Удаленное управление роутером микротик

Настраиваем удаленный доступ на роутере Mikrotik

Бывают случаи, что нужно настроить на роутере Mikrotik удаленный доступ, для этого необходимо иметь так называемый белый IP адрес, или, как его еще называют – статический. А так же, у вас должен быть уже настроен сам роутер Mikrotik, о том как его настраивать, читайте в этой статье, где подробно описан процесс настройки PPPoE соединения на Mikrotik. И так, предположим, что у вас имеется статический IP адрес, который выдал вам ваш интернет-провайдер, и вы скачали с официального сайта утилиту для роутеров Mikrotik под названием Winbox. Если же нет, переходите по этой ссылке на официальный сайт и скачиваете ее, после чего можно продолжать настройку удаленного доступа через утилиту Winbox.

Настройка удаленного доступа к Mikrotik

В данной статье мы рассмотрим два простых способа, как можно настроить удаленный доступ к Mikrotik, и начнем с утилиты Winbox. Запускаем Winbox, авторизуемся, а затем идем в пункт “IP” и в открывшейся вкладке выбираем “Firewall”:

удаленный доступ на роутере Mikrotik 1

Откроются настройки Firewall, тут нас интересует вкладка “Filter Rules”, так как в ней отображаются правила для фаервола. В верхнем углу нажимаем на крестик:

удаленный доступ на роутере Mikrotik 2

Откроется окно, в котором можно задавать правила для Firewall, что мы собственно сейчас и сделаем. В поле “Chain” выставляем “input”, в поле “Protocol” задаем “tcp”, а в поле “Dst. Port” выставим порт по котором работаем Winbox “8291”:

удаленный доступ на роутере Mikrotik 3

Далее переходим во вкладку “Action” и в поле “Action” выставляем “accept”, затем сохраняем настройки, для этого нажимаем на кнопки “Apply” и “OK”:

удаленный доступ на роутере Mikrotik 4

Новое правило сохраниться в самом низу, но, перед ним будут стоять другие правила Firewall, которые возможно будут перекрывать наше только что созданное, по этому его необходимо переместить в самый верх. Это делается при помощи мышки, зажимаете правой клавишей наше правило и перемещаете его вверх:

удаленный доступ на роутере Mikrotik 5

Но, это еще не все, осталось добавить адреса откуда мы разрешим подключаться к Mikrotik. Для этого идем в пункт “IP”, далее в выпадающем списке выбираем пункт “Services”:

удаленный доступ на роутере Mikrotik 6

В открывшемся окне нас интересует на данный момент Winbox, для него необходимо задать адреса и подсети, с которых и будет происходить подключение:

удаленный доступ на роутере Mikrotik 7

Двойным нажатием левой клавишей мыши открываем окно, и в строке “Available From” вписываем адрес, затем, если нам нужно добавить еще один адрес, нажимаем на черную стрелку в низ, и у нас появляется еще одна строка, в которую так же вписываем адрес. А в том случае, если необходимо удалить какой-то адрес, эту же черную стрелку нажимаем вверх:

удаленный доступ на роутере Mikrotik 8

Сохраняем настройки нажатием на кнопки “Apply” и “OK”, можно приступать к проверке, все должно работать. Так же имеется способ задать эти же правила через терминал Mikrotik. Что бы задать правила через терминал, нажимаем на вкладку “New Terminal”:

Читайте также:  Настройка wi fi роутеров точек доступа

удаленный доступ на роутере Mikrotik 9

И в открывшемся терминале вводим команды:

/ip firewall filter add chain=input protocol=tcp dst-port=8291 disabled=no action=accept place-before 0

Первой командой мы разрешаем входящий трафик на порт 8291, и поднимем его в самый верх в списке правил Firewall. Затем, необходимо задать правило на адреса подключений, в примере приведу правило на подключение со всех адресов. Но, в целях безопасности, настоятельно рекомендую вам исправить строку “0.0.0.0/0” и задать вместо нее только доверенные адреса.

/ip service set winbox address=0.0.0.0/0

удаленный доступ на роутере Mikrotik 10

К примеру, если задавать несколько IP адресов, то есть, примерно вот так:

P.S. первый IP адрес указан локальной сети, если его не указать, то вы из локальной сети не сможете подключаться к Mikrotik, и тем самым рискуете потерять над ним контроль. А адреса 168.66.9.10 и 198.56.88.105/24 идут для подключения из сети. По этой причине, рекомендую работать в режиме “Safe Mode”, он активируется вверху утилиты Winbox:

удаленный доступ на роутере Mikrotik 11

Заключение

Не рискуйте и не оставляете настройки подключения для всех IP адресов, так как в этом случае, ваш Mikrotik может превратиться в чей-то Proxy или того хуже, станет частью ботнета. В любом случае лучше перестраховаться и не рисковать вашим Mikrotik, так как были случае, когда ‘угоняли’ роутеры и использовали их как машину для атак.

А на этом сегодня все. Надеюсь данная статья будет вам полезна.
Журнал Cyber-X

Источник

Настройка удалённого доступа к MikroTik

MikroTikLab

Давайте разберём тему по настройке удалённого доступа к MikroTik через интернет, поговорим о нюансах, с которыми вы столкнитесь в реальном мире, а также ответим на вопрос «Как подключаться к микротику, который находится за микротиком?»

В повседневной жизни администратора, есть необходимость подключения к различным консолям управления. Будь то телефония (через веб), RDS ферма (через RDP) и другие системы по SSH. Находясь в периметре компании вы не сталкиваетесь с проблемой подключения к ним. Но что делать, если вы за пределами ее и нужно внести изменения в конфигурацию пограничного маршрутизатора или свечей и точек доступа за ним? Да, у Mikrotik есть множество сервисов (в том числе и API) для удалённого его управления (Winbox, WEB, SSH, Telnet etc…).

Обращаю ваше внимание, что основополагающим в схеме удалённого подключения через интернет является наличие хотя бы одного публичного IP адреса на пограничном маршрутизаторе.

Что есть у Mikrotik

Давайте взглянем для начала, что вообще есть из сервисов удалённого управления. Открываем IP-Services.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

Читайте также:  Wi fi роутер tp link archer ax50 ax3000 настройка

Сервисы управления

  • Первый пункт это обычный API интерфейс без шифрования, второй – соответственно то же самое, но только шифрованный.
  • FTP – это не сервис управления, а в принципе сервис, по которому можете сделать свой Mikrotik FTP-сервером для приёма и передачи файлов.
  • Telnet и SSH – доступ к командной строке роутера. Telnet — все команды, а так же логин и пароль подключения остаются не зашифрованные (открытым текстом). SSH – все данные зашифрованы.
  • Winbox — это подключение к роутеру через специальное приложение (этот способ чаще всего используется).
  • WWW и WWW-SSL – аналогично пункту выше только через веб.
  • Для пунктов с SSL в названии нужен сертификат.

Как видно из скриншота выше, все порты установлены стандартные и все сервисы включены (т.е. по ним можно подключиться).

Основное

Самое важное – это определиться какие методы управления вам необходимы. Рекомендую оставлять 2, максимум 3, остальное отключаем. В моей демонстрации я буду показывать подключение по Winbox, SSH и WEB.

Выделяем все сервисы через CTRL + A, зажимаем CTRL и кликаем на нужные сервисы, отключаем через крестик. В итоге должна получиться следующая картина.

Выключаем не используемые сервисы

Winbox

Пожалуй, самая любимая моя вещь. Здесь есть нюанс. Многие для доступа к управлению с телефона оставляют включённый WWW или в лучшем случае WWW-SSL. Я не сторонник выставления любых веб-сервисов наружу т.к. это довольно популярное направление атак. Хитрость заключается в том, что если вы выставляете порт Winbox наружу, то вы легко подключитесь через мобильное приложение TikApp (работает на Android), тем самым двух зайцев одним выстрелом.

Чтобы совсем спокойнее было, я ещё ставлю не стандартный порт. Двойным кликом открываем настройку сервиса и меняем порт.

Замена стандартного порта Winbox

Разрешаем подключаться к Winbox

Далее открываем данный порт на input в firewall.

Winbox Connect to

Подключаемся внутри сети к Winbox по не стандартному порту.

Аналогично и снаружи, по прямому белому адресу или по доменному имени, или по DDNS Mikrotik.

Если нажата галочка «Сохранить пароль», то в случае успешного подключения, данные коннекта сохранятся во вкладке «Сохранённые»

Настройка Mikrotik через телефон

SSH

Аналогично предыдущего пункта, изменим порт по умолчанию. Почему мы это делаем? Потому что «желтолицые» ребята не дремлют и сканируют/брутфорсят девайсы с публичными адресами.

Замена порта SSH

И создадим правило фаервола на input с action accept.

Правило Firewall для не стандартного порта SSH

В принципе, вы можете не создавать новое, а дописать в предыдущее дополнительный порт через запятую. Но тогда вы не поймёте, что относится к Winbox, а что к SSH. Тут уже все зависит от ваших предпочтений, но конечно, чем меньше правил, тем лучше.

Web

Ранее я говорил, что лучше http-сервисы не выставлять наружу. Сейчас мы разрешим подключаться по web только изнутри компании. Открываем сервис для редактирования и указываем нашу подсеть, применяем.

Разрешенные подсети для веб

Столбец Available From изменился. Вы можете указать сколько угодно подсетей и адресов не только для данного сервиса, а для любого в целом.

Если указано хотя бы одна сеть Available From, то сервис не позволит подключиться с других, не подпадающих в диапазон.

В некоторых ситуациях может не устроить, что Winbox и SSH доступны снаружи, тогда в их свойствах добавляете нужные подсети и адреса, к примеру локальную и VPN.

Читайте также:  Как перезапустить ростелеком роутер

Следующий важный момент в правиле фаервола, это указание Src. Address

Фаервол WWW

В чем вы спросите изюминка?

  1. Мы защитили сервис на уровне его собственных настроек;
  2. Запретим доступ к нему (и девайсу в целом) следующими правилами фаервола.

/ip firewall filter

add action=accept chain=input comment=in-E&R-Allow connection-state=established,related

add action=drop chain=input comment=in-All-Drop

Тем самым организовали 2 уровня его защиты.

Подключение к микротику за микротиком RoMON

Тема довольно интересная. Хороша она тем, что простой проброс порта у вас не сработает, как не старайся. К тому же это не безопасно, вы же помните за «желтолицых»?

RoMON – протокол передачи данных, позволяющих подключаться к устройствам на L2. Доступен с RouterOS 6.28. У каждого устройства должен быть ID, обычно он равен MAC адресу интерфейса.

В моем стенде есть домашний роутер и виртуалка за ним CHR. Включим сначала на пограничном роутере Tools – RoMON.

Включаем и задаём пароль. После включения генерится ID.

Включение RoMON на Mikrotik hAP AC

Если хотите что-то не стандартное на уровне портов, то вам в Ports.

Открываем CHR и делаем то же самое, он даже может не иметь IP адрес, но пароль должен быть идентичен!

Включение RoMON на CHR

Далее берём Winbox, и подключаемся к белому адресу (в моем стенде я буду использовать серый, но сути не меняет, оно будет работать как снаружи, так и внутри) и жмём Connect To RoMON.

Подключаемся по RoMON к CHR

Далее открывается вкладка RoMON Neighbors, в которой будут видны, все агенты.

Выбираем из списка нужный микротик

Выбираем MAC девайса и жмём Connect. Поле адреса в строке подключения изменится, соответственно и логин пароль должен быть корректно вписан. Но он у меня одинаков на обоих устройствах, поэтому ничего не менял, но в вашем случае, все может быть по-другому.

А теперь взгляните на строку подключения.

Статус соединения через RoMON

В этой демонстрации я показал простое использование RoMON, вы можете крутить его, как угодно, в реальной жизни лучше создавать Management VLAN и вешать именно на него.

На этом пожалуй все способы настройки удалённого доступа к Mikrotik закончены. Чтобы не запоминать сложные публичные IP адреса, используйте DNS или DDNS (IP – Cloud).

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

Источник

Оцените статью
Adblock
detector