+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Удалённый доступ к ROS без публичного IP

Удалённый доступ к ROS без публичного IP, RouterOS

xt22

Guest

16.10.2015 13:38:00

Привет! У меня есть несколько Mikrotik’ов, которые используются для резервного интернета через LTE, но я хотел бы иметь возможность подключаться к ним удалённо, смотреть трафик и так далее. У нас периодически возникают проблемы с “тупыми” пользователями, которые весь день гоняют HD YouTube как радио, и даже для каких-то перенастроек было бы удобно это сделать. Но как этого добиться, если у роутеров нет публичного IP? Кто-то из вас использует что-то подобное? Как? Я думал создать туннель к одному из своих серверов или Mikrotik’ов с публичным IP, но хотелось бы, чтобы это соединение включалось только когда нужно... Например, какой-то скрипт раз в 15 минут подключается по FTP/HTTP/чему угодно, и если есть специальный файл (скажем, tunnel-on.txt), тогда туннель/соединение инициализируется... Но не знаю, возможно ли это реализовать. Есть идеи, примеры или свои решения? Спасибо!

xt22

Guest

18.12.2015 14:57:00

Я наконец-то измерил данные и выкладываю их, чтобы пост стал точнее и, наконец, с цифрами — для тех, кто будет читать это позже.

RB-ы, подключённые к другому RB с публичным IP, через openvpn, rsa 1024 бит.
tap — примерно 160 кБ за 10 минут — 960 кБ в час
tun — примерно 10 кБ за 10 минут — 60 кБ в час

Заметен огромный накладной трафик из-за широковещательной рассылки при использовании tap, обидно, но мне нужно иметь возможность подключаться к устройствам без публичного IP. Мне бы куда больше понравился tun, но сделать его работающим между клиентами не получается... но я рад, что хоть он работает!

// правка — конечно, я имею в виду только поддержание соединения, без передачи данных.

ZeroByte

Guest

18.12.2015 16:25:00

Ты определённо должен иметь возможность установить соединение между сайтами через туннели. Не видя твою топологию, схемы адресации и прочее, могу сказать, что ты должен смочь маршрутизировать адреса туннелей разных сайтов через туннель, и с помощью сочетания маскарадинга и маршрутизации добраться до mgmt-адреса site3 из site12. Первая идея — чтобы каждый клиент применял маскарадинг при пересылке трафика из туннеля. Если Mikrotik site3 может пинговать Mikrotik site12, значит всё настроено правильно и можно работать.

xt22

Guest

18.12.2015 16:46:00

На сервере OpenVPN у меня настроен мост — локальный eth + Wi-Fi, и когда я добавляю в него свой компьютер с VPN-клиентом и все VPN-клиенты RB (то есть они все в одном мосту), я могу подключаться к любому из них по SSH или Winbox. Когда же переключаю на обеих сторонах на tun (в RB он называется ip), подключиться к кому-либо не получается. Я пробовал разные правила маскарадинга, маршруты и прочее, но так и не заставил это работать. В OpenVPN есть функция client-to-client, но у ROS такой нет. У меня настроен пул для OpenVPN (192.168.100.10-192.168.10.xx), и в tap-режиме, когда клиенты OpenVPN в одном мосту, я получаю IP 192.168.10.11, клиенты RB — 192.168.10.12, и я могу их пинговать, заходить в Winbox. В режиме tun это не работает, скорее всего, я просто не могу разобраться с правильными правилами, маршрутами и маскарадингом.

ZeroByte

Guest

18.12.2015 18:31:00

Если хотите использовать маршрутизацию (я, в общем-то, предпочитаю маршрутизацию мостам, где это возможно), то в конфигурацию стоит добавить пару вещей, чтобы всё работало. Рекомендую выделить отдельную IP-сеть именно для VPN-конечных точек. Например: 192.168.255.x — это VPN-конечные точки.

На основной площадке: создайте дефолтный маршрут «чёрная дыра» на весь диапазон:
/ip route add dst=192.168.255.0/24 type=blackhole
Это упорядочит ситуацию: если придут пакеты с адресом назначения, который не использован или временно недоступен, то они просто отбрасываются.

Дальше, в ppp-профиле, который используется для ovpn-подключений, укажите local-address=192.168.255.1, а remote-address оставьте пустым (так вы присвоите конкретный IP каждой площадке, пул не нужен).

В секрете каждой площадки задайте Remote Address, например 192.168.255.12 для площадки 12… Вот и всё, что нужно сделать на основной площадке.

На стороне каждого клиента:
Создайте статический маршрут dst=192.168.255.0/24 с gateway=ovpn-interface-name
Создайте правило masquerade в NAT таблице, где out-interface=ovpn-interface-name, action=masquerade
Готово.

Опционально: если хотите обеспечить полноценный доступ «сеть-сеть», то на каждом филиале можно сделать статический маршрут 192.168.0.0/16 через ovpn-интерфейс и отключить masquerade. Тогда на основной площадке чёрная дыра будет для 192.168.0.0/16 (вместо 192.168.255.0/24), а в секрете каждой площадки добавьте в поле «routes» сеть своей LAN, например 192.168.2.0/24 для площадки 2… При таком подходе у каждой площадки должны быть уникальные IP-адреса.

Если же цель только получить удалённый доступ к управлению Mikrotik, то в целом не стоит заморачиваться со всей этой маршрутизацией.

pukkita

Guest

19.12.2015 09:17:00

Если вам это нужно только для управления mikrotik, можно обойтись без маршрутизации: включите и используйте RoMON. Неважно, что находится за удалённой точкой — L2, L3 или их сочетание, RoMON «увидит» все роутеры с включённым RoMON в удалённой сети, и вы сможете подключаться к ним через winbox удалённо. Правда, для этого на роутерах должна стоять ROS версии выше 6.28.

xt22 Guest	#7 0 21.12.2015 15:55:00 ZeroByte> Чувак, ты крут!! Почти всё у меня уже настроено так же, как у тебя (за исключением мелочей вроде пула вместо фиксированных IP и прочего), но проблема, скорее всего, была в маршруте на стороне клиентов… Клянусь, я пробовал этот маршрут… Странно, возможно, я проверял его на сервере. В общем, огромное спасибо! Всё работает, я ещё добавлю blackhole и фиксированные IP для клиентов. Для меня этого более чем достаточно, главное — удалённый доступ, но устройства перемещаются по стране и меняют IP (да и вообще IP у них не публичные). pukkita> Это реально интересно, даже не знал, что в ROS есть такая классная штука… Посмотрю, как она работает, все мои роутеры с 6.30 и выше.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры