+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Удаленный доступ к winbox на wAP LTE и LtAP через SSTP VPN

Удаленный доступ к winbox на wAP LTE и LtAP через SSTP VPN, RouterOS

DSK

Guest

19.09.2019 17:51:00

У меня есть CHR на AWS, который работает как SSTP-сервер, а wAP LTE и LtAPs — это клиенты в подсети 10.10.80.0/24. У меня также настроен DUDE. Я успешно мониторю устройства с помощью DUDE. Я хотел бы удаленно подключиться к LTE-устройствам через Winbox. На клиентах я разрешил доступ Winbox с WAN/SSTP интерфейса. Кто-нибудь, подскажите, как дальше действовать.

DSK Guest	#2 0 10.10.2019 06:08:00 Большое спасибо за ответ. Команда ppp active print выводит все единицы. Я предпочел бы использовать My PC Winbox. Не могли бы вы помочь с конкретным правилом брандмауэра на CHR, чтобы это включить? Спасибо еще раз!

SiB

Guest

10.10.2019 01:29:00

Да, любой может помочь тебе. Пример: "Я". Когда ты подключаешься к CHR, то CHR видит подключенных к нему LTE клиентов в команде ppp active print. Если да, то ты увидишь их IP-адреса. Ты должен подключиться к ним через: терминал CHR с помощью Telnet/SSH или через WinBox на своем ПК, когда ты разрешишь это в цепочке перенаправления CHR.

SiB

Guest

11.10.2019 06:29:00

Я предполагаю: AWS подсеть 10.10.80.0/24 с CHR, у которого адрес 10.10.80.1. Ваши LTE устройства подключаются через SSTP к CHR и имеют адреса 10.10.80.100-101. Ваш ПК имеет адрес 192.168.1.100, а ваш локальный роутер-гейтвей — 192.168.1.1. В этом сценарии вашему ПК с WinBox нужно настроить маршрутизацию к 10.10.80.0/24 через SSTP, например, 10.10.80.102. Затем ваш WinBox должен подключиться к CHR по адресу 10.10.80.1 — это сработает для вас? CHR должен иметь правило файрвола в цепочке forward, чтобы разрешить этот трафик после принятия established&related, но перед правилом два с действием, таким как drop/deny/tarpit: ip firewall filter добавляет цепочку=forward src-address=192.168.1.100 dst-address=10.10.80.0/24 protocol=tcp dst-port=8291 action=accept comment="WinBox Allow". В LTE у вас должно быть разрешение в цепочке Input после принятия established&related, но перед действием, таким как drop/deny/tarpit: ip firewall filter добавляет цепочку=input src-address=192.168.1.100 dst-address=10.10.80.0/24 protocol=tcp dst-port=8291 action=accept comment="WinBox Allow". Также в IP>Service служба WinBox должна быть активной, а IP должен быть 0.0.0.0/0 или/и ваш конкретный. В System > Users у вашего пользователя не должно быть ограничений на вход с ваших IP. Конечно, проведите классическое тестирование, например, ping 10.10.80.101, tools traceroute 10.10.80.101, ip firewall connections (трекинг соединений, conntrack) и фильтруйте трафик к 10.10.80.101, чтобы увидеть, что блокируется файрволом. В одном направлении, например, Tx работает, а Rx — нет и т.д. Tools torch показывают что-то похожее на conntrack. Надеюсь, я дал вам подсказку в этом направлении. Это так просто, что должно работать сразу из коробки. Если ваши LTE устройства получают другие IP, такие как 10.20.30.100-101, просто поменяйте 10.10.80.0/24 на 10.20.30.0/24 в правилах файрвола.

DSK

Guest

11.10.2019 11:11:00

На моем домашнем роутере я добавил маршрут, где адрес назначения 10.10.80.0/24, а шлюз — интерфейс sstp. Тем не менее, я все равно не могу получить доступ к CHR через Winbox. Однако я могу получить доступ к CHR через публичный IP в Winbox.

SiB

Guest

11.10.2019 11:36:00

Это означает, что первая точка моего руководства… не работает. В этом сценарии ваш ПК WinBox должен иметь маршрутизацию к 10.10.80.0/24 через SSTP, например, 10.10.80.102. Затем ваш WinBox должен подключиться к CHR по адресу 10.10.80.1 — это сработает для вас? Какой адрес существует на вашем sstp-интерфейсе ПК, когда вы подключаетесь к SSTP? 10.10.80.x? Вы должны получить 2 адреса: удаленный 10.10.80.1 И локальный 10.10.80.103 или другой. В WinBox вы должны использовать именно этот удаленный адрес. Вы не предоставили больше деталей, и мне нужно сделать предположения. Напишите подробнее. Проверьте в брандмауэре, если вы не блокируете порт WinBox.

DSK

Guest

15.10.2019 09:55:00

Это значит, что первый пункт моего руководства… не сработал. Конечно, ниже приведены логи сервера SSTP, когда я пытаюсь войти с домашнего маршрутизатора SSTP-клиента. Я также добавил маршрут на домашнем маршрутизаторе, как указано ниже. Какой адрес существует на вашем ПК в интерфейсе sstp, когда вы подключаетесь к SSTP? 10.10.80.x? Вы должны получить 2 адреса: удаленный 10.10.80.1 И локальный 10.10.80.103 или другой. В WinBox вам нужно использовать этот удаленный адрес. Проверьте в брандмауэре, не блокирует ли он порт WinBox. У меня есть правило брандмауэра на сервере SSTP для разрешения всего PPP TCP 8291 на вход.

SiB

Guest

15.10.2019 18:58:00

Вы всё еще не предоставили полную информацию о вашей конфигурации. Смотрите, я сделал диаграмму на gliffy.com за 5 минут, используя только те данные, которые вы предоставили, но все еще есть некоторые недочёты. Посмотрите на диаграмму и напишите, что неверно, исправьте это для меня. Вы пишете о 2xLTE устройствах, 1xHomeRouter, 1xCHR. У LTE устройства должен быть адрес 10.10.80.x, а на скриншоте я вижу сеть 10.10.10.x. Один из скриншотов с LTAP - это LTAP mini, это ваш домашний роутер? Если да, то вам нужно подключиться к 10.10.10.51, если у CHR есть маршрут к вашему домашнему роутеру через sstp_connection. Понимаете? Мы теряем время, чтобы написать сообщение и понять вашу ситуацию. Помните, что вы можете постоянно связаться со мной напрямую, и мы можем сделать удалённый доступ и решить это за несколько минут. У меня есть правило брандмауэра на SSTP сервере, позволяющее все ppp tcp 8291 входящие подключения. Тогда это плохое правило. У вас должно быть выбрано состояние “NEW” для tcp соединений, а не established и related - эти два должны быть выше в списке правил, но это не тема для обсуждения правильных правил брандмауэра.

DSK

Guest

16.10.2019 14:04:00

Я рад сообщить, что теперь я успешно могу зайти как на удаленные устройства, так и на CHR SSTP Server через SSTP VPN туннель из PC Winbox. Я всего лишь добавил маршрут на домашнем роутере. После добавления маршрута на CHR для Dst. 192.168.0.0/24 теперь все работает. Для дальнейших советов я прикрепил схему своей сети. Я немного изменил её, чтобы выглядело более организованно. Большое спасибо за ваше время и советы.

SiB Guest	#10 0 16.10.2019 16:47:00 Если у вас так много устройств, которые могут быть доступны по PublicIP, тогда, пожалуйста, обратите внимание на простую безопасность вашей входящей цепочки — это всегда нужно проверять, мониторить и обеспечивать безопасность. Вы собираете какие-то PublicIP, которые считаете безопасными для подключения ко всем остальным устройствам. Смотрите, у меня сейчас >200mtk онлайн, и я могу получить к ним доступ только из 8 мест удаленно, но через правильный VPN без ограничений. Вам стоит проверить RoMon, резервный вход через ssh, port knocking и так далее. Список ваших безопасных публичных IP дома/на работе/второй работе/клиент1/клиент2 как резервный вход к другим клиентам. /ip firewall address-list add address=10.0.0.0/8 comment="LAN_private Class A" list=LAN_private add address=172.16.0.0/12 comment="LAN_private Class B" list=LAN_private add address=192.168.0.0/16 comment="LAN_private Class C" list=LAN_private add address=169.254.0.0/16 comment="LAN_private APIPA" list=LAN_private add address=a.a.a.a/a comment="ISP CustomerN" list=YourSafeISP-Admins add address=b.b.b.b/b comment="ISP Home" list=YourSafeISP-Admins add address=c.c.c.c/c comment="ISP CHR" list=YourSafeISP-Admins add address=10.10.10.0/24 comment="ISP CHR" list=YourSafeISP-Admins пример простой входящей цепочки с ISP на eth1 и eth2 /ip firewall filter add action=accept chain=input comment="established & related" connection-state=established,related place-before=0 add action=accept chain=input comment="L2TP - Dst.Port & Nat-Traversal" dst-port=500,1701,4500 protocol=udp place-before=0 add action=accept chain=input comment="L2TP - esp" protocol=ipsec-esp place-before=0 add action=accept chain=input comment=winbox dst-port=8291 protocol=tcp src-address-list=YourSafeISP-Admins place-before=0 add action=accept chain=input protocol=icmp place-before=0 add action=drop chain=input dst-port=53 in-interface=[/interface ethernet find default-name=ether1] protocol=udp place-before=0 add action=drop chain=input in-interface=[/interface ethernet find default-name=ether1] place-before=0 add action=drop chain=input dst-port=53 in-interface=[/interface ethernet find default-name=ether2] protocol=udp place-before=0 add action=drop chain=input in-interface=[/interface ethernet find default-name=ether2] place-before=0 уберите стандартный вход для админа, удалите его. user add group=full name=DSK password="longer_then_100char_with_special_char" disabled=no comment="MyOwnUserName YourCompanyName" user remove [find name=admin]

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры