Как сделать удаленный доступ на микротик
Моя задача: разобрать действия которые нужно проделать на домашнем Микротике (2011UiAS-2HnD) чтобы можно было откуда угодно иметь возможность настроить VPN подключение и получить доступ к домашним сервисам , в моем случае такие сервисы как: ZM (следим за периметром возле дома), OwnCloud (собственная база заметок), Zabbix (мониторю состояние своих сервисов: + погоду и различные датчики).
Доступ к домашней сети будет организован посредством протокола PPTP, он представляет из себя связку протокола TCP (для передачи данных) и GRE (для обертывания пакетов).
Схема организации туннеля до домашнего микротика:
- Мне провайдер предоставляет статический IP-адрес
- На Mikrotik создаем туннель
- На Mikrotik создаем профили удаленного подключения (Логин и Пароль)
- На Mikrotik создаем правила Firewall маршрутизации чтобы пройти сквозь брандмауэр
Первым делом подключаюсь через Winbox к своему Mikrotik’у и активирую PPTP сервер :
WinBOX — IP&MAC — меню PPP — вкладка Interface, после нажимаю PPTP Server
Enabled: отмечаю галочкой
MAX MTU: 1450
MAX MRU: 1450
Keepalive Timeout: 30
Default Profile: default
Authentication: должно быть отмечено только — mschap1 & mschap2
Теперь создаем пользователей удаленного подключения:
В разделе PPP переходим в меню Secrets и добавляем нового пользователя: Add —
Name: ekzorchik
Password: Aa1234567@@. (советую ставить пароль посложнее)
Service: pptp
Profile: default-encryption
Local Address: пишем IP-адрес Mikrotik, который будет выступать в роли Сервера VPN (192.168.1.9)
Remote Address: пишем IP-адрес пользователя (192.168.1.100)
Как только настройки произведены нажимаем Apply & OK для применения и сохранения.
Теперь переходим к настройки правил для Firewall моего Mikrotik чтобы он пропускал удаленные авторизованные подключения;
winbox — IP&MAC — IP — Firewall — вкладка Filter Rules — Add
вкладка General:
Chain: input
Protocol: 6 (tcp)
Dst. Port: 1723
вкладка Action:
Action: accept
winbox — IP&MAC — IP — Firewall — вкладка Filter Rules — Add
вкладка General:
Chain: input
Protocol: 47 (gre)
вкладка Action:
Action: accept
Так выглядят правила в winbox’е:
На заметку: по умолчанию создаваемые правила помещаются в конец общего списка, а их нужно переместить наверх перед всеми запрещающими правилами, если этого не сделать работать они не будут.
Вот как бы и все, проверяю к примеру настройки подключения с работы из операционной системы Windows 7 Professional SP1:
Пуск — Панель управления — Центр управления сетями и общим доступом — Настройка нового подключения или сети — Подключение к рабочему месту — Использовать мое подключение к Интернету (VPN) :
- Интернете-адрес: указываю внешний IP&DNS адрес выделяемый мне провайдером.
- Имя местоназначения: VPN-HOME
- Разрешить использовать это подключение другим пользователям: отмечаю галочкой
После указываю имя пользователя и пароль на удаленный доступ (данные идентификационные данные были введены выше):
Также можно проверить, открыв консоль командной строки и отобразив IP адреса текущих сетевых адаптеров:
Win + R → cmd.exe
C:\Users\aollo>ipconfig
Настройка протокола IP для Windows
Адаптер PPP VPN-HOME:
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . : 0.0.0.0
Ethernet adapter Подключение по локальной сети:
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 10.9.9.1
Что теперь ну подключен я по VPN к дому, а что мне это дает, а то что теперь можно к примеру запустить браузер и подключиться к домашним ресурсам, если настроено удаленное включение компьютеров через Wake On Lan, то посредством запросов их можно включить, а после либо по VNC,RDP подключиться к ним.
Это все конечно же хорошо, а если Ваш провайдер не выдает Вам статический IP-адрес как у меня, как же быть. Но в этом Вам повезло, т. к. в самом Mikrotik есть служба на подобии DynDNS или No-IP которая может предоставить Вам DNS ссылку доступа к Вашему Mikrotik’у из вне, т. е.
WinBOX — IP&MAC — перехожу в раздел Quick Set, отмечаю галочкой VPN Access
Статистика Ping для [
Пакетов: отправлено = 2, получено = 2, потеряно = 0
Приблизительное время приема-передачи в мс:
Минимальное = 7мсек, Максимальное = 8 мсек, Среднее = 7 мсек
Открываем меню настройки PPP, включаем его и при создании нового пользователя указываем: Name (VPN), Password (то что указали выше), Service (pptp), Profile (default-encryption), Local Address (192.168.1.9), Remote Address (192.168.1.101) и нажимаем Apply и OK
и подключение также успешно проходит.
Итого, как оказалось на Микротике достаточно быстро можно поднять PPTP сервис посредством которого можно быстро начать пользоваться VPN-соединением. Такие настройки одинаково работают, как для дома так и для корпоративной сети, в этом собственно и большой плюс данного вида оборудования, купив раз с запасом получаем инструмент где можно реализовать многое, а для малой компании это будет существенным подспорьем. На этом я прощаюсь и до новых заметок, с уважением автор блога — ekzorchik.
Используйте прокси ((заблокировано роскомнадзором, используйте vpn или proxy)) при использовании Telegram клиента:
Поблагодари автора и новые статьи
будут появляться чаще :)
Карта МКБ: 4432-7300-2472-8059
Большое спасибо тем кто благодарит автора за практические заметки небольшими пожертвованиями. С уважением, Олло Александр aka ekzorchik.
В данной небольшой статье я расскажу, каким образом настроить удаленный доступ к роутеру MikroTik. Это может потребоваться, если вы, например, установили подобный маршрутизатор клиенту. В общем информацию необходимо знать всем, кто желает иметь доступ к устройству MikroTik, а также обезопаситься от доступа к нему злоумышленниками.
Для начала следует подключиться к роутеру через веб-интерфейс, далее настройку можно производить там же, либо скачать WinBox и использовать для конфигурирования эту программу. Интерфейс WinBox’а мало чем отличается от веб-интерфейса, основное отличие заключается в том, что вы можете открыть сразу несколько окон с настройками и конфигурировать, имея перед глазами все необходимые параметры.
Настройка доступа
После подключения к роутеру выбираем пункты меню слева:
IP — Firewall
Chain: input
Protocol: TCP
Dst. Port: Зависит от способа доступа. Для доступа через веб-интерфейс — 80, через WinBox — 8291, через Telnet — 23.
Переходим на вкладку Action, выбираем accept.
В предыдущем окне Filter Rules мы можем увидеть новое правило и комментарий к нему. Правила работают согласно порядку, в котором они отображаются. То есть данное правило нам необходимо поднять как можно выше, иначе оно работать не будет. Я помещаю созданные правила обычно сразу после правила на разрешение icmp-пакетов.
Ограничение доступа
После настройки доступа, его нужно сильно ограничить, чтобы злоумышленники не смогли заполучить доступ к вашему оборудованию. Переходим в следующее меню:
IP — Services
Через командную строку правила будут выглядеть следующим образом:
8 комментариев к записи “ Настройка удаленного доступа к роутеру MikroTik ”
На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.
Так и есть, в данной статье рассматривается лишь настройка удаленного доступа к маршрутизатору.
Провайдерский wan воткнут в гигабитный свич Upvel.
В свиче два клиента — Мой рабочий ПК и Mikrotik Hap Lite, раздающий вафлю на гостевые устройства
Мне нужен доступ по WinBox к Микроту с рабочего компа
Создал правило в микротовском FW на accept input tcp 8291, поместил правило наверх
Создал правило в NAT dst-nat в dst.addres указал внешний адрес, tcp, 8291
Но по внешнему ип с рабочего компа так и не подключиться. В логах микрота ничего нет, даже рефьюзов
В чем мб проблема?
За такие статьи надо топить в проруби. открыть 80-й порт НАРУЖУ. вы вообще головой думаете что советуете. .
Валерий, Вас никто не заставляет открывать 80 порт наружу. В этой же статье, ближе к концу, описывается ограничение доступа к маршрутизатору. С данным ограничением открывать 80 порт абсолютно безопасно, если вы добавляете только доверенные адреса/сети.
Можно вместо 80 порта назначить другой порт в переадресацией на 80. Это будет дополнительной степенью защиты.
У Вас настроен Mikrotik как роутер смотрящий в Интернет? И Вам нужен удаленный доступ к нему, для администрирования из вне? Вот простая и быстрая инструкция по организации удаленного доступа к маршрутизатору на RouterOS.
Открыть IP -> Firewall -> вкладку Filter Rules .
После этого в фаерволе, в конце списка будет создано правило. Так как оно будет последним, а перед ним стоит правило запрещающее все, то его необходимо перетянуть мышкой в самый верх, иначе от него не будет толку.
Также в меню IP -> Services в параметрах нужной службы необходимо добавить в Available From список IP адресов с которых необходимо разрешить доступ. Доступ ограничивается как для локальных так и внешних адресов, поэтому в первую очередь нужно добавить IP или подсеть с которой вы в данный момент подключены.Через командную строку правила будут выглядеть следующим образом:
Допустим, вы настроили проброс портов на роутере MikroTik, и из внешней сети все прекрасно работает. Но иногда может возникнуть необходимость организовать доступ к компьютеру или серверу по внешнему IP-адресу не только извне, но и из локальной сети. В этом случае применяется так называемый Hairpin NAT или NAT LoopBack - прием-отправка пакетов через один и тот же интерфейс роутера, со сменой адресов с локального на внешний и обратно. Разберем нужные настройки.
Допустим у нас есть:
- Роутер с внешним IP (WAN IP) 1.1.1.1.
- Компьютер с локальным адресом 192.168.88.229, и запущенным на нем сервером, приложением и т. д. для доступа из внешней сети. В нашем случае для соединения используется порт 8080.
- Компьютер в локальной сети с адресом 192.168.88.110.
У нас уже есть настроенное правило проброса порта 8080:
Но оно не будет срабатывать при обращении из локалки, так как настройки ориентированы на пакеты из внешней сети, через WAN-порт. Поэтому нам нужно прописать дополнительно еще 2 правила.
Настройка доступа из локальной сети по внешнему IP-адресу
1. Создаем правило для перенаправления обращений по внешнему IP из локальной сети.
Chain - dstnat.
Src. Address - пишем здесь локальный адрес компьютера, с которого будем заходить по внешнему IP, или диапазон адресов, если такой доступ нужно предоставить нескольким компьютерам сети.
Dst. Address - указываем внешний адрес компьютера/ сервера и т. п., по которому будет осуществляться доступ из локалки.
Protocol, Dst. Port - здесь прописываем параметры порта и протокола, которые соответствуют нашему соединению (те же, что и в пробросе портов).
To Addresses - указываем локальный адрес нашего сервера, компьютера, на который мы заходим по внешнему IP-адресу.
To Ports - порт тот же самый, что на предыдущей вкладке, поэтому здесь можно ничего не указывать.
Теперь на компьютер 192.168.88.229 можно зайти из локальной сети по внешнему IP-адресу 1.1.1.1.
Но при попытке какого-то взаимодействия с ним ничего не получится. Почему? Посмотрим, что происходит.
- Наш компьютер (192.168.88.110) посылает пакет на внешний адрес сервера, который является и адресом роутера, соответственно - 1.1.1.1.
- Роутер добросовестно перенаправляет его по нашему правилу dst-nat на компьютер с адресом 192.168.88.229.
- Тот его принимает и отправляет ответ. Но так как он видит в качестве адреса источника локальный IP-адрес (ведь пакет поступил от компьютера в локальной сети), он отправляет ответ не на маршрутизатор, а напрямую получателю.
- Получатель же (192.168.88.10) отправляя данные по внешнему IP, и ответ также ожидает от внешнего IP. Получив пакет от локального 192.168.88.229, он его просто сбрасывает, как ненужный.
Поэтому нам нужно еще одно правило, которое будет подменять локальный адрес источника при отправке пакета на внешний IP.
2. Подменяем локальный адрес компьютера на внешний IP-адрес.
На вкладке Action выставляем маскарадинг (masquerade), т. е. подмену адреса источника на локальный адрес маршрутизатора.
На вкладке General прописываем правила, при которых он будет применяться:
Chain - srcnat, т. е. при запросах из локальной сети.
Src. Address - пишем здесь локальный адрес компьютера, или диапазон адресов, с которых будут отправляться пакеты.
Dst. Address - здесь конкретизируем "адрес получателя", т. е. правило будет применяться только для пакетов, адресованных нашему серверу.
Protocol, Dst. Port - здесь прописываем те же параметры порта и протокола.
Теперь, получив пакет из локальной сети, адресованный на внешний IP 1.1.1.1, маршрутизатор не только перенаправит его на 192.168.88.229 (по первому правилу), но и заменит в пакете адрес источника (192.168.88.110) на свой локальный адрес.
Ответ от сервера поэтому отправится не напрямую в локальную сеть, а на маршрутизатор, который, в свою очередь направит его источнику.
Второй способ Hairpin NAT MikroTik: 2 правила вместо 3
Можно сделать еще проще, заменив правило проброса портов первым правилом Hairpin NAT. В этом случае в настройках не нужно указывать In. Interface и Src Address, но нужно прописать адрес назначения.
Доступ на внешний IP адрес вашего сервера или компьютера с приложением будет открыт как для обращений извне, так и из локальной сети, с любых адресов, но только для пакетов с адресом назначения 1.1.1.1:80.
Теперь добавляете описанное выше правило srcnat, и все. Можно добавить дополнительную фильтрацию, прописав в out-interface тот интерфейс, с которого будут осуществляться отправки пакетов, если есть такая необходимость.
Недостатком Hairpin NAT является только то, что нагрузка на роутер возрастает, ведь те обращения, что раньше проходили через локальную сеть непосредственно между компьютерами, теперь будут идти через маршрутизатор.
Второй способ проще, но, в зависимости от конфигурации вашей сети, может использоваться и первый.
UPD: мы протестировали еще раз изложенные в этой статье способы настройки на примере организации FTP-сервера, а также настройку, предложенную в комментариях . Все они рабочие.
1. Постановка задачи.
Нужно чтобы можно было откуда угодно иметь возможность настроить VPN подключение и получить доступ к домашним сервисам.
Доступ к домашней сети будет организован посредством протокола PPTP, он представляет из себя связку протокола TCP (для передачи данных) и GRE (для обертывания пакетов).
2. Схема организации туннеля до домашнего MikroTik.
- Мне провайдер предоставляет статический IP-адрес.
- На MikroTik создаем туннель.
- На MikroTik создаем профили удаленного подключения (Логин и Пароль).
- На MikroTik создаем правила Firewall маршрутизации чтобы пройти сквозь брандмауэр.
3. Активация PPTP сервера.
Первым делом подключаюсь через WinBox к своему MikroTik’у и активирую PPTP сервер:
WinBOX — меню PPP — вкладка Interface, после нажимаю PPTP Server:
Enabled: отмечаю галочкой
MAX MTU: 1450
MAX MRU: 1450
Keepalive Timeout: 30
Default Profile: default
Authentication: должно быть отмечено только — mschap1 & mschap2
4. Создание пользователя удаленного подключения.
Теперь создаем пользователей удаленного подключения:
Name: vpn-user
Password: Aa1234567@@. (советую ставить пароль посложнее)
Service: pptp
Profile: default-encryption
Local Address: пишем IP-адрес MikroTik, который будет выступать в роли Сервера VPN (192.168.0.1)
Remote Address: пишем IP-адрес пользователя (192.168.0.99)
5. Настройка правил для Firewall.
Теперь переходим к настройке правил для Firewall роутера MikroTik, чтобы он пропускал удаленные авторизованные подключения.
6. Открываем порт 1723 (для TCP-протокола) в Firewall.
Вкладка General:
Chain: input
Protocol: 6 (tcp)
Dst. Port: 1723
Вкладка Action:
Action: accept
7. Открываем правило GRE в Firewall.
Вкладка General:
Chain: input
Protocol: 47 (gre)
Вкладка Action:
Action: accept
Как выглядит Firewall в MikroTik
Так выглядят правила в WinBox’е:
На заметку: по умолчанию создаваемые правила помещаются в конец общего списка, а их нужно переместить наверх перед всеми запрещающими правилами, если этого не сделать работать они не будут.
8. Подключение клиента Windows 10.
Пуск — Панель управления — Сеть и Интернет — Центр управления сетями и общим доступом — Создание и настройка нового подключения или сети — Подключение к рабочему месту — Использовать мое подключение к Интернету (VPN):
- Адрес в интернете: указываю внешний IP&DNS адрес выделяемый мне провайдером.
- Имя объекта назначения: VPN-HOME.
- Разрешить использовать это подключение другим пользователям: отмечаю галочкой.
Нажимаем ОК и далее переходим в Пуск — Параметры — Сеть и Интернет — VPN . Выбираем наше созданное подключение в списке возможных подключений. Открываем Дополнительные параметры — Изменить.
Заполняем анкету соединения по смыслу. После указываю имя пользователя и пароль на удаленный доступ (данные идентификационные данные были введены выше):
Пользователь: vpn-user
Пароль: Aa1234567@@.
Запомнить этот пароль: отмечаю галочкой
Жмем Сохранить данные.
Также можно проверить, открыв консоль командной строки и отобразив IP адреса текущих сетевых адаптеров используем командную строку и Win + R введем в нее команду cmd.exe:
Далее свяжемся с точкой входа в VPN сеть:
Что теперь ну подключен я по VPN к дому, а что мне это дает?
А то что теперь можно к примеру запустить браузер и подключиться к домашним ресурсам, если настроено удаленное включение компьютеров через Wake On Lan, то посредством запросов их можно включить, а после либо по VNC, RDP подключиться к ним.
Это все конечно же хорошо, а если Ваш провайдер не выдает Вам статический IP-адрес как у меня, как же быть?
Но в этом Вам повезло, т. к. в самом MikroTik есть служба на подобии DynDNS или No-IP, которая может предоставить DNS ссылку доступа к MikroTik’у из вне:
WinBox — IP&MAC — перехожу в раздел Quick Set, отмечаю галочкой VPN Access
Будет выведена таблица пинга.
Итого, как оказалось на MikroTik достаточно быстро можно поднять PPTP сервис, посредством которого можно быстро начать пользоваться VPN-соединением. Такие настройки одинаково работают, как для дома так и для корпоративной сети, в этом собственно и большой плюс данного вида оборудования, купив раз с запасом получаем инструмент где можно реализовать многое, а для малой компании это будет существенным подспорьем.
9. Оригиналы источников информации.
Читайте также: