Mikrotik настройка удаленного доступа к роутеру

Обновлено: 04.07.2024

Давайте разберём тему по настройке удалённого доступа к MikroTik через интернет, поговорим о нюансах, с которыми вы столкнитесь в реальном мире, а также ответим на вопрос «Как подключаться к микротику, который находится за микротиком?»

В повседневной жизни администратора, есть необходимость подключения к различным консолям управления. Будь то телефония (через веб), RDS ферма (через RDP) и другие системы по SSH. Находясь в периметре компании вы не сталкиваетесь с проблемой подключения к ним. Но что делать, если вы за пределами ее и нужно внести изменения в конфигурацию пограничного маршрутизатора или свечей и точек доступа за ним? Да, у Mikrotik есть множество сервисов (в том числе и API) для удалённого его управления (Winbox, WEB, SSH, Telnet etc…).

Обращаю ваше внимание, что основополагающим в схеме удалённого подключения через интернет является наличие хотя бы одного публичного IP адреса на пограничном маршрутизаторе.

Что есть у Mikrotik

Давайте взглянем для начала, что вообще есть из сервисов удалённого управления. Открываем IP-Services.

Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.

Сервисы управления

Как видно из скриншота выше, все порты установлены стандартные и все сервисы включены (т.е. по ним можно подключиться).

Основное

Самое важное – это определиться какие методы управления вам необходимы. Рекомендую оставлять 2, максимум 3, остальное отключаем. В моей демонстрации я буду показывать подключение по Winbox, SSH и WEB.

Выделяем все сервисы через CTRL + A, зажимаем CTRL и кликаем на нужные сервисы, отключаем через крестик. В итоге должна получиться следующая картина.

Выключаем не используемые сервисы

Winbox

Пожалуй, самая любимая моя вещь. Здесь есть нюанс. Многие для доступа к управлению с телефона оставляют включённый WWW или в лучшем случае WWW-SSL. Я не сторонник выставления любых веб-сервисов наружу т.к. это довольно популярное направление атак. Хитрость заключается в том, что если вы выставляете порт Winbox наружу, то вы легко подключитесь через мобильное приложение TikApp (работает на Android), тем самым двух зайцев одним выстрелом.

Чтобы совсем спокойнее было, я ещё ставлю не стандартный порт. Двойным кликом открываем настройку сервиса и меняем порт.

Замена стандартного порта Winbox

Разрешаем подключаться к Winbox

Далее открываем данный порт на input в firewall.


Winbox Connect to

Подключаемся внутри сети к Winbox по не стандартному порту.

Аналогично и снаружи, по прямому белому адресу или по доменному имени, или по DDNS Mikrotik.

Подключаемся через телефон

Проверим через TikApp.

Если нажата галочка «Сохранить пароль», то в случае успешного подключения, данные коннекта сохранятся во вкладке «Сохранённые»

Настройка Mikrotik через телефон

Аналогично предыдущего пункта, изменим порт по умолчанию. Почему мы это делаем? Потому что «желтолицые» ребята не дремлют и сканируют/брутфорсят девайсы с публичными адресами.

Замена порта SSH

И создадим правило фаервола на input с action accept.

Правило Firewall для не стандартного порта SSH

В принципе, вы можете не создавать новое, а дописать в предыдущее дополнительный порт через запятую. Но тогда вы не поймёте, что относится к Winbox, а что к SSH. Тут уже все зависит от ваших предпочтений, но конечно, чем меньше правил, тем лучше.

Разрешенные подсети для веб

Столбец Available From изменился. Вы можете указать сколько угодно подсетей и адресов не только для данного сервиса, а для любого в целом.

Если указано хотя бы одна сеть Available From, то сервис не позволит подключиться с других, не подпадающих в диапазон.

В некоторых ситуациях может не устроить, что Winbox и SSH доступны снаружи, тогда в их свойствах добавляете нужные подсети и адреса, к примеру локальную и VPN.

Следующий важный момент в правиле фаервола, это указание Src. Address

Фаервол WWW

В чем вы спросите изюминка?

  1. Мы защитили сервис на уровне его собственных настроек;
  2. Запретим доступ к нему (и девайсу в целом) следующими правилами фаервола.

/ip firewall filter

add action=accept chain=input comment=in-E&R-Allow connection-state=established,related

add action=drop chain=input comment=in-All-Drop

Тем самым организовали 2 уровня его защиты.

Подключение к микротику за микротиком

Тема довольно интересная. Хороша она тем, что простой проброс порта у вас не сработает, как не старайся. К тому же это не безопасно, вы же помните за «желтолицых»?

RoMON – протокол передачи данных, позволяющих подключаться к устройствам на L2. Доступен с RouterOS 6.28. У каждого устройства должен быть ID, обычно он равен MAC адресу интерфейса.

В моем стенде есть домашний роутер и виртуалка за ним CHR. Включим сначала на пограничном роутере Tools – RoMON.

Включаем и задаём пароль. После включения генерится ID.

Включение RoMON на Mikrotik hAP AC

Если хотите что-то не стандартное на уровне портов, то вам в Ports.

Открываем CHR и делаем то же самое, он даже может не иметь IP адрес, но пароль должен быть идентичен!

Включение RoMON на CHR

Далее берём Winbox, и подключаемся к белому адресу (в моем стенде я буду использовать серый, но сути не меняет, оно будет работать как снаружи, так и внутри) и жмём Connect To RoMON.

Подключаемся по RoMON к CHR

Далее открывается вкладка RoMON Neighbors, в которой будут видны, все агенты.

Выбираем из списка нужный микротик

Выбираем MAC девайса и жмём Connect. Поле адреса в строке подключения изменится, соответственно и логин пароль должен быть корректно вписан. Но он у меня одинаков на обоих устройствах, поэтому ничего не менял, но в вашем случае, все может быть по-другому.

А теперь взгляните на строку подключения.

Статус соединения через RoMON

В этой демонстрации я показал простое использование RoMON, вы можете крутить его, как угодно, в реальной жизни лучше создавать Management VLAN и вешать именно на него.

На этом пожалуй все способы настройки удалённого доступа к Mikrotik закончены. Чтобы не запоминать сложные публичные IP адреса, используйте DNS или DDNS (IP – Cloud).

89 вопросов по настройке MikroTik

Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.

В этой статье мы рассмотрим настройку удаленного доступа к роутеру Mikrotik через интернет. Для работы системного администратора, который обслуживает сеть с филиалами – это необходимость, которая сэкономит время, облегчит поддержку инфраструктуру локальной сети организации.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Настройка удаленного доступа Mikrotik

Удаленно подключиться к Mikrotik можно несколькими способами, мы разберем настройку двух наиболее часто используемых:

  • Через фирменную графическую утилиту Winbox;
  • По протоколу SSH, при помощи сторонних приложений (например, Putty).

Чтобы осуществить подключение через интернет к Mikrotik, удаленный роутер должен иметь “белый” IP-адрес.

Давайте детально разберем в чем отличие этих методов удаленного подключения, на какие порты настроены данные сервисы, их плюсы и минусы.

Mikrotik. Удаленный доступ через Winbox

Чтобы подключиться к Микротику через Winbox, нужно в firewall открыть порт 8291. Для этого запустим фирменную утилиту (которую можно скачать с официального сайта) и перейдем:

Добавим правило, разрешающее подключение извне на 8291 port:

Перейдем на вкладку Action:

Разместим созданное правило выше запрещающего:

Mikrotik удаленный доступ через Winbox

Таким образом, подключение к Mikrotik из интернета через Winbox разрешено. Данный способ позволяет удаленно настраивать оборудование в графическом режиме, что упрощает работу начинающим инженерам.

Mikrotik. Удаленный доступ по протоколу SSH

Также удаленное подключение до Mikrotik можно осуществить, используя протокол SSH, настроить и выполнить диагностику устройства из командной строки.

Удаленное подключение по SSH запуститься даже при слабом интернет-канале, когда нет возможности выполнить соединение с маршрутизатором, используя Winbox.

Чтобы настроить Mikrotik для удаленного подключения из интернета по протоколу SSH, нужно открыть 22 port. Делается это аналогичным способом, описанным выше. Поэтому мы просто скопируем ранее созданное правило, изменив порт:


Изменим значение Dst. Port на 22:


Разместим его выше блокирующего правила:

mikrotik удаленный доступ по SSH

На этом настройка удаленного подключения, используя SSH соединение, закончена. Давайте проверим, для этого скачаем приложение Putty и запустим:

Вводим логин и пароль:


Для маршрутизатора Mikrotik удаленный доступ подключения используя SSH настроен и работает.

Ограничение удаленных подключений

В текущей конфигурации Mikrotik удаленный доступ предоставлен всем желающим, что негативно сказывается на безопасности. В современном мире смена стандартного порта, на котором работает сервис (например, Winbox) является слабой защитой. Как обезопасить роутер от сканирования и проникновения мы рассмотрим в статье MikroTik настройка firewall.

Чтобы минимально обезопасить маршрутизатор, мы можем прописать IP-адреса, которым разрешено подключение. Для этого откроем:

В открывшемся окне мы видим название сервисов (Name) и номер порта (Port) которое оно использует. Рекомендуем отключить все сервисы, которыми не собираетесь пользоваться.

Двойным нажатием на строчку сервиса Winbox, откроем его настройки и приведем к следующему виду:


  • Name: Winbox – название сервиса;
  • Port: 8291 – номер порта, который использует сервис. При желании можем указать свой;
  • Available From: 192.168.13.0/24 – разрешаем подключение из локальной сети;
  • 1.1.1.1 – вместо этого указываем IP-адрес с которого будем подключаться к оборудованию.

А также рекомендуем изучить статьи:

На этом настройка удаленного доступа Mikrotik закончена. Надеюсь, данная статья была вам полезна. Если возникли вопросы пишите в комментарии.

Освоить MikroTik вы можете с помощью онлайн-курса «Настройка оборудования MikroTik». В курсе изучаются все темы из официальной программы MTCNA. Автор – официальный тренер MikroTik. Материал подходит и тем, кто уже давно работает с оборудованием MikroTik, и тем, кто еще не держал его в руках. В состав входят 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Если у вас настроен роутер Mikrotik со статическим IP адресом и вам нужен удаленный доступ к нему для администрирования? Вот две простых инструкции по настройке доступа на RouterOS.

Настройка доступа через терминал

Запускаем winbox, скачать можно с официального сайта и запускаем терминал

winbox

winbox terminal

В терминале по очереди вводим команды:

Системные администраторы делятся на тех, кто еще не делает бэкап, и тех, кто их уже делает. Народная мудрость.

/ip firewall filter add chain=input protocol=tcp dst-port=8291 disabled=no action=accept place-before 0

Этим правилом мы разрешим доступ для входящего трафика на порт 8291 из вне. И поднимаем это правило в верх всех правил фаервола.

/ip service set winbox address=0.0.0.0/0

А этим правилом, мы разрешаем любые подключения на роутер из интернета.

Важно! В целях безопасности и для защиты роутера от подбора паролей рекомендуется открывать доступ только для надежных подсетей или ip адресов!

Поэтому я не рекомендую использовать вышеуказанное правило, а рекомендую использовать для входа только разрешенные адреса и следующее правило.

/ip service set winbox address=192.168.1.0/193.33.98.108/32.193.169.3.24/32

Где 192.168.0.1 - адрес локальной сети

Также читайте: Как сбросить настройки роутера микротик до заводских?

А 193.33.98.108 и 32.193.169.3.24/32 - адреса из сети интернет

Эти данные необходимо заменить на свои.

Настройка доступа через интерфейс winbox

Запускаем winbox и логинимся в нем

winbox

В боковом меню, выбираем IP-Firewall

winbox firewall

Нажимаем + и добавляем новое правило

winbox firewall

В правиле фаервола, указываем данные как на скриншотах

winbox firewall rules

И сохраняем правило. После чего перемещаем его в самый верх списка.

winbox firewall rules

Дело за малым, осталось добавить адреса подсетей, откуда мы разрешим подключаться консоли к роутеру.

mikrotik winbox

winbox

Двойным кликом открываем строчку с winbox и добавляем адреса, либо подсети для доступа к mikrotik

winbox

Стрелка вверх удаляет строку, стрелка в низ добавляет. Нажимаем ok, проверяем доступ из интернета, все должно работать! 🙂

Здравствуйте, Настройка удаленного доступа к роутеру MikroTik вещь очень нужная. Поэтому я в этой статье я хочу рассказать вам, как произвести настройку удаленного доступа к роутеру MikroTik. Уверен что это пригодится вам когда вы установили данный маршрутизатор вашему клиенту. Данную информацию должен знать каждый системный администратор, который хочет иметь доступ к своему устройству MikroTik. А так же закрыть брешь в прошивки RouterOS от подбора пароля.

Первое что я вам порекомендую это скачать Winbox с сайта MikroTik. Конечно и с Web интерфейса тоже можно осуществлять настройку и между Winbox и Веб интерфейсом отличий практически нет. Но утилита Winbox намного удобнее. Но не буду отходить от темы.

Настройка доступа к роутеру MikroTik:

После того как вы подключились к роутеру, выбираем пункты меню слева:

IP — Firewall

Настройка удаленного доступа к роутеру MikroTik

Настройка удаленного доступа к роутеру MikroTik

В открывшемся окне на вкладке Filter Rules нажимаем на кнопку с синим плюсом, это действие добавит новое правило. В открывшемся окне нам следует указать следующие параметры, как на картинке:

Chain: input

Protocol: TCP

Dst. Port: Это открытый порт на роутере MikroTik. Например для доступа через веб-интерфейс требуется открыть — 80 порт. Через программу WinBox нужен — 8291 порт , через Telnet — 23.

Далее переходим на вкладку Action и выбираем accept.

Настройка FireWall MikroTik

Настройка FireWall MikroTik

Рекомендую вам комментировать всегда комментировать правила в Фаерволе, даже самое незначительное. Данные вещи имеют свойство очень быстро забываться. Для того чтоб написать комментарий к правилу. Выбираем правило которое надо закомментировать, нажимаем «Comment».

Настройка FireWall MikroTik

Настройка FireWall MikroTik

Нажимаем «Apply» или «Ok».

Ограничение удаленного доступа:

После настройки доступа к роутеру, его нужно сильно ограничить, чтобы злоумышленники не смогли заполучить доступ к вашему оборудованию. Переходим в следующее меню:

IP — Services

Настройка удаленного доступа к роутеру MikroTik

Настройка удаленного доступа к роутеру MikroTik

Настройка удаленного доступа к роутеру MikroTik

Настройка удаленного доступа к роутеру MikroTik

Настройка доступа через терминал RouterOS:

Через командную строку правила будут выглядеть следующим образом:

/ip firewall filter add chain=input protocol=tcp dst-port=80 disabled=no action=accept


В данной небольшой статье я расскажу, каким образом настроить удаленный доступ к роутеру MikroTik. Это может потребоваться, если вы, например, установили подобный маршрутизатор клиенту. В общем информацию необходимо знать всем, кто желает иметь доступ к устройству MikroTik, а также обезопаситься от доступа к нему злоумышленниками.

Настройка доступа

После подключения к роутеру выбираем пункты меню слева:

Chain: input

Protocol: TCP

Переходим на вкладку Action, выбираем accept.

В предыдущем окне Filter Rules мы можем увидеть новое правило и комментарий к нему. Правила работают согласно порядку, в котором они отображаются. То есть данное правило нам необходимо поднять как можно выше, иначе оно работать не будет. Я помещаю созданные правила обычно сразу после правила на разрешение icmp-пакетов.

Ограничение доступа

После настройки доступа, его нужно сильно ограничить, чтобы злоумышленники не смогли заполучить доступ к вашему оборудованию. Переходим в следующее меню:

Через командную строку правила будут выглядеть следующим образом:

8 комментариев к записи “ Настройка удаленного доступа к роутеру MikroTik ”

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Так и есть, в данной статье рассматривается лишь настройка удаленного доступа к маршрутизатору.

Создал правило в микротовском FW на accept input tcp 8291, поместил правило наверх
Создал правило в NAT dst-nat в dst.addres указал внешний адрес, tcp, 8291

Но по внешнему ип с рабочего компа так и не подключиться. В логах микрота ничего нет, даже рефьюзов

В чем мб проблема?

За такие статьи надо топить в проруби. открыть 80-й порт НАРУЖУ. вы вообще головой думаете что советуете. .

Валерий, Вас никто не заставляет открывать 80 порт наружу. В этой же статье, ближе к концу, описывается ограничение доступа к маршрутизатору. С данным ограничением открывать 80 порт абсолютно безопасно, если вы добавляете только доверенные адреса/сети.

Можно вместо 80 порта назначить другой порт в переадресацией на 80. Это будет дополнительной степенью защиты.

Читайте также: