Как получить доступ к Микротик за Микротик
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку «Действия до настройки роутера».
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
mc963
- Сообщения: 0
- Зарегистрирован: 22 ноя 2017, 22:45
Всем привет. Скажу сразу, проброс порта не получился.
А теперь подробнее.
Есть микротик с динамическим белым IP. Подключиться к нему я могу.
На нём PPPoE сервер с адресом 172.16.29.1 через вторую сетевую с адресом 192.168.88.10. Пробросить порт до PPPoE клиента я тоже могу (netmap to addresses 172.16.29.2 работает).
К той же сетевухе через хаб подключён второй микротик в режиме бриджа, а ко второму по радио третий.
Так вот, воткнувшись в этот хаб понятное дело winbox видит все три устройства. С компьютера через нат роутера winbox подключается только к PPPoE-серверу (по адресу 172.16.29.1), но на два других я могу зайти через web, просто набрав их адреса в браузере.
А вот пробросить порт до микротиков чтобы подключиться снаружи я не могу, т.е. netmap to addresses 192.168.88.50 не работает, на микротик не заходит. Сломал голову, помогите.
-
gmx
- Модератор
- Сообщения: 3110
- Зарегистрирован: 01 окт 2012, 14:48
23 ноя 2017, 08:47
Есть более простой вариант, чем мучится с пробросом. Хотя и его тоже можно сделать,
но проще всего: поднять на первом микротике VPN (можно самый просто PPtP) и тогда, подключившись к нему удаленно вам будет доступна вся сеть, а не только микротики.
Однако, чтобы все микротики (подсети) видели друг друга, то нужно сделать так, чтобы все пограничные микротика всех подсетей знали друг друга.
Для этого на каждом из них следует прописать маршруты для всех подсетей, для этого вручную добавьте записи в IP-Routes, с указанием подсети, маски и IP микротика, который будет шлюзом для этой подсети. В таком случае заработает и проброс портов.
-
mc963
- Сообщения: 0
- Зарегистрирован: 22 ноя 2017, 22:45
23 ноя 2017, 19:57
Про маршруты и шлюзы так и подозревал, но настроить romon оказалось проще.
Спасибо большое!
gre через роутер проходит, т.к. на ubuntu через него же работает
шлюз на микротике не задавал, надо попробовать
В общем, оставил пока на ubuntu, все работает
правила задал такие, может кому пригодится:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables —table nat —append POSTROUTING -j MASQUERADE
iptables -I INPUT -s 192.168.3.0/24 -j ACCEPT
iptables —append FORWARD —in-interface eth0 -j ACCEPT
Странность: поначалу мелкие пакеты ходили, а http — нет, посмотрел трафик и видно, что теряются пакеты по размеру порядка mtu — 1400 байт, при этом не скорость падает из-за потерь, а портится поток, становится кусочным (как такое получается, и куда смотрит tcp пока не выяснил). Уменьшил mtu/mru до 1000 в настройках pptp — все стало норм.
Страница 1 из 2
-
Конфигурация сети: Провайдер-Микротик1(шлюз)-Микротик2(ядро сети)-Свитч-Локалка
Оба микротика соединены посредством VLAN. Поднят на 1-м микротике VPN. Доступ к нему по Winbox возможен как по «белому» ip, так и через VPN. Ко второму не достучаться.
1.Значит ли это, что для доступа ко второму микротику нужно переназначать порт 8291? (но как тогда изменить порт в самой программе winbox?)
2.Или воспользоваться доступом через другие сервисы (ssh, web…) -
Если не достучаться по VPN проверьте что на втором микротике указан правильный Default Gateway
1. Порт переназначать не нужно, достаточно NAT прописать. Но если очень хочется порт переназначается через /ip services
2. Тоже не при чем.
На всякий случай сообщаю что еще есть romon. https://wiki.mikrotik.com/wiki/Manual:RoMONПоследнее редактирование модератором: 23 янв 2019
-
Последнее редактирование: 20 авг 2016
-
У вас все равно роутинг между vlan утыкается в CPU. Поэтому возиться со свитчем смысла нет.
1 интерфейс, на него 2 vlan и дальше на dlink их разбираете. -
Т.е. предлагается вариант разруливания вланов и всей внутренней маршрутизации сети на dlink? Микротик оставить в качестве шлюза для доступа в интернет? Замечу, что подсети разные и есть некоторые требования по доступу к внутренним ресурсам в сети.
А если использовать микротик в качестве еще и маршрутизатора локальной сети? Понимаю, что весь трафик локалки пойдет через него . Насколько его ресурсов хватит и не просядет производительность сети? -
Все зависит от того, какой объем трафика и с какими правилам файрволла вы планируете через него протащить.
-
Спасибо за участие. Буду тестировать.
-
C Romon получилось, но все же остается вопрос с пробросом портов за микротиком. Например, пытаюсь пробросить порт 443 с заменой на 8843 (доступ к owa Exchange)
На микротике -1(тот, что шлюз)
/ip firewall nat
chain=dstnat action=dst-nat to-addresses=193.1.0.1 to-ports=8843 protocol=tcp in-interface=WAN dst-port=8843/ip firewall filter
chain=forward action=accept protocol=tcp in-interface=ether1-gateway dst-port=8843На микротике -2
/ip firewall nat
chain=dstnat action=dst-nat to-addresses=193.0.0.25 to-ports=443 protocol=tcp in-interface=vlan.gw dst-port=8843/ip firewall filter
chain=forward action=accept connection-nat-state=dstnat protocol=tcp in-interface=vlan.gw dst-port=8843
Все правила ставлю выше запрещающих. WAN адрес белый. Порт 443 на сервере открыт. -
а на втором микротике вам при этом зачем NAT?
-
Первый используется как шлюз для второго. Второй уже маршрутизирует всю локальную сеть. По идее, делал по аналогии со старыми правилами, что сейчас работают.
В ожидании ответа, игрался с правилами firewall. В итоге что-то получилось, нужно осмыслить что сделал и как с этим жить.
Прописал в firewall правиле dst. address сервера на котором открыт порт.Последнее редактирование: 24 авг 2016
-
При этом NAT не нужен. Нужно чтобы на втором были маршруты на сети за первым и наоборот.
-
Да, спасибо. Чем дальше разбираюсь с правилами, тем яснее становится.
-
После поднятия vpn по l2tp+ipsec, в логах стали появляться посторонние:
03:52:42 ipsec,error 31.135.41.125 phase1 negotiation failed.
03:52:42 firewall,info input: WAN out
none), src-mac d4:ca:6d:0b:1
f:55, proto UDP, 31.135.41.125:500->193.1.0.1:500, len 340
03:52:42 firewall,info input: WAN outnone), src-mac d4:ca:6d:0b:1
f:55, proto UDP, 31.135.41.125:500->193.1.0.1:500, len 408
03:52:45 ipsec,error 31.135.41.125 failed to get valid proposal.
03:52:45 ipsec,error 31.135.41.125 failed to pre-process ph1 packet (side: 1, status 1).
Алгоритм защиты не подскажете? Думаю, применить стандартные правила: от брутфорса и сканирования портов. -
Здравствуйте.
Не буду плодить темы.Проблема с RomMON. А именно, не видны устройства.
В наличии rb3011 1шт и wAP AC 2 шт. Находятся в одной подсети. Прошивка везде 6.38.3
На всех просто включен RoMON без паролей/tool romon print
enabled: yes
id: 00:00:00:00:00:00
secrets:
current-id: мак-адресЧерез Winbox подключаюсь к роутеру, из этой же сети, или из внешней. Подключился и вижу, что в логе подключение произошло, но в списке RoMON Neighbors пусто.
Вроде всё просто, настройка минимальная, но не пойму, почему не работает?
-
Подключаетесь к роутеру, или используете кнопку Connect To RoMon ?
-
Connect To RoMon. Параллельно смотрю логи через обычное подключение.
-
Попробуйте на 6.37.5 Bugfix откатиться
-
Откатился. Не помогло. Так же и на последней 6.38.5.
-
/ip neighbor discovery interfaces?
none), src-mac d4:ca:6d:0b:1Страница 1 из 2
Небольшая шпаргалка, как сделать удаленный доступ к оборудованию MikroTik через winbox.
Предупреждение
Предупреждаю, что данный способ является не самым безопасным и имеет свои плюсы и минусы.
Плюсы:
- Простая настройка;
- Минимальный шанс потерять доступ;
Минусы:
- Если накосячить, то взлом вашего оборудования неизбежен, это будет вопрос времени;
Открываем доступ
Сделаем список откуда можно подключаться
Начинаем с создания списка IP-адресов, которые могут подключиться к Mikrotik.
Переходим в IP – Address Lists, нажимаем на плюсик.
В нашем окошке создаем запись WhiteList и добавляем IP адрес. Я на практике использую DNS-имена в виде поддомена какого-нибудь сайта. Например, home.bite-byte. Тогда в случае, смены IP-адреса в офисе/дома, мне не приходится ползать и везде руками перебивать.
И у нас появляется запись с меткой D, то есть динамическая.
Хочу обратить Ваше внимание, что регистр в списках важен. “WhiteList” и “whitelist” это будут разные списки!
В терминале это выглядит вот так:
|
/ip firewall address—list add list=«название листа» address=«DNS имя или IP-адрес» |
Открываем порт
Теперь переходим в IP -> FireWall и создаем правило, которое разрешает подключения из интернета к нашему Mikrotik по порту 8291, с тех ip-адресов, которые у нас в белом списке.
Указываем:
- Chain – input
- Protocol – tcp
- Dst. Port – 8291
- Либо указываем интерфейс, где у нас настроен интернет, либо указываем лист интерфейсов (если, у нас, допустим, два провайдера)
- Указываем список адресов с которых разрешено подключение
И указываем действие accept.
Закрываем двери для остальных
Теперь нам необходимо запретить остальные подключения по этому порту. Создаём ещё одно правило с запретом.
Тут у нас всё остается аналогично правилу открытия. Дальше идём в пункт Action.
В терминале это выглядит вот так:
|
add action=accept chain=input comment=Winbox_whitelist dst—port=8291 in—interface—list=WAN protocol=tcp src—address—list=WhiteList |
И дропаем все запросы.
В терминале это выглядит вот так
|
add action=drop chain=input dst—port=8291 in—interface—list=WAN protocol=tcp |
Последний штрих
Размещаем разрещающее правило выше запрещавшего и проверяем доступность из вне.
Таким образом мы получили доступ из вне с доступом по белому списку, который легко перенастроить, если у нас меняется IP-адрес.
Просмотры: 1 571
Форум —
Admin
mikrotik
1
1
Есть интерфейс на устройстве, на котором стоит mikrotik и раздает по dhcp адреса ( интернет подключен через GSM через другой интерфейс). Как найти ip mikrotik ?
- Ссылка
| ← |
telnet открывается, но последний узел перед целевым не знает, куда отправить запрос |
|
DNS Server Bind9 |
→ |
arp -a | egrep -i "(^4C|^64|^6C|^D4|^E4)"
slowpony ★★★★
(20.07.21 12:34:42 MSK)
- Ссылка
tcpdump -i any 'dst port 68'
tcpdump -i any 'src port 67'
slowpony ★★★★
(20.07.21 12:36:18 MSK)
- Ссылка
nmap --script broadcast-dhcp-discover
slowpony ★★★★
(20.07.21 12:37:21 MSK)
- Ссылка
nmap -sU -p 67 192.168.1.0/24 | grep -B5 -i routerboard
slowpony ★★★★
(20.07.21 12:40:04 MSK)
- Ссылка
Winbox по neighbors его увидит.
anonymous
(20.07.21 13:51:10 MSK)
- Показать ответ
- Ссылка
Ответ на:
комментарий
от anonymous 20.07.21 13:51:10 MSK
Если MAC Server и Neighbours Discovery не выключен на тике.
digitaldark ★
(20.07.21 15:31:28 MSK)
- Ссылка
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.
| ← |
telnet открывается, но последний узел перед целевым не знает, куда отправить запрос |
Admin
|
DNS Server Bind9 |
→ |
Похожие темы
-
Форум
[Mikrotik] Запрет подмены IP? (2010) -
Форум
DNS по DHCP в Mikrotik (2013) -
Форум
Обновление прошивки Mikrotik (2018) -
Форум
Syslog фильтрация по тегу. [rsyslog][mikrotik] (2012) -
Форум
Mikrotik (2020)
-
Форум
Мониторинг очередей Mikrotik (2017) -
Форум
mikrotik VLAN Hybrid (2016) -
Форум
Gateway в mikrotik (2018) -
Форум
Mikrotik Wi-Fi (2021) -
Форум
proxmox и mikrotik (2016)