input comment=in-All-Drop
Тем самым организовали 2 уровня его защиты.
Подключение к микротику за микротиком RoMON
Тема довольно интересная. Хороша она тем, что простой проброс порта у вас не сработает, как не старайся. К тому же это не безопасно, вы же помните за «желтолицых»?
RoMON – протокол передачи данных, позволяющих подключаться к устройствам на L2. Доступен с RouterOS 6.28. У каждого устройства должен быть ID, обычно он равен MAC адресу интерфейса.
В моем стенде есть домашний роутер и виртуалка за ним CHR. Включим сначала на пограничном роутере Tools – RoMON.
Включаем и задаём пароль. После включения генерится ID.
Если хотите что-то не стандартное на уровне портов, то вам в Ports.
Открываем CHR и делаем то же самое, он даже может не иметь IP адрес, но пароль должен быть идентичен!
Далее берём Winbox, и подключаемся к белому адресу (в моем стенде я буду использовать серый, но сути не меняет, оно будет работать как снаружи, так и внутри) и жмём Connect To RoMON.
Далее открывается вкладка RoMON Neighbors, в которой будут видны, все агенты.
Выбираем MAC девайса и жмём Connect. Поле адреса в строке подключения изменится, соответственно и логин пароль должен быть корректно вписан. Но он у меня одинаков на обоих устройствах, поэтому ничего не менял, но в вашем случае, все может быть по-другому.
А теперь взгляните на строку подключения.
В этой демонстрации я показал простое использование RoMON, вы можете крутить его, как угодно, в реальной жизни лучше создавать Management VLAN и вешать именно на него.
На этом пожалуй все способы настройки удалённого доступа к Mikrotik закончены. Чтобы не запоминать сложные публичные IP адреса, используйте DNS или DDNS (IP – Cloud).
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.
Настройка удаленного доступа MikroTik через интерфейс и командную строку
Всем доброго времени суток! В статье я коротко расскажу – как сделать в Mikrotik доступ из интернета или по-другому – как организовать, настроить удаленный доступ. При чем нам нужно не просто открыть порт и пускать туда всех кому не лень, а именно сделать безопасный вход. Для начала нужно подключиться к маршрутизатору и зайти в Web-интерфейс.
Но мне удобнее использовать WinBox, так как он позволяет открывать и работать сразу в нескольких местах. Так что тут каждый решает сам. Даже интересно как-нибудь сделать опрос, кто как, настраивает роутеры Микротик. Но мы немного отвлеклись – начнем же настраивать.
Настройка удаленного доступа через интерфейс
- Слева в меню выбираем «IP», далее нажимаем по разделу «Firewall». Для того чтобы открыть или прикрыть тылы, конечно же нужно зайди во вкладку «Filter Rules». Для создания нового правила или фильтра нажимаем по плюсику. А теперь внимательно вводим вот такие данные. В качестве «Chain» указываем параметр «input». В качестве «Protocol» мы будем использовать «TCP». И теперь надо указать порт, по которому мы будем подключаться в строке «Dst. Port». Если вы будете подключаться к Web-интерфейсу – то указываем 80. Для WinBox обычно указывается порт 8291, а для Telnet номер 23. Ещё я бы для себя добавил комментарии, чтобы потом не забыть. Нажимаем «Comment» и вводим нужную информацию. В конце не забудьте применить настройки кнопкой «Apply».
- Вот мы правило создали, но есть небольшая проблема в том, что они пока работать не будут. Данное правило надо поместить как можно выше. Это можно сделать здесь в интерфейсе.
- Теперь осталось прописать IP адреса, которым будет дано добро зайти в настройки роутера. Для этого там же в «IP» переходим в другой раздел «Services».
- Нам нужно выбрать ту службу, к которому мы хотим иметь доступ. Я в качестве примера хотел выходить из интернета на Web-интерфейс, поэтому выберу «www». Теперь откроется окошко, нужно в строке «Available From» добавляем те IP адреса «извне», которые будут иметь доступ к аппарату. Ещё добавьте IP адрес, с которого вы сейчас сидите. Также можно добавить и локальные адреса.
Настройка удаленного управления через командную строку
/ip firewall filter add chain=input protocol=tcp dst-port=80 disabled=no action=accept
- Добавляем наше правило в самый верх списка, чтобы оно работало. У меня правило имеет номер или ID 30 у вас может быть другое:
/ip firewall filter move 30 destination=1
/ip service set telnet address=192.168.33.0/24,214.55.17.76/32,192.168.100.0/32