Удаленный доступ по Wi-Fi

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
geny94
Сообщения: 5
Зарегистрирован: 30 янв 2020, 13:26

Доброго времени суток.
Имеется: MikroTik G-52SHPacn подключенные к свичу
При подключении по LAN через winbox никаких проблем не возникает.
При подключении к точке доступа winbox перестает видеть устройство.
Настройки firewall родные
IP-Service-winbox в поле Available From указана подсеть в которой находится ПК.
ПК и MikroTik находится в одной подсети

Как правильно настроить удаленные доступ?


Изображение

Изображение


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Выключите все правила в фаерволле и все заработает.


geny94
Сообщения: 5
Зарегистрирован: 30 янв 2020, 13:26

gmx писал(а): 31 янв 2020, 08:33 Выключите все правила в фаерволле и все заработает.
Пробовал. Не помогало.
Добавил:
/ip firewall filter add chain=input action=accept protocol=tcp in-interface=br-lan dst-port=****
log=no log-prefix=""

/ip firewall nat add chain=srcnat action=masquerade out-interface=br-lan log=no log-prefix=""

После этого все заработало.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Чудны дела твои, Господи.


seregaelcin
Сообщения: 176
Зарегистрирован: 27 фев 2016, 17:12

geny94 писал(а): 30 янв 2020, 15:03 При подключении по LAN через winbox никаких проблем не возникает.
При подключении к точке доступа winbox перестает видеть устройство.
Вход по ip или по mac производится?


Обладатель Mikrotik RB2011UAS-2HnD-IN
geny94
Сообщения: 5
Зарегистрирован: 30 янв 2020, 13:26

seregaelcin писал(а): 05 фев 2020, 14:08
geny94 писал(а): 30 янв 2020, 15:03 При подключении по LAN через winbox никаких проблем не возникает.
При подключении к точке доступа winbox перестает видеть устройство.
Вход по ip или по mac производится?
Сейчас только по IP подключается


seregaelcin
Сообщения: 176
Зарегистрирован: 27 фев 2016, 17:12

1. неправильные настройки файрвола
2. сеть в Ip services указана неверная


Обладатель Mikrotik RB2011UAS-2HnD-IN
geny94
Сообщения: 5
Зарегистрирован: 30 янв 2020, 13:26

seregaelcin писал(а): 07 фев 2020, 08:37 1. неправильные настройки файрвола
2. сеть в Ip services указана неверная
1. Настройки файрвола стандартные + /ip firewall filter add chain=input action=accept protocol=tcp in-interface=br-lan dst-port=****
log=no log-prefix=""
2. Сеть указана ХХХ.ХХХ.ХХХ.0/24, т.е. рабочая сеть


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

ТС выполните п.5 и п.6 красных правил вверху.
А то Вы пытетесь нас запутать :-)
geny94 писал(а): 30 янв 2020, 15:03 ПК и MikroTik находится в одной подсети
Значит никаких ферволов между ними нет. А тут написано
geny94 писал(а): 31 янв 2020, 13:11 Добавил:
/ip firewall filter add chain=input action=accept protocol=tcp in-interface=br-lan dst-port=****
log=no log-prefix=""
/ip firewall nat add chain=srcnat action=masquerade out-interface=br-lan log=no log-prefix=""
После этого все заработало.
:ne_vi_del:


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
geny94
Сообщения: 5
Зарегистрирован: 30 янв 2020, 13:26

Ca6ko писал(а): 07 фев 2020, 11:45 ТС выполните п.5 и п.6 красных правил вверху.
А то Вы пытетесь нас запутать :-)
geny94 писал(а): 30 янв 2020, 15:03 ПК и MikroTik находится в одной подсети
Значит никаких ферволов между ними нет. А тут написано
geny94 писал(а): 31 янв 2020, 13:11 Добавил:
/ip firewall filter add chain=input action=accept protocol=tcp in-interface=br-lan dst-port=****
log=no log-prefix=""
/ip firewall nat add chain=srcnat action=masquerade out-interface=br-lan log=no log-prefix=""
После этого все заработало.
:ne_vi_del:
п.5

Код: Выделить всё

/export hide-sensitive  
# feb/13/2020 09:38:47 by RouterOS 6.46.2
# software id = 9GUQ-Y5W3
#
# model = RBMetalG-52SHPacn
# serial number = B7D90BF463C2
/interface bridge
add name=br-lan
/interface ethernet
set [ find default-name=ether1 ] name=eth1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed \
    mode=dynamic-keys name=protect supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    country=russia disabled=no frequency=auto frequency-mode=manual-txpower \
    hw-retries=15 installation=outdoor mode=ap-bridge security-profile=protect \
    ssid=MikroTik wireless-protocol=802.11 wps-mode=disabled
/interface wireless nstreme
set wlan1 enable-polling=no
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=for_dhcp ranges=192.168.х.155-192.168.х.165
/interface bridge port
add bridge=br-lan interface=wlan1
add bridge=br-lan interface=eth1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=eth1 list=WAN
add interface=wlan1 list=LAN
/ip address
add address=192.168.х.ххх/24 interface=wlan1 network=192.168.х.0
/ip dhcp-client
# DHCP client can not run on slave interface!
add comment=defconf disabled=no interface=wlan1
/ip dhcp-server network
add address=192.168.х.0/32 dns-server=х.х.х.х,х.х.х.х gateway=192.168.х.ххх \
    netmask=24 wins-server=х.х.х.х,х.х.х.х
/ip dns
set servers=х.х.х.х,х.х.х.х
/ip dns static
add address=192.168.х.ххх name=router.lan
/ip firewall filter
add action=accept chain=input comment="win box" dst-port=\
    хххх in-interface=br-lan log-prefix=winbox protocol=tcp
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="win box" out-interface=br-lan
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
    out,none out-interface-list=WAN
/ip route
add check-gateway=ping distance=1 gateway=192.168.х.ххх
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.х.0/24 disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.х.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Saratov
/tool mac-server
set allowed-interface-list=dynamic
/tool mac-server mac-winbox
set allowed-interface-list=dynamic
/tool mac-server ping
set enabled=no
П.6

Изображение


Ответить