+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

RemoteWinBox [обзор]

RemoteWinBox [обзор], RouterOS

Jotne

Guest

18.06.2020 10:25:00

Отказ от ответственности: Я не имею никакого отношения к RemoteWinBox и не получаю оплату за этот обзор. Я вижу это повсюду на форуме. Как администрировать мой роутер через интернет? Мой роутер находится за NAT, как к нему подключиться для администрирования? Мой ответ на это — использовать VPN. Если VPN не может быть использован или у вас нет представления или возможности его настроить, я рекомендую: использовать другой порт, отличающийся от стандартного. Использовать порт-сканирование. Это предотвращает отображение открытых портов. Использовать длинный и надежный пароль. Использовать список доступа, чтобы предотвратить случайный доступ к вашему роутеру из интернета. Вести логи. (См. мою подпись для примера.) Обновить прошивку до последней стабильной версии ++++ Вот где RemoteWinBox может помочь. Он настраивает безопасный VPN (SSTP) к центральному сайту. Затем вы можете использовать WinBox из вашего местоположения для подключения к вашему удаленному роутеру, используя сервер RemoteWinBox VPN в качестве туннеля. У вас есть до 5 бесплатных хостов, затем вам придется платить за каждый дополнительный роутер, который вы хотите мониторить. Начните с создания учетной записи на www.remotewinbox.com. Создайте профиль роутера. Затем вам нужно будет установить что-то вроде этого на роутере (имя/пароль изменены): /interface sstp-client add connect-to=vpn1.remotewinbox.com:443 disabled=no name=RemoteWinboxVPN password="bXok95fadsfadsFDgsfRfdgsfj" user="uzCDsevbrrW01A3" comment="Remote Winbox connection for My_Router"

:if ([:len [/ip firewall filter find where chain=input and action=drop]] >0) do={ \
[/ip firewall filter add action=accept chain=input comment="Allow Remote Winbox" in-interface=RemoteWinboxVPN place-before=1]\
} else={ \
[/ip firewall filter add action=accept chain=input comment="Allow Remote Winbox" in-interface=RemoteWinboxVPN]}

/user add name=ZZSSFgrgrgWW password=9RSAssdGGRrgkrg56gGDFREwefgrrer group=full address="10.0.0.0/8,172.16.0.0/12,192.168.0.0/16" comment="Remote Winbox user" group=read

/log info "Remote Winbox configuration added!" Что это делает: добавляет SSTP VPN к RemoteWinBox, добавляет правило ввода для разрешения WinBox (в начале списка фильтров), добавляет нового администратора для входа в ваш роутер, отправляет сообщение в журнал. Вы получите ссылку вроде этой: vpn1.remotewinbox.com:12345 Откройте WinBox и скопируйте в поле “Подключиться” Используйте имя пользователя и пароль, указанные в последней строке, для подключения. Затем вы готовы управлять своим роутером. Заключение. Работает, как должно, и хорошо работает за другими роутерами NAT. Не уверен, что я рекомендую это решение напрямую. Вы могли бы добавить расписание, которое открывает SSTP туннель всего на несколько минут каждую неделю. Поскольку нет решения с сертификатом, любой может попытаться перебрать доступ к вашему роутеру. + Простой настройка 5 бесплатных пользователей Работает за NAT - Доверяете ли вы третьей стороне, чтобы иметь пароль для ваших роутеров Может быть, возникнет проблема, что вам нужно открыть порт xxxx из вашего административного места. Следует использовать сертификат для обеспечения безопасности соединения. Атака грубой силой против vpn1.remotewinbox.com портов 1-65535 сможет получить доступ к вашему роутеру, и если у вас слабый пароль, они войдут.

Larsa Guest	#2 0 18.05.2022 19:46:00 Еще одним приятным дополнением могла бы стать активная или основанная на времени многофакторная аутентификация. Вместе с сертификатами это значительно повысило бы как безопасность, так и гибкость.

anav

Guest

18.05.2022 19:24:00

Почему бы не использовать возможность MT роутера легко получить сертификат LETS ENCRYPT в программе Remote Winbox? Согласен, что это, вероятно, гораздо проще для тех, у кого есть публичный IP, и немного сложнее для вас, кто находится за NAT, но это должно быть осуществимо. Мы можем написать скрипт, который будет обновлять сертификат каждые XX дней, чтобы он оставался действительным.

RackKing Guest	#4 0 03.07.2020 03:16:00 Jotne, спасибо, что это сделал. Здорово, что есть варианты.

doneware

Guest

23.09.2020 16:43:00

Нет, ты совершенно прав. Нет никакой необходимости устанавливать локального пользователя. В общем, я уверен, что они выбрали SSTP не из-за безопасности, а потому что можно начинать HTTPS-соединения на внешнюю сеть почти отовсюду. В целом, немного хрупкое шифрование (подверженное MITM) - это просто бонус. Я бы не назвал это решением по безопасности, скорее это обходной путь для доступа к роутерам за NAT - в сочетании с сервисом, похожим на ‘dynDNS’, для удаленного доступа. Мы делаем это уже много лет для нашей инфраструктуры. В этом смысле они могут использовать порты 65535 (-1024) для NAT по номеру порта, чтобы обеспечить доступ к ‘winbox’. Мои ожидания были бы как минимум такими: автоматическое черное списание (инициированное повторяющимися SYN-сообщениями) для снижения силы атак методом подбора кодов, port knocking / настраиваемые ограничения списка доступа для удаленного доступа, явное отключение всего, кроме mschap2, в противном случае попытки аутентификации PAP могут раскрыть ваш пароль в сценариях MITM без особых усилий, обеспечение tls-1.2 и PFS с другой стороны, так гораздо проще. Боту не нужно случайно сканировать открытые порты 8291/TCP в интернете, кто-то аккуратно собрал все потенциально уязвимые устройства и сделал их доступными под простым запоминающимся именем. Представь, как сложно было бы найти десятки тысяч устройств mikrotik, доступных из интернета. Теперь это у тебя под рукой.

remotewinbox

Guest

02.12.2020 17:22:00

Здравствуйте, это сообщение привлекло наше внимание, и мы хотели бы прояснить некоторые моменты и ответить на возникающие вопросы. Прежде всего, огромная благодарность Jotne за то, что нашел время ознакомиться и написать отзыв. RWB был создан как простой способ гарантировать, что ваша команда сможет получить доступ к WinBox, независимо от того, где находится роутер в сети и откуда вы подключаете клиента, при условии, что оба имеют доступ к Интернету. Это правда, но пользователь генерируется случайным образом, имеет только права на чтение и доступ только к списку, который доступен из частных сетей RFC1918 (недоступно через маршрутизируемый Интернет). У нас есть страница состояния роутера в панели управления, которая зависит от этого пользователя для отображения статистики роутера. И если вы выберете новый менеджер резервного копирования, этот пользователь будет использоваться для создания ночных резервных копий конфигурации и управления изменениями. Не нужно открывать порты на вашем административном месте. Наша служба позволяет роутеру и клиенту WinBox находиться за фаерволлом! Сертификаты — хорошее предложение. Мы подумаем над этим, потому что хотим, чтобы все было легко и просто в использовании. Надеемся, вы согласитесь, что это действительно легко! Мы не согласны — брутфорс не сработает против ваших роутеров, используя нашу службу. На VPN-концентраторе имеется фильтр фаерволла, который позволяет открывать порты для ваших роутеров только для ваших IP-адресов. Если вы физически отправитесь куда-то в новое место (другая сетевая IP-адресация), или будете использовать точку доступа вашего мобильного телефона и попробуете подключиться — ваш порт будет заблокирован фаерволлом! Если, конечно, вы не зайдете в панель управления и не добавите новый IP как доверенный для вашего аккаунта, нажав кнопку FIX.

remotewinbox

Guest

02.12.2020 17:27:00

Здравствуйте, мне жаль, что это не работает, как ожидалось. Мы рады помочь, но не можем найти ни одного письма, на которое не было бы ответа. Если вам все еще нужна помощь, пожалуйста, убедитесь, что вы написали на support[at] remotewinbox.com.

remotewinbox Guest	#8 0 02.12.2020 18:05:00 Спасибо за отзыв! Вы абсолютно правы, мы выбрали SSTP, потому что он обеспечивает легкость использования и преодолевает NAT. Нам кажется замечательным, что наша услуга может работать за любым уровнем NAT как для маршрутизатора, так и для клиента WinBox, и SSTP это позволяет. Пользователь, которого мы добавляем в маршрутизатор, нужен для отображения статистики на информационной странице панели управления, что многим нашим подписчикам кажется очень полезным. Вы, безусловно, можете использовать услугу без нашего пользователя (и без дополнительной функциональности на панели управления), так что можете отключить или удалить его. Мы не согласны с тем, что мы агрегировали множество MikroTiks, чтобы бот мог подключаться к нашим клиентам. Когда мы рассматривали автоматическое черное хранилище, port-knocking и другие аспекты безопасности, мы решили, что разумно начать с явного блокирования всего трафика, а затем добавить пустой список доверенных адресов, который разрешен на брандмауэре VPN-концентратора, чтобы каждый маршрутизатор имел свой собственный индивидуальный брандмауэр. Затем мы добавляем только IP-адрес, с которого вы подписываетесь на нашу услугу, в разрешенный список. Затем вы можете при желании добавить еще более доверенные местоположения. Это означает, что все другие попытки доступа к вашим маршрутизаторам с других IP-адресов (например, от бота) блокируются. И да, я бы хотел уточнить - да, у клиента A есть своя политика, отличная от политики клиента B, поэтому они не могут достучаться до маршрутизаторов друг друга. Мы считаем, что этот метод обеспечивает отличное соединение и спокойствие.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры