Mikrotik настройка доступа извне

Mikrotik настройка доступа извне

В любой непонятной ситуации — открывай консоль

В данной небольшой статье я расскажу, каким образом настроить удаленный доступ к роутеру MikroTik. Это может потребоваться, если вы, например, установили подобный маршрутизатор клиенту. В общем информацию необходимо знать всем, кто желает иметь доступ к устройству MikroTik, а также обезопаситься от доступа к нему злоумышленниками.

Для начала следует подключиться к роутеру через веб-интерфейс, далее настройку можно производить там же, либо скачать WinBox и использовать для конфигурирования эту программу. Интерфейс WinBox’а мало чем отличается от веб-интерфейса, основное отличие заключается в том, что вы можете открыть сразу несколько окон с настройками и конфигурировать, имея перед глазами все необходимые параметры.

Настройка доступа

После подключения к роутеру выбираем пункты меню слева:

IP — Firewall

В открывшемся окне на вкладке Filter Rules нажимаем на кнопку с плюсом, что означает: «Добавить новое правило». В открывшемся окне требуется указать следующие параметры:

Chain: input

Protocol: TCP

Dst. Port: Зависит от способа доступа. Для доступа через веб-интерфейс — 80, через WinBox — 8291, через Telnet — 23.

Переходим на вкладку Action, выбираем accept.

Для комментирования данного правила, нажимаем в правой части окна кнопку «Comment». Комментарий отображается в списке правил, поэтому это будет полезно, дабы не было путаницы в дальнейшем.

Нажимаем «Apply» или «Ok».

В предыдущем окне Filter Rules мы можем увидеть новое правило и комментарий к нему. Правила работают согласно порядку, в котором они отображаются. То есть данное правило нам необходимо поднять как можно выше, иначе оно работать не будет. Я помещаю созданные правила обычно сразу после правила на разрешение icmp-пакетов.

Ограничение доступа

После настройки доступа, его нужно сильно ограничить, чтобы злоумышленники не смогли заполучить доступ к вашему оборудованию. Переходим в следующее меню:

Читайте также:  Canon lbp 1120 драйвер windows 7 x32

IP — Services

Далее выбираем службу, к которой настраивали доступ. Если это доступ через веб-интерфейс, то выбираем www. В появившемся окне в поле «Available From», добавляем ip-адреса, либо сети, из которых доступ разрешен. Можно разрешить доступ к роутеру из локальной сети, добавив сеть 192.168.x.0/24, помимо внешних адресов, с которых должен быть доступ к устройству. Обязательно добавьте в первую очередь адрес, с которого вы подключены к роутеру. После установки устройства его можно удалить.

Через командную строку правила будут выглядеть следующим образом:

7 комментариев к записи “ Настройка удаленного доступа к роутеру MikroTik ”

На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока вы не настроите локальную сеть, Firewall и NAT.

Так и есть, в данной статье рассматривается лишь настройка удаленного доступа к маршрутизатору.

Провайдерский wan воткнут в гигабитный свич Upvel.
В свиче два клиента — Мой рабочий ПК и Mikrotik Hap Lite, раздающий вафлю на гостевые устройства
Мне нужен доступ по WinBox к Микроту с рабочего компа

Создал правило в микротовском FW на accept input tcp 8291, поместил правило наверх
Создал правило в NAT dst-nat в dst.addres указал внешний адрес, tcp, 8291

Но по внешнему ип с рабочего компа так и не подключиться. В логах микрота ничего нет, даже рефьюзов

В чем мб проблема?

За такие статьи надо топить в проруби. открыть 80-й порт НАРУЖУ. вы вообще головой думаете что советуете. .

Валерий, Вас никто не заставляет открывать 80 порт наружу. В этой же статье, ближе к концу, описывается ограничение доступа к маршрутизатору. С данным ограничением открывать 80 порт абсолютно безопасно, если вы добавляете только доверенные адреса/сети.

Читайте также:  Asus p8h61 m le lga 1155

Можно вместо 80 порта назначить другой порт в переадресацией на 80. Это будет дополнительной степенью защиты.

Добрый день. Передо мной стало несколько задач, на первый нашел ответы, но проверить не было возможности так как нужно будет настраивать в другом городе и хотелось бы заранее знать как правильно сделать, т.к. много времени не будет. Сетями особо не занимался.

Имеется Mikrotik RouterBOARD RB2011UAS-RM (статический ip от провайдера), десктопный комп и несколько серверов с доступом по веб-интерфейсу по локальным IP внутри сети.

Задачи:

  1. Настроить Mikrotik на удаленный доступ, нашел 2 решения:
  1. В меню Mikrotik IP -> Services для сервиса winbox нужно установить Available From = 0.0.0.0/0
  2. В меню IP -> Firewall -> вкладку Filter Rules добавляем новое правило Chain: input / Protocol: tcp / Dst. Port: 80 / Action: accept

Есть ли тут верный вариант или что-то упущено?

  • Настроить Windows Remote Desktop Protocol на ПК с Windows 7 Ultimate
    1. Почитав в Интернете, понял, что нужно сделать проброс порта 3389 по которому работает RDP но с какими параметрами не совсем ясно, нужна ваша помощь
    2. Настроить удаленный доступ к веб-интерфейсам серверов через Mikrotik
      1. Понял, что нужно зарезервировать через DHCP для каждого сервера свой IP, а после пробросить порт к каждому. по типу 111.111.111.111:3001 — первый сервер под ip 192.168.0.3 , 111.111.111.111:3002 — второй 192.168.0.4 и т.д. Где 111.111.111.111 — статический адрес.
      2. Подскажите, пожалуйста, верные решения, спасибо!

        • Вопрос задан более трёх лет назад
        • 47073 просмотра

        1. Да верно, но лучше открывать доступ к тику по PingKnocking. Тут момент в безопасности.
        2. Все верно, просто через dst-nat делайте проброс портов. Опять же из соображения безопасности делайте не порт в порт.
        3. Верно, проброс портов через dst-nat.

        Читайте также:  Автономный датчик протечки воды

        Для проверки можете подключить ПК к порту откуда к вам приходит внешка, прописать адрес с "белым" адресом из той же сети и проверить

        Открыть «IP» — «Firewall» — вкладку «Filter Rules».
        Нажать «Add new» для добавления нового правила.

        Далее установить следующие параметры:

        Chain: input
        Src. Address: тут можно указать IP адрес или сеть с которой разрешено подключаться, если разрешено всем, то не указываем.
        Protocol: tcp
        Dst. Port: 80 (или 8291 для Winbox, 21 для ftp, 22 для ssh, 23 для telnet, udp 161 для snmp)
        Action: accept

        Нажать «ОК» для добавления правила.

        После этого в фаерволе, в конце списка будет создано правило. Так как оно будет последним, а перед ним стоит правило запрещающее все, то его необходимо перетянуть мышкой в самый верх, иначе от него не будет толку.

        Через командную строку правила будут выглядеть следующим образом:

        Поднять вверх списка можно так (где 30 — ID добавленного правила):

        Либо в самой команде укажем что нужно расположить правило в самом начале списка:

        Также в меню «IP» — «Services» в параметрах нужной службы можно добавить в «Available From» список IP адресов или сетей с которых необходимо разрешить доступ. Доступ ограничивается как для локальных так и внешних адресов, поэтому в первую очередь нужно добавить IP или сеть с которой вы в данный момент подключены.

        Приведу пример указания IP адреса через терминал, например для telnet (аналогично ftp,www,ssh,winbox):

        Ссылка на основную публикацию
        Adblock detector