Как подключиться к микротику через интернет
MikroTik: Настройка удаленного доступа к роутеру извне
В этой статье мы рассмотрим настройку удаленного доступа к роутеру Mikrotik через интернет. Для работы системного администратора, который обслуживает сеть с филиалами – это необходимость, которая сэкономит время, облегчит поддержку инфраструктуру локальной сети организации.
Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Настройка удаленного доступа Mikrotik
Удаленно подключиться к Mikrotik можно несколькими способами, мы разберем настройку двух наиболее часто используемых:
Чтобы осуществить подключение через интернет к Mikrotik, удаленный роутер должен иметь “белый” IP-адрес.
Давайте детально разберем в чем отличие этих методов удаленного подключения, на какие порты настроены данные сервисы, их плюсы и минусы.
Mikrotik. Удаленный доступ через Winbox
Чтобы подключиться к Микротику через Winbox, нужно в firewall открыть порт 8291. Для этого запустим фирменную утилиту (которую можно скачать с официального сайта) и перейдем:
Добавим правило, разрешающее подключение извне на 8291 port:
Перейдем на вкладку Action:
Разместим созданное правило выше запрещающего:
Таким образом, подключение к Mikrotik из интернета через Winbox разрешено. Данный способ позволяет удаленно настраивать оборудование в графическом режиме, что упрощает работу начинающим инженерам.
Mikrotik. Удаленный доступ по протоколу SSH
Также удаленное подключение до Mikrotik можно осуществить, используя протокол SSH, настроить и выполнить диагностику устройства из командной строки.
Удаленное подключение по SSH запуститься даже при слабом интернет-канале, когда нет возможности выполнить соединение с маршрутизатором, используя Winbox.
Чтобы настроить Mikrotik для удаленного подключения из интернета по протоколу SSH, нужно открыть 22 port. Делается это аналогичным способом, описанным выше. Поэтому мы просто скопируем ранее созданное правило, изменив порт:
Изменим значение Dst. Port на 22:
Разместим его выше блокирующего правила:
На этом настройка удаленного подключения, используя SSH соединение, закончена. Давайте проверим, для этого скачаем приложение Putty и запустим:
Вводим логин и пароль:
Для маршрутизатора Mikrotik удаленный доступ подключения используя SSH настроен и работает.
Ограничение удаленных подключений
В текущей конфигурации Mikrotik удаленный доступ предоставлен всем желающим, что негативно сказывается на безопасности. В современном мире смена стандартного порта, на котором работает сервис (например, Winbox) является слабой защитой. Как обезопасить роутер от сканирования и проникновения мы рассмотрим в статье MikroTik настройка firewall.
Чтобы минимально обезопасить маршрутизатор, мы можем прописать IP-адреса, которым разрешено подключение. Для этого откроем:
В открывшемся окне мы видим название сервисов (Name) и номер порта (Port) которое оно использует. Рекомендуем отключить все сервисы, которыми не собираетесь пользоваться.
Двойным нажатием на строчку сервиса Winbox, откроем его настройки и приведем к следующему виду:
А также рекомендуем изучить статьи:
На этом настройка удаленного доступа Mikrotik закончена. Надеюсь, данная статья была вам полезна. Если возникли вопросы пишите в комментарии.
Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Mikrotik-удаленный доступ к роутеру через интернет
Если у вас настроен роутер Mikrotik со статическим IP адресом и вам нужен удаленный доступ к нему для администрирования? Вот две простых инструкции по настройке доступа на RouterOS.
Настройка доступа через терминал
Запускаем winbox, скачать можно с официального сайта и запускаем терминал
В терминале по очереди вводим команды:
Системные администраторы делятся на тех, кто еще не делает бэкап, и тех, кто их уже делает. Народная мудрость.
/ip firewall filter add chain=input protocol=tcp dst-port=8291 disabled=no action=accept place-before 0
Этим правилом мы разрешим доступ для входящего трафика на порт 8291 из вне. И поднимаем это правило в верх всех правил фаервола.
/ip service set winbox address=0.0.0.0/0
А этим правилом, мы разрешаем любые подключения на роутер из интернета.
Важно! В целях безопасности и для защиты роутера от подбора паролей рекомендуется открывать доступ только для надежных подсетей или ip адресов!
Поэтому я не рекомендую использовать вышеуказанное правило, а рекомендую использовать для входа только разрешенные адреса и следующее правило.
/ip service set winbox address=192.168.1.0/193.33.98.108/32.193.169.3.24/32
Эти данные необходимо заменить на свои.
Настройка доступа через интерфейс winbox
Запускаем winbox и логинимся в нем
В боковом меню, выбираем IP-Firewall
Нажимаем + и добавляем новое правило
В правиле фаервола, указываем данные как на скриншотах
И сохраняем правило. После чего перемещаем его в самый верх списка.
Дело за малым, осталось добавить адреса подсетей, откуда мы разрешим подключаться консоли к роутеру.
Двойным кликом открываем строчку с winbox и добавляем адреса, либо подсети для доступа к mikrotik
Стрелка вверх удаляет строку, стрелка в низ добавляет. Нажимаем ok, проверяем доступ из интернета, все должно работать! 🙂
Если тебе понравился материал, ставь палец вверх!
Подключение к Микротику через Winbox
Хочу разобрать, казалось бы банальную тему использования стандартной программы для управления роутерами. Речь пойдет об использовании утилиты Winbox для подключения, управления и настройки роутеров Mikrotik. Несмотря на то, что простой доступ через Winbox не требует каких-то особых настроек, тем не менее с работой этой утилиты есть много нюансов.
Данная статья является частью единого цикла статьей про Mikrotik.
Введение
И все это доступно во всей линейке оборудования, даже в самых бюджетных моделях. Вам известно что-то подобное у других производителей в ценовой категории 50-150$? Мне лично нет, но тут я могу заблуждаться. Если у каких-то вендоров есть что-то похожее на Winbox, было бы любопытно узнать об этом.
Где скачать Winbox
Делаю на этом акцент, потому что одно время при поиске утилиты в поисковиках на первом месте были другие сайты. Кто-то подсуетился и сделал отдельные сайты под этот поисковой запрос. В итоге они были выше основного сайта вендора. Сейчас это уже пофиксили, но вот подобные примеры.
Так же напоминаю, что сайт mikrotik.ru к самой компании Микротик не имеет никакого отношения. Им просто удалось зарегистрировать этот домен и открыть на нем магазин оборудования. Причем продают они устройства разных вендоров. Часто этот сайт очень хорошо ранжируется и может вводить в заблуждение относительно его принадлежности к латвийской компании.
Отдельно добавлю, что версии winbox на русском языке не существует. Как и не существует интерфейса управления в ней с русским языком. И это очень хорошо, так как не происходит недопонимания и двойственности в трактовании и переводе одних и тех же настроек. Англоязычное it сообщество намного больше русскоязычного, поэтому удобнее искать что-то сразу на английском языке. Больше шансов найти информацию.
Winbox для MacOS и Linux
Это может показаться удивительным, но нативного приложения Winbox под Mac или Linux просто не существует. Я не разбираюсь в портировании программного обеспечения в другие операционные системы, поэтому не могу судить, почему дело обстоит именно так. Возможно есть какие-то объективные причины того, почему разработчики Mikrotik не выпускают отдельную версию winbox под Linux или Mac.
Так что у вас не очень много вариантов работы с winbox, если ваша OS не Windows:
Для запуска winbox в linux придется сначала установить wine, а затем запустить виндовую утилиту через нее. Каких-то особых заморочек с этим нет. Все работает сразу без дополнительных настроек. Главное wine поставить. В Ubuntu:
В Centos надо подключить репозиторий epel:
Как подключиться к Mikrotik через Winbox
Итак, утилиту мы скачали. Теперь рассмотрим варианты подключения к Mikrotik через Winbox. Тут проявляется еще одна очень полезная фишка микротиков. Если ты находишься с ним в одном широковещательном домене, то можно подключиться напрямую, используя mac адрес. Поясню для тех, кто не очень разбирается в теории сетей, о чем тут идет речь.
Расскажу по-простому. Единый широковещательный домен это как-будто вы подключены к микротику через общий свитч. Ваше соединение с ним осуществляется на канальном, втором уровне модели OSI. То есть вам не нужно ничего знать про ip адреса друг друга. Вы можете найти друг друга широковещательным запросом, а свитч вас соединит.
Такая возможность часто спасает, когда вы ошиблись в каких-то настройках ip адреса, или на фаерволе случайно закрыли себе доступ. Вы можете обойти ошибки на уровне ip, подключившись напрямую по mac адресу. Выглядит это следующим образом:
С помощью широковещательного запроса winbox обнаружил все доступные устройства Mikrotik в своем сегменте сети и получил возможность подключиться напрямую по mac адресу. Сразу скажу, что такое соединение менее стабильно, чем по ip. Вытекает это из особенностей протоколов подключения.
При подключении по IP адресу с помощью протокола TCP, осуществляется проверка целостности пакетов и подтверждение их доставки. При подключении по MAC этого не происходит, поэтому подключение менее стабильно. Это объясняет, почему во время подключения по mac часто происходит обрыв соединения и отключение от устройства. В общем случае лучше подключаться по ip адресу.
Когда мне приходилось удаленно настраивать Микротики, я всегда старался оставить себе возможность подключиться к устройству напрямую по mac. Понятно, что это не всегда получится и не всегда спасет, если ты по ошибке отключишь интернет. Но если была возможность подстраховаться, я ее использовал.
Если здесь отключить службу winbox, подключение через эту утилиту будет невозможно.
Доступ к Микротик из интернета
Иногда нужно настроить доступ к микротику снаружи, то бишь через незащищенное соединение по интернету. Без крайней необходимости я не рекомендую этого делать. Уже не раз в routeros находили уязвимости, в результате чего удаленное подключение к Mikrotik оказывалось огромной дырой в безопасности. В конечном счете это приводило к заражению устройства и использование его в качестве участника ботнета или открытого прокси сервера.
Для подключения к Mikrotik по умолчанию Winbox использует TCP PORT 8291. Соответственно, для доступа снаружи, вам необходимо открыть этот порт на Firewall. Я в обязательном порядке рекомендую защитить подобное соединение одним из двух предложенных мной в отдельных статьях способов:
Запретить доступ по Winbox
Рассмотрим теперь, как нам запретить подключение к микротику через winbox. Для начала запретим доступ по MAC адресу. Делайте это аккуратно, так как не настроив ip адрес и запретив доступ по mac, вы не оставите себе никакой возможности управлять роутером. Ему придется сбрасывать настройки.
Здесь вы можете выбрать списки интерфейсов, с которых разрешено подключение по MAC. Чтобы его запретить, надо выбрать none.
После этого подключиться по mac адресу с помощью winbox будет невозможно.
Собственные списки интерфейсов можно создать в разделе Interfaces, вкладка Interface List.
После этого устройство не даст себя обнаруживать в локальной сети. С запретом доступа по MAC разобрались, теперь запретим и все остальные подключения. Для этого есть 2 способа:
В первом случае отключаем службу.
Во втором добавляем правило в firewall.
Подробнее про настройку firewall читайте отдельную статью. Здесь не буду на этом останавливаться.
На этом по запрету доступа через Winbox все. Рассмотрел все возможные варианты блокировки подключения.
Почему winbox не видит Mikrotik по mac
И еще одну проблему знаю, когда никак не получалось подключиться к одному очень старому микротику. Как оказалось, для него нужно было скачать какую-то старую версию winbox. И только через эту версию по mac адресу, введя его вручную, можно было подключиться к устройству.
Шифрование сохраненных паролей
По умолчанию, Winbox все свои настройки, в том числе пароли доступа, хранит в открытом виде в директории C:\Users\user\AppData\Roaming\Mikrotik\Winbox. Очевидно, что это очень плохо, так как завладев этими файлами, можно получить доступ ко всем устройствам, которые находятся в списке подключений. Достаточно просто скопировать содержимое директории winbox на другой компьютер, запустить утилиту и подключиться по любому соединению с сохраненным паролем.
Для того, чтобы защитить свои сохраненные пароли, используйте шифрование. Для этого нажимайте кнопку Set Master Password на главном экране Winbox и указывайте пароль.
После этого доступа к сохраненным паролям не будет без введения Master Password, так что можно не бояться за сохранность файлов winbox в профиле пользователя. Я очень долгое время не задумывался о сохранности паролей, пока мне один знакомый не показал, как легко и просто забрать все мои сессии и получить доступ к устройствам.
Так что я настоятельно рекомендую всегда использовать Master Password и делать его длинным. Современные майнинговые фермы с кучей видеокарт сильно упрощают brute force не очень сложных паролей.
Заключение
Я постарался разобрать все известные мне нюансы подключения к Mikrotik по Winbox. Некоторые вещи я вообще не знал и не задумывал о них долгое время работы с устройствами. Например, только недавно я разобрал тему с подключением по mac. Узнал, как им управлять, ограничивать, запрещать и т.д. До этого просто не обращал на это внимание и оставлял все по дефолту.
Про шифрование рассказал все в статье. Долго им не пользовался, но последние несколько лет в обязательно порядке устанавливаю Master Password, либо просто не сохраняю пароли в winbox, храня их в keepass. Если я забыл что-то важное или в чем-то ошибся, жду замечаний в комментариях.
Персональный IT-блог
В любой непонятной ситуации — открывай консоль
Настройка удаленного доступа к роутеру MikroTik
В данной небольшой статье я расскажу, каким образом настроить удаленный доступ к роутеру MikroTik. Это может потребоваться, если вы, например, установили подобный маршрутизатор клиенту. В общем информацию необходимо знать всем, кто желает иметь доступ к устройству MikroTik, а также обезопаситься от доступа к нему злоумышленниками.
Для начала следует подключиться к роутеру через веб-интерфейс, далее настройку можно производить там же, либо скачать WinBox и использовать для конфигурирования эту программу. Интерфейс WinBox’а мало чем отличается от веб-интерфейса, основное отличие заключается в том, что вы можете открыть сразу несколько окон с настройками и конфигурировать, имея перед глазами все необходимые параметры.
Настройка доступа
После подключения к роутеру выбираем пункты меню слева:
IP — Firewall
В открывшемся окне на вкладке Filter Rules нажимаем на кнопку с плюсом, что означает: «Добавить новое правило». В открывшемся окне требуется указать следующие параметры:
Chain: input
Protocol: TCP
Dst. Port: Зависит от способа доступа. Для доступа через веб-интерфейс — 80, через WinBox — 8291, через Telnet — 23.
Переходим на вкладку Action, выбираем accept.
Для комментирования данного правила, нажимаем в правой части окна кнопку «Comment». Комментарий отображается в списке правил, поэтому это будет полезно, дабы не было путаницы в дальнейшем.
Нажимаем «Apply» или «Ok».
В предыдущем окне Filter Rules мы можем увидеть новое правило и комментарий к нему. Правила работают согласно порядку, в котором они отображаются. То есть данное правило нам необходимо поднять как можно выше, иначе оно работать не будет. Я помещаю созданные правила обычно сразу после правила на разрешение icmp-пакетов.
Ограничение доступа
После настройки доступа, его нужно сильно ограничить, чтобы злоумышленники не смогли заполучить доступ к вашему оборудованию. Переходим в следующее меню:
IP — Services
Далее выбираем службу, к которой настраивали доступ. Если это доступ через веб-интерфейс, то выбираем www. В появившемся окне в поле «Available From», добавляем ip-адреса, либо сети, из которых доступ разрешен. Можно разрешить доступ к роутеру из локальной сети, добавив сеть 192.168.x.0/24, помимо внешних адресов, с которых должен быть доступ к устройству. Обязательно добавьте в первую очередь адрес, с которого вы подключены к роутеру. После установки устройства его можно удалить.
Через командную строку правила будут выглядеть следующим образом:
8 комментариев к записи “ Настройка удаленного доступа к роутеру MikroTik ”
На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.
Так и есть, в данной статье рассматривается лишь настройка удаленного доступа к маршрутизатору.
Провайдерский wan воткнут в гигабитный свич Upvel.
В свиче два клиента — Мой рабочий ПК и Mikrotik Hap Lite, раздающий вафлю на гостевые устройства
Мне нужен доступ по WinBox к Микроту с рабочего компа
Создал правило в микротовском FW на accept input tcp 8291, поместил правило наверх
Создал правило в NAT dst-nat в dst.addres указал внешний адрес, tcp, 8291
Но по внешнему ип с рабочего компа так и не подключиться. В логах микрота ничего нет, даже рефьюзов
Валерий, Вас никто не заставляет открывать 80 порт наружу. В этой же статье, ближе к концу, описывается ограничение доступа к маршрутизатору. С данным ограничением открывать 80 порт абсолютно безопасно, если вы добавляете только доверенные адреса/сети.
Можно вместо 80 порта назначить другой порт в переадресацией на 80. Это будет дополнительной степенью защиты.
Настройка удаленного доступа к рабочему месту средствами маршрутизаторов Mikrotik.
В условиях действующих карантинных мероприятий и самоизоляции крайне важное значение приобретает возможность удаленной работы. Наиболее часто встречающаяся конфигурация – использование режима удаленного рабочего стола. Самый простой способ доступа – опубликовать сервис RDP на «белом» IP-адресе маршрутизатора организации. Однако, такая публикация небезопасна из-за возможных уязвимостей операционной системы. Гораздо более надежный метод – обеспечить первоначальное подключение клиентов по VPN с дальнейшим использованием сервиса удаленной работы. Основной целью данной статьи будет являться простота настройки, чтобы её мог выполнить рядовой пользователь.
VPN-доступ к удалённому рабочему месту можно организовать несколькими способами, но в данном примере мы рассмотрим простой способ, который сбалансирован по безопасности и сложности настройки. При этом способе можно подключаться к удалённому рабочему компьютеру используя стандартные средства вашей операционной системы, будь то Linux, Windows или MacOS, после чего вы сможете использовать нужные ресурсы своей корпоративной локальной сети.
VPN В данной схеме удалённого подключения, пользователь сначала выполняет VPN-соединение до маршрутизатора компании (в примере рассматривается оборудование компании MikroTik, работающее под управлением операционной системы RouterOS) и затем уже стандартными средствами к необходимому рабочему месту, будь это отдельный компьютер, терминальный сервер или виртуальная машина.
VPN RouterOS (операционная система на устройствах MikroTik) поддерживает разнообразные типы VPN, но в данном примере мы будем настраивать L2TP-сервер на устройстве MikroTik с предварительным ключом шифрования, поскольку такая конфигурация обладает достаточной защищенностью и простотой настройки.
Все настройки в примере будут представлены в виде командной строки, но они полностью идентичны и соответствуют пунктам меню и иерархии визуального представления, при настройке RouterOS с использованием графического интерфейса программы Winbox или вэб-интерфейса.
1. В первую очередь мы создадим пользователя, логин и пароль которого будут использоваться для подключения к устройству: /ppp secret add name=User password=User123 local-address=172.16.16.1 remote-address=172.16.16.2 service=l2tp
2. Включение L2TP-сервера с заданными параметрами: /interface l2tp-server server set enabled=yes use-ipsec=re quired ipsec-secret=Qwert123 authentication=mschap2
Основным параметром здесь будет параметр authentication= отвечающий за метод аутентификации. Параметр ipsec-secret= отвечает за ключ предварительного шифрования ipsec. Для обеспечения безопасности мы рекомендуем использовать сложный ключ, который отвечает всем требованиям безопасности.
3. Если у вас на устройстве MikroTik настроен firewall, то необходимо открыть порты, используемые для подключения к L2TP-серверу устройства, а так же в работе IP-SEC. Список портов 1701/UDP,500/UDP (для IKE, для управления ключами шифрованияs), 4500/UDP (для IPSEC NAT-Traversal mode), 50/ESP (для IPSEC), 51/AH (для IPSEC): /ip firewall filter add action=accept chain=input comment=l2tp dst-port=500,1701,4500 protocol=udp add action=accept chain=input comment=»Allow IPSec-esp» protocol=ipsec-esp add action=accept chain=input comment=»Allow IPSec-ah» protocol=ipsec-ah
Необходимо «поднять» данные правила в списке правил firewall выше запрещающих правил, чтобы VPN-подключение не блокировалось.
После данных настроек, необходимо настроить подключение на клиентском компьютере (в данном примере за основу берется ОС Windows 10).
Создадим новое VPN-подключение. В свойствах указывается тип L2TP/IPsec с общим ключом, а также все необходимые параметры аутентификации. После этого клиентский компьютер готов к работе. Для других операционных систем настройка будет полностью аналогична.
После выполнения VPN-подключения, вы можете напрямую подключаться к ресурсам внутренней корпоративной сети, поскольку на устройстве MikroTik будут созданы все связанные маршруты и вы сможете напрямую подключаться к RDP-серверу или, скажем FTP-хранилищу.
Таким образом можно обеспечить своим сотрудникам безопасный доступ к ресурсам корпоративной себе или доступ к домашней сети, чтобы, например, мониторить видео-регистратор или использовать media-центр или домашнее хранилище.