В работе IT-специалиста часто возникает потребность в удаленном доступе к различным системам управления. Это может быть веб-интерфейс оборудования, RDS-ферма через RDP, серверы с доступом по SSH и многие другие. Внутри офисной сети к этим ресурсам обычно легко подключиться, но что делать, когда вы находитесь вне сети?
MikroTik предоставляет ряд инструментов для удаленного управления своим оборудованием, включая Winbox, WEB, SSH, Telnet и даже API. Однако для эффективного использования этих инструментов через интернет важно иметь на маршрутизаторе хотя бы один публичный IP-адрес.
Что предлагает Mikrotik?
Давайте сначала рассмотрим, какие сервисы для удаленного управления представлены у Mikrotik. Переходим в меню IP-Services.
- API и API-SSL: это интерфейсы для программного взаимодействия. Первый передает данные без шифрования, второй использует шифрование
- FTP: Это не средство управления, а сервис, позволяющий превратить ваш Mikrotik в FTP-сервер для обмена файлами
- Telnet и SSH: Это методы доступа к командной строке устройства. Telnet передает все данные, включая учетные данные, без шифрования, в то время как SSH шифрует все передаваемые данные
- Winbox: Это специализированное приложение для подключения к роутеру, и оно является наиболее популярным методом
- WWW и WWW-SSL: Это методы подключения через веб-интерфейс. Сервисы с SSL в названии требуют наличие сертификата
- На представленном скриншоте видно, что используются стандартные порты, и все сервисы активированы, что означает возможность подключения по ним
Таким образом, Mikrotik предоставляет разнообразные способы удаленного управления, каждый из которых имеет свои особенности и уровень безопасности.
Главное
Приоритетное – определить, какие способы управления вам пригодятся. Советую ограничиться 2-3 методами и деактивировать все остальные. В этом обзоре мы сконцентрировались на подключении через Winbox, SSH и WEB.
Выберите все сервисы комбинацией CTRL + A, затем, удерживая CTRL, нажмите на те, которые вам нужны, и отключите лишние нажатием на крестик. После этих действий у вас должен сложиться конкретный набор включенных сервисов.
Winbox
Это, без сомнения, одно из наших любимых средств управления. Но есть нюанс. Некоторые, желая управлять устройством с телефона, активируют WWW или, в более безопасной версии, WWW-SSL. Мы настоятельно рекомендуем избегать предоставления доступа к веб-сервисам извне, так как это часто используемое направление для атак. Однако, выставляя наружу порт Winbox, вы можете легко подключаться с помощью мобильного приложения TikApp (доступно на Android), убивая, таким образом, двух зайцев одним выстрелом.
Для дополнительной безопасности рекомендуем изменить стандартный порт. Просто дважды кликните на настройки сервиса и задайте новый порт.
Затем добавляем правило для этого порта в разделе input брандмауэра
Подключаемся к Winbox изнутри сети, используя нестандартный порт.
Точно так же подключаемся извне, используя прямой публичный IP-адрес, доменное имя или DDNS от Mikrotik.
Давайте проверим это с помощью приложения TikApp.
Если опция «Сохранить пароль» активирована, то после успешного подключения информация о соединении будет сохранена в разделе «Сохраненные».
SSH
Как и в предыдущем случае, давайте поменяем стандартный порт. А почему это необходимо? Потому что хакеры активно сканируют и пытаются взломать устройства с публичными IP-адресами.
Далее, создаем правило в брандмауэре в разделе input с действием «разрешить».
Теоретически, вместо создания нового правила, вы можете просто добавить дополнительный порт в уже существующее правило, указав его через запятую. Однако это может создать путаницу, так как будет сложно определить, какой порт относится к Winbox, а какой к SSH. Выбор за вами, но, как правило, чем меньше и проще правила, тем лучше.
Web
Как мы упоминали ранее, рекомендуется избегать предоставления доступа к http-сервисам извне. Теперь мы настроим доступ к веб-интерфейсам только из внутренних сетей наших компаний. Для этого переходим в настройки соответствующих сервисов, указываем наши внутренние подсети и сохраняем изменения.
Колонка Available From была обновлена. Вы имеете возможность добавить множество подсетей и адресов не только для этого сервиса, но и для любого другого в общем списке.
Если в колонке Available From указана хоть одна подсеть, то доступ к сервису будет разрешен только из этой сети, и подключения из других адресов, которые не входят в этот диапазон, будут запрещены.
В определенных обстоятельствах вы можете не желать, чтобы Winbox и SSH были доступны извне. В таком случае, в настройках данных сервисов добавьте необходимые подсети и адреса, например, внутреннюю сеть и VPN.
Далее, ключевой аспект в настройке брандмауэра – это задание параметра Src. Address.
В чем особенность такого подхода? - спросите вы.
- Мы обеспечили защиту сервиса на уровне его внутренних настроек
- Ограничили доступ к сервису (и к устройству в целом) с помощью последующих правил брандмауэра
/ip firewall filter
add action=accept chain=input comment=in-E&R-Allow connection-state=established,related
add action=drop chain=input comment=in-All-Drop
Подключение к MikroTik через RoMON
Тема действительно захватывающая. Основное ее преимущество – простое перенаправление порта не сработает, несмотря на все ваши попытки. И это даже хорошо с точки зрения безопасности.
RoMON – это протокол для передачи данных, который предоставляет возможность подключения к устройствам на уровне L2. Этот протокол доступен начиная с версии RouterOS 6.28. Каждое устройство в сети с этим протоколом должно иметь уникальный ID, который, как правило, соответствует MAC-адресу одного из его интерфейсов.
На нашем тестовом стенде у нас есть домашний роутер и виртуальная машина за ним с CHR. Давайте начнем с включения RoMON на главном роутере через раздел Tools – RoMON.
Далее активируем его и задаем пароль. После активации автоматически генерируется ID устройства.
Если вы желаете внести изменения на уровне портов, обратите внимание на раздел Ports.
Затем переходим к CHR и выполняем аналогичные действия. Учтите, что у CHR может не быть IP-адреса, но пароль должен совпадать!
Затем мы используем Winbox и подключаемся к публичному адресу (в нашей конфигурации мы будем использовать локальный адрес, но это не меняет суть дела — это будет работать как с внешней, так и с внутренней стороны). После чего нажимаем Connect To RoMON.
Затем появляется раздел RoMON Neighbors, где отображаются все доступные агенты.
Выберите MAC-адрес устройства и нажмите Connect. Поле для адреса в строке подключения автоматически обновится, так что убедитесь, что логин и пароль корректно введены. В нашем случае, учетные данные на обеих устройствах одинаковы, так что мы ничего не меняли, но у вас ситуация может быть иной.
Теперь обратите внимание на строку подключения.
В данном обзоре мы представили основы работы с RoMON. На практике рекомендуем создать VLAN для управления и привязать его к данному протоколу.
Таким образом, мы рассмотрели все основные методы удаленного доступа к Mikrotik. Вместо того чтобы запоминать сложные публичные IP-адреса, используйте DNS или DDNS (через IP – Cloud).
