Доброго времени суток. Недавно начал ковырять в чуде латвийской мысли и возникли некоторые трудности:
1) Я настроил удаленный доступ к микротик, с телефона через мобильную сеть всё замечательно работает, и через веб морду, и через винбокс. Но стоит мне подключиться к вай фай, то доступ с телефона становится невозможен. То же самое касается ПК. Со стороннего ПК доступ невозможен. Как сделать так, чтобы я мог зайти с любого устройства и из любой сети?
2) Хотелось бы услышать комментарии по поводу VPN, какой тип лучше настроить скорость/безопасность. У нас офис разбросан по нескольким улицам. Хочешь не хочешь, нужно, чтобы 7 сетей были доступны друг другу.
Скриншоты Filter Rules, NAT и IP->Service прилагаю.
Удаленный доступ к Mikrotik
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
У вас и winbox и webfig открыты наружу всем желающим на стандартных портах?
Учитывая, насколько часто и в том и в другом находят уязвимости, даже и не знаю, что вам ломанут раньше.
Закройте и настройте для доступа l2tp+ipsec.
P.s.: по вашему основному вопросу, если вы пытаетесь изнутри подключиться на внешний адрес, то предварительно настройте то, что называется hairpin nat.
Учитывая, насколько часто и в том и в другом находят уязвимости, даже и не знаю, что вам ломанут раньше.
Закройте и настройте для доступа l2tp+ipsec.
P.s.: по вашему основному вопросу, если вы пытаетесь изнутри подключиться на внешний адрес, то предварительно настройте то, что называется hairpin nat.
Telegram: @thexvo
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Для связи между офисами: там где белые статические адреса на обоих сторонах - GRE+IPSec.
Если где-то белый адрес только на одной стороне - там опять же L2TP+IPSec.
Если где-то белый адрес только на одной стороне - там опять же L2TP+IPSec.
Telegram: @thexvo
-
- Сообщения: 8
- Зарегистрирован: 08 ноя 2019, 16:57
Большое спасибо за ответы, обязательно сделаю.
Немного не поняли мой вопрос, подключение происходит не изнутри на внешний, а с совершенно другой сети на внешний микротика другой сети.
И сразу вопрос в догонку: я правильно понимаю, что лучше отключить неиспользуемые интерфейсы? Я про www, winbox., telnet и другие.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
И при этом нормально работает из сотовой сети, но не работает из wifi сети другой? Не вашей?aleksandr.nahtigal писал(а): ↑08 ноя 2019, 17:57 Большое спасибо за ответы, обязательно сделаю.
Немного не поняли мой вопрос, подключение происходит не изнутри на внешний, а с совершенно другой сети на внешний микротика другой сети.
Telegram: @thexvo
-
- Сообщения: 8
- Зарегистрирован: 08 ноя 2019, 16:57
Все верно. Достаточно подключиться к вай фай другого отдела - не подключается. Пробуешь через мобильные данные, то всё работает. Грешу на настройки фаервола микротика, к которому подключаешься, потому что даже с вай фай девственно чистого микротика соединения нет. Но набор правил стандартный. Я не понимат.xvo писал(а): ↑08 ноя 2019, 18:02И при этом нормально работает из сотовой сети, но не работает из wifi сети другой? Не вашей?aleksandr.nahtigal писал(а): ↑08 ноя 2019, 17:57 Большое спасибо за ответы, обязательно сделаю.
Немного не поняли мой вопрос, подключение происходит не изнутри на внешний, а с совершенно другой сети на внешний микротика другой сети.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Если вы там специально не добавляли правила со списками адресов, с которых можно подключаться (или наборот, с которых нельзя), то firewall тут не при чем.aleksandr.nahtigal писал(а): ↑08 ноя 2019, 18:11 Все верно. Достаточно подключиться к вай фай другого отдела - не подключается. Пробуешь через мобильные данные, то всё работает. Грешу на настройки фаервола микротика, к которому подключаешься, потому что даже с вай фай девственно чистого микротика соединения нет. Но набор правил стандартный. Я не понимат.
Проблема может быть, если обе локации в сети одного провайдера и до вашего микротика, к которому подключаетесь запрос приходит с серого адреса, который допустим совпадает с вашей внутренней адресацией.
Но если два совершенно разных провайдера и запрос четко приходит откуда-то "снаружи", то никакой разницы между подключением из сотовой сети и из сети другого провайдера для вашего микротика быть не может.
Telegram: @thexvo
-
- Сообщения: 8
- Зарегистрирован: 08 ноя 2019, 16:57
Да, провайдер один, локации находятся в одном районе. Это объяснение вполне подходящее, спасибо. Буду опровергать или подтверждать его.xvo писал(а): ↑08 ноя 2019, 18:24 Если вы там специально не добавляли правила со списками адресов, с которых можно подключаться (или наборот, с которых нельзя), то firewall тут не при чем.
Проблема может быть, если обе локации в сети одного провайдера и до вашего микротика, к которому подключаетесь запрос приходит с серого адреса, который допустим совпадает с вашей внутренней адресацией.
Но если два совершенно разных провайдера и запрос четко приходит откуда-то "снаружи", то никакой разницы между подключением из сотовой сети и из сети другого провайдера для вашего микротика быть не может.
Я вопрос оставил пару сообщений выше об отключении интерфейсов. Можете ответить?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Не интерфейсов, сервисов.aleksandr.nahtigal писал(а): ↑08 ноя 2019, 18:42 Я вопрос оставил пару сообщений выше об отключении интерфейсов. Можете ответить?
Да, те, которые не используете, лучше отключить.
Те, которые используете, как можно скорее прикрыть firewall'ом от доступа извне.
Если доступ извне обязателен, а доступ по впн пока не настроен - как минимум поменять порты на нестандартные.
Telegram: @thexvo
-
- Сообщения: 8
- Зарегистрирован: 08 ноя 2019, 16:57
Все максимально понятно. Огромное спасибо за разъяснения!